25 maja 2023 r. przypada piąta rocznica obowiązywania ogólnego rozporządzenia o ochronie danych osobowych – RODO[1]. Regulacja ujednoliciła podejście do ochrony danych osobowych na terenie UE i EOG, co w obliczu aktualnych wyzwań technologicznych i cybernetycznych, jest niezwykle korzystne.
Czy to regulacja idealna? Oczywiście, iż nie. Nie zatrzymała przecież całkowicie mailowego spamu” a na administratorów często narzuca obowiązki, które mogą wydawać się nieco nad wyraz.
Czy jednak dobrze, iż jest? W naszym odczuciu – zdecydowanie tak! Przez te 5 lat zwiększyła się świadomość konsumentów jako „właścicieli” swoich danych osobowych, dzięki temu mogli poczuć się bezpieczniej.
A czego te 5 lat mogło nauczyć administratorów? I jakie wnioski z dotychczasowej praktyki mogą wyciągnąć na przyszłość? Odpowiadamy.
1. Jak osiągnąć rozliczalność – checlista
Jak zapewnić odpowiedni poziom ochrony danych osobowych? RODO nie jest w tym zakresie precyzyjne. Reguluje ogólne zasady ochrony danych osobowych i w ich ramach daje administratorom swobodę działania. Mają oni dobrać takie środki organizacyjne i techniczne, które spełnią swoją rolę. Oczywiście UODO może w każdym momencie powiedzieć „sprawdzam” i wtedy administrator powinien być w stanie wykazać przestrzeganie przepisów – czyli swoją „rozliczalność”.
Poniżej przykładowa checklista elementów, które sprawdzą się jako „dowód” przestrzegania zasad ochrony danych osobowych. Zachęcamy do sprawdzenia, czy wszystkie funkcjonują w Państwa firmie:
- Wdrożona dokumentacja ochrony danych osobowych, w tym często obowiązkowy rejestr czynności i kategorii przetwarzania danych osobowych oraz towarzyszący im opis technicznych i organizacyjnych środków bezpieczeństwa.
- Dodatkowe procedury ochrony danych: polityka ochrony danych osobowych, czystego biurka czy retencji danych = rozwinięcie dokumentacji podstawowej.
- Analiza ryzyka dla czynności przetwarzania (+ w razie konieczności: DPIA) – udokumentowane.
- Umowy powierzenia przetwarzania danych osobowych (pisemne / elektroniczne) – najlepiej poprzedzone uprzednią weryfikacją (szczegóły tutaj).
- Upoważnienia – nadane osobom przetwarzającym dane osobowe w imieniu administratora (szczególnie w przypadku dostępu do szczególnych kategorii danych).
- Regularnie przeprowadzane audyty ochrony danych osobowych (zwiększają możliwość wykrycia i zminimalizowania ewentualnych ryzyk oraz wyeliminowania błędów).
- Szkolenia dla pracowników.
2. Compliance z RODO – nie tylko na „papierze”
Urząd Ochrony Danych Osobowych (UODO) przez ostatnich 5 lat przeprowadził szereg kontroli i wydał sporo decyzji, stosując wachlarz kar: w tym upomnienia czy administracyjne kary pieniężne (rekordowa wyniosła niemal 5 mln zł). Zdarzało się, iż karano podmioty teoretycznie „rozliczalne”, które na powyższej liście zaznaczyłyby pewnie większość punktów. Dlaczego?
Jedna z ważniejszych lekcji płynących z tych decyzji jest następująca: procedury trzeba nie tylko wdrożyć, ale przede wszystkim stosować. Dlatego tak ważne jest, aby środki mające służyć zabezpieczeniu danych osobowych faktycznie funkcjonowały.
Organ, przychodząc na kontrolę, nie tylko przeczyta procedurę, ale również sprawdzi, czy została faktycznie wdrożona. A jeżeli kontrola jest pokłosiem otrzymanej przez UODO skargi lub zawiadomienia o naruszeniu ochrony danych – urząd sprawdzi, czy i dlaczego w tamtym przypadku procedura nie zadziałała.
Bazując na naszym doświadczeniu możemy zdradzić, iż kluczem jest tu adekwatna organizacja – połączenie wdrożenia spisanych procedur z praktyczną ścieżką ich stosowania (możliwie „zautomatyzowaną”) i/lub wyznaczenie osoby odpowiedzialnej za „opiekę” nad procedurą.
3. Odpowiednie środki techniczne zapewniające bezpieczeństwo danych osobowych
Administrator powinien zapewnić bezpieczeństwo danych, stosując adekwatne środki ochronne. Skoro te nie zostały szczegółowo opisane w rozporządzeniu, administratorzy, wdrażając konkretne rozwiązania, powinni obserwować podejście rynku i to, co pod względem cyberbezpieczeństwa najczęściej weryfikuje organ.
Poniżej przykładowa lista obszarów, które zwykle podlegają kontroli:
- prawidłowe zabezpieczenie urządzeń (stosowanie programów antywirusowych, polityka haseł; procesy uwierzytelniające);
- lokalizacja i zabezpieczenie serwerów (stosowane zabezpieczenia przeciwpożarowe, odpowiednio skonfigurowane pomieszczenia, polityka dostępu do pomieszczenia serwerowni);
- zapewnienie ciągłości działania zasobów informatycznych;
- wdrożenie mechanizmów szybkiego przywrócenia dostępności danych;
- częstotliwość oraz sposób wykonywania kopii zapasowych oraz kopii bezpieczeństwa;
- bieżąca aktualizacja systemów informatycznych (+ wsparcie dostawców oprogramowań);
- zastosowane środki ochrony przed szkodliwym oprogramowaniem; system Firewall;
- uwierzytelnianie dostępu do zasobów informatycznych;
- szyfrowanie, anonimizacja danych;
- stosowane zabezpieczenia fizyczne (zamykane pomieszczenia, szafy etc.)
- bezpieczne drukowanie i niszczenie dokumentów w formie papierowej;
- stosowanie monitoringu, systemu kontroli dostępu do pomieszczeń, ochrony.
Wskazówka: Szybkiemu rozwojowi technologicznemu towarzyszą nowe wyzwania – szczególnie w cyberprzestrzeni. Administratorzy muszą pamiętać, aby regularnie testować skuteczność wprowadzonych zabezpieczeń i wprowadzać zmiany poprawiające poziom ochrony.
4. kooperacja z UODO
Prezes UODO zaleca, aby administratorzy współpracowali z organem nadzorczym w trakcie postępowań. I choć stwierdzenie wydaje się prozaiczne, to praktyka i lektura wydawanych decyzji potwierdza jego istotność. Zdarza się, iż odpowiednia kooperacja może pomóc uniknąć wszczęcia postępowania (np. wymiana z urzędnikiem kilku e-maili wyjaśniających po zgłoszeniu naruszenia do UODO). Tam, gdzie postępowanie już jest w toku, może wpłynąć na zmniejszenie kary lub choćby jej zamianę na sankcję w postaci upomnienia.
Jak współpracować? Podczas kontroli kooperacja polega przede wszystkim na zapewnieniu dostępu do niezbędnych informacji (w tym do sprzętu i środków służących do przetwarzania danych osobowych) oraz pomieszczeń. Oczywiście, pamiętajmy równolegle o ochronie tajemnicy przedsiębiorstwa. Więcej o tym temacie w komunikacie UODO tutaj.
Wskazówka: Nie każdy administrator jest zobowiązany do wyznaczenia Inspektora Ochrony Danych (IOD). Jednak jego wyznaczenie, choćby wtedy, gdy nie jest obowiązkowe, może okazać się niezwykle przydatne – to właśnie IOD będzie punktem kontaktowym dla organu nadzorczego oraz wsparciem dla administratora w przypadku kontroli.
5. Budowanie świadomości pracowników – szkolenia
Administrator nie powinien zapominać, iż – jak pokazuje nauka z ostatnich 5 lat – zwykle to pracownik stanowi pierwsze ogniwo w przypadku wystąpienia naruszenia ochrony danych. To jemu zapala się „czerwona lampka”, dokonuje on identyfikacji naruszenia oraz informuje o nim administratora. Nieświadomy pracownik może nie zareagować. W efekcie – administrator nie będzie mógł gwałtownie podjąć odpowiednich kroków, a to właśnie na nim ciąży obowiązek reagowania w przypadku incydentu (brak reakcji jest okolicznością obciążającą, skłaniającą organ do nakładania wyższych kar).
Dlatego w praktyce to budowanie świadomości pracowników jest kluczem do zapobiegania incydentom. Nawet jeżeli pracownicy już kiedyś uczestniczyli w szkoleniu z ochrony danych osobowych, warto je co jakiś czas ponawiać. Zdaniem UODO tylko szkolenia przeprowadzane cyklicznie pozwalają utrwalać zasady ochrony danych w świadomości pracowników. Najlepiej, jeżeli wezmą w nich udział wszyscy upoważnieni do przetwarzania danych pracownicy.
Wskazówka: Edukacja może rozpocząć się już na etapie onboardingu, czyli wprowadzenia nowego pracownika. Już wtedy warto przeszkolić go w zakresie ochrony danych osobowych w firmie, a następnie, np. raz do roku, prowadzić cykliczne szkolenia przypominające. Aby to ułatwić, warto skorzystać z formy e-learningu.
Mamy nadzieję, iż opisane wnioski pozwolą administratorom jeszcze lepiej zarządzać danymi osobowymi w firmach. Zachęcamy do zapisu na newsletter Olesiński i Wspólnicy w którym nasz zespół ochrony danych osobowych regularnie dzieli się wnioskami płynącymi z kar UODO oraz newsami z tego obszaru.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).