Odpowiednie środki w bezpieczeństwie danych – czyli dla każdego coś innego

odpowiednie środki w bezpieczeństwie danych

W kontekście RODO często spotykam się z bardzo szczegółowymi pytaniami dotyczącymi ogólnych przypadków. Te wszystkie pytania wywołał tak naprawdę Art. 32, ust. 1. RODO, który jest poświęcony bezpieczeństwu przetwarzania danych.

Stwierdza on, że:

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Otwarta furtka?

Najwięcej pytań budzi wyrażenie „odpowiednie środki”. Co to znaczy? Nie jest to przecież określenie techniczne, ani tym bardziej nie definiuje konkretnych, gotowych wymagań, dostępnych dla każdego ad hoc. Wyjaśnienia należy szukać na początku artykułu. Chodzi o środki adekwatne do stanu wiedzy technicznej, kosztu wdrożenia, charakteru, zakresu, kontekstu, celów przetwarzania danych oraz ryzyku i wagi zagrożenia naruszenia praw osób fizycznych. Jest to oczywista „furtka” w stronę małych, kilkuosobowych przedsiębiorstw, które nie mogą pozwolić sobie na zaawansowane i często bardzo drogie rozwiązania. Wytyczne wymuszają zdroworozsądkowe podejście do tematu, eliminując niepotrzebną paranoję, jedynie ogólnie pokazując kierunek działania.

Dane osobowe przetwarzane w każdej organizacji powinny być chronione. Odpowiednie szyfrowanie jest najprostszą spełniającą wszystkie wymogi metodą ochrony danych. W przypadku ewentualnej kradzieży fizycznego nośnika, dostęp do danych jest dla potencjalnego złodzieja niemożliwy. Ponadto, również odpowiednio do kosztów, powinny być zastosowane przynajmniej podstawowe procedury typu Disaster Recovery czy kopii zapasowych. Na szczęście tego typu usługi najczęściej znajdują się w portfolio firm dostarczających rozwiązania IT.

Ostateczną odpowiedź na pytanie „co to są odpowiednie środki” można uzyskać dopiero po przeprowadzeniu dokładnej analizy przetwarzania danych osobowych. Każda firma będzie mieć inne dane, inne podejście, inne wymagania. Dla każdej firmy „odpowiednie” będzie znaczyło coś innego.

 

Autor: Marcin Baranowski, IT Security Expert w firmie Onwelo.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *