Samo wdrożenie RODO to nie wszystko Samo wdrożenie RODO to nie wszystko

Przygotowując się do wdrożenia RODO, wielu przedsiębiorców poszukiwało wzorów gotowych procedur, zapominając, że najważniejsze jest jednak odzwierciedlenie faktycznych procesów przetwarzania danych a nie wdrożenie gotowych formuł. Zgodnie z art. 24 RODO to wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności z rozporządzeniem (ochrony danych osobowych) jest najważniejszym obowiązkiem administratora.

Dodatkowo rozporządzenie wskazuje, że środki te administrator ma obowiązek wykazać, a także w razie potrzeby poddawać przeglądom i uaktualniać. To właśnie administrator obciążony jest całkowitą odpowiedzialnością za przetwarzanie danych osobowych, prowadzone przez niego lub w jego imieniu (motyw 74 RODO), a w szczególności za implementację systemu wdrażającego środki przede wszystkim zapewniające zgodność przetwarzania danych z rozporządzeniem, a także proporcjonalne, biorąc pod uwagę naturę, zakres, kontekst i cel przetwarzania danych oraz wynikające z tego ryzyka dla praw i wolności podmiotów danych.

Podobna sytuacja miała miejsce w Portugalii. Comissão Nacional de Proteção de Dados (CNPD) – portugalski organ nadzorczy - nałożył na tamtejszy szpital Barreiro-Montijo karę w wysokości 400 000 euro. Przyczyną nałożenia przez organ sankcji był nieuprawniony dostęp do danych klinicznych pacjentów. CNPD stwierdził umyślność naruszenia ochrony danych osobowych, gdyż władze szpitala miały świadomość obowiązku wdrożenia i stosowania odpowiednich środków techniczno-organizacyjnych. W tym przypadku głównym problemem był jednak zbyt szeroki dostęp do danych szczególnych kategorii oraz brak weryfikacji uprawnień. Szpital bowiem nie dokonał odpowiednich kroków, by zapewnić bezpieczeństwo danych medycznych. Zarzut odnosił się w szczególności do nieodpowiednich procedur przechowywania i niewłaściwego przydzielania dostępów do danych, w wyniku czego aktywne były konta lekarzy, którzy w szpitalu tym już nie pracowali.

Jak wskazują powyższe sytuacje, na nic zdają się papierowe procedury, jeżeli nie są one odpowiednio wdrożone, osoby nie są przeszkolone, a procedury nie są stosowane przez personel lub, co gorsze, zaniedbane przez osoby odpowiedzialne za ich wdrożenie. Każdy administrator powinien się zastanowić, czy w jego podmiocie procedury tylko „są” czy też „są przestrzegane”, a odpowiednie środki organizacyjno-techniczne stosowane. Rzecz zatem nie w tym, żeby przygotować i nawet wdrożyć określone procedury, ale aby były one żywą częścią organizacji, podlegającą ocenie, poprawie i składającą się na część procesu działania. Z tego względu należy zidentyfikować takie środki, którymi mogą być: stały monitoring stosowania procedur i potencjalnych krytycznych obszarów, zapoznanie pracowników z procedurami, w tym przeprowadzenie szkoleń i weryfikacja przestrzegania zastosowanych rozwiązań. Procedury powinny być łatwo dostępne dla pracowników. Należy zadbać, aby pracownicy wiedzieli o każdej ich aktualizacji.

W zakresie, w jakim środki te ujęte będą w dokumenty – polityki, postuluje się, aby w stosunku do pracowników takie reguły zostały wdrożone w ramach regulaminu pracy lub innych instrukcji stanowiących element regulacji wewnętrznych pracodawcy, z którymi – zgodnie z art. 1043 § 1 i 2 KP – pracownik musi zostać zaznajomiony. Dodatkowo postuluje się zobowiązanie osób upoważnionych do przetwarzania danych do stosowania określonych środków – jeżeli to od ich aktywności zależy ich skuteczne stosowanie. Rozwój technologii pozwala na coraz lepsze rozwiązania techniczne zarówno w kwestii sprzętu, jak i oprogramowania dbającego o dane osobowe. Należy zapewnić weryfikację uprawnień, w tym kontrolę dostępu i przetwarzania danych. Ważne jest także reagowanie na stwierdzenie zaniedbań i naruszeń procedur, zanim dojdzie do poważnego naruszenia ochrony danych osobowych.

Rozporządzenie nie wskazuje wprost gotowych rozwiązań, aby pozostać technologicznie neutralnym na przestrzeni czasu. Jednakże wśród możliwych do zastosowania środków pojawiają się wskazówki w art. 32 ust. 2 RODO takie jak: pseudonimizacja i szyfrowanie danych osobowych, zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ostatnio głośnym echem odbiła się kara nałożona przez Information Commisionner’s Office (ICO) na lotnisko Heathrow w związku z nieprawidłowym używaniem pendrive’a, w wyniku czego doszło do ujawnienia danych osobowych. Jak podkreślał ICO, kara została nałożona przez brak odpowiednich środków organizacyjno-technicznych. W momencie wystąpienia incydentu (zagubienie pendrive’a) u operatora lotniska Heathrow obowiązywały procedury postępowania z danymi, wprowadzające ograniczenia w przetwarzaniu danych, jednak nie były one w pełni dostępne dla pracowników, a także nie weryfikowano ich faktycznego przestrzegania. Ponadto pracownicy nie zostali przeszkoleni z zakresu ochrony danych osobowych. Nie wprowadzono technicznych ograniczeń w kopiowaniu danych oraz aplikacji przenośnych nośników danych. Co więcej, operator lotniska posiadał wiedzę o stosowanych praktykach, a mimo tego nie reagował na zaistniałe zaniedbania. Z tego względu ICO zdecydował o nałożeniu kary.

O tym jak ważne są rozwiązania techniczne przekonają się przedsiębiorcy w Danii. Od stycznia 2019 r. w Danii zaostrzone zostaną przepisy dotyczące szyfrowania e-maili zawierających dane szczególnej kategorii. Duński organ nadzorczy zaleca stosowanie szyfrowanie wiadomości e-mail od 2008 r., ale od 1 stycznia 2019 r. szyfrowanie będzie obejmowało już wszystkie wiadomości e-mail zawierające dane osobowe szczególnych kategorii w rozumieniu art. 9 RODO. Do takich danych należy zaliczyć dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Zmiana ta dotyczy sektora prywatnego, bowiem już od 2000 r. szyfrowanie jest stosowane w duńskim sektorze publicznym obowiązkowo.

Szyfrowanie wiadomości e-mail polega na stosowaniu dodatkowej warstwy zabezpieczeń, która pomaga zapewnić poufność wiadomości, powodując, że treść wiadomości e-mail może być odczytywana tylko przez zamierzonego adresata. W rozbudowanej wersji swojego komunikatu duński organ nadzorczy wskazuje na dwa sposoby szyfrowania wiadomości: Transport Layer Security (TLS) oraz end-to-end, ale ostateczną decyzję pozostawia administratorowi. To administrator ponosi odpowiedzialność za przetwarzanie danych osobowych, które mają miejsce na jego własnym serwerze pocztowym.

Tymczasem w Polsce oczekujemy na przyjęcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, która ma zapewnić zgodność ustaw sektorowych z RODO. Doprecyzowuje ona w poszczególnych ustawach kwestię ochrony danych osobowych. Pośrednio wynikają z tego dodatkowe obowiązki dla administratorów, jak np. przygotowanie pisemnych upoważnień dla pracowników, którzy przetwarzają dane szczególnych kategorii innych osób.

Zapewnienie zgodności z RODO można więc nazwać procesem bez konkretnego punktu końcowego. Poprzez obowiązek aktualizacji stosowanych środków, administratorzy muszą na bieżąco weryfikować stosowane środki i rozwiązania. W przypadku wystąpienia poważniejszych okoliczności zmieniających ocenę administratora co do zastosowanych i wdrożonych rozwiązań, powinny one ulec uaktualnieniu. Zasadniczą zmianą, jaką RODO wprowadziło w zakresie bezpieczeństwa danych, jest właśnie takie ogólne spojrzenie na otoczenie, w jakim dane są przetwarzane oraz na związane z nim zagrożenia utraty, niewłaściwego lub nieuprawnionego użycia, a także na skutki, jakie może to powodować głównie dla osób, których dane dotyczą.