Stale rośnie liczba niebezpieczeństw w cyberprzestrzeni. Rozwój nowych technologii generuje powstawanie luk w systemie ochrony danych w przedsiębiorstwach.
Dynamika tych procesów uniemożliwia stworzenie jednolitego katalogu adekwatnych zabezpieczeń. Obowiązujące przepisy nie przystają do obecnego stanu nowych technologii. Przedsiębiorcy muszą mierzyć się z zagrożeniami wynikającymi z korzystania z sieci publicznych, przechowywaniem danych w chmurze, instalowaniem oprogramowania w telefonach i tabletach, korzystaniem z urządzeń przenośnych. Brak podstawowych procedur
i mechanizmów w wielu firmach prowadzi do powtarzających się incydentów związanych z wyciekiem danych.
Czy masz ochotę spłacać cudzy kredyt? Zapewne nie. Jak się zabezpieczyć, gdy zgubimy dowód osobisty lub mamy podejrzenie, że nasze dane wpadły w niepowołane ręce?
Prawo(1) nakłada na przedsiębiorców przetwarzających dane osobowe szereg obowiązków związanych z ich ochroną. Administrator Danych Osobowych ma swobodę wyboru środków ochrony ale jest zobowiązany wybrać takie, które zapewnią poziom bezpieczeństwa odpowiedni do zagrożeń oraz charakteru danych objętych ochroną, przy uwzględnieniu stanu wiedzy w tej dziedzinie oraz kosztów realizacji. W ustawie brakuje jednak skonkretyzowanego katalogu czynności, które administrator powinien zrealizować, aby w pełni zabezpieczyć dane w formie elektronicznej. (2) Na poziomie prawodawstwa europejskiego również nie odnajdujemy skonkretyzowanego, zamkniętego katalogu zabezpieczeń, których wprowadzenie byłoby jednoznaczne ze spełnieniem choćby minimalnego standardu ochrony danych w przestrzeni informatycznej. (3)
Jakie skutki niesie za sobą pomyłka w cenie na aukcji internetowej? Jak radzić sobie z błędami na aukcji? Jak można uwolnić się od skutków umowy zawartej pod wpływem błędu? Przeczytaj WIĘCEJ.
Zestawienie ze sobą wymogów ustawodawcy z zabezpieczeniami stosowanymi w wielu polskich przedsiębiorstwach prowadzi do konkluzji, że wykorzystywane metody są nieodpowiednie oraz niewystarczające. Jednym z powodów takiego stanu rzeczy jest występowanie w ustawie jednolitego miernika dla wszystkich administratorów bez różnicowania ze względu na wielkość przedsiębiorstwa oraz formę prawną prowadzenia działalności. Może to prowadzić do wniosku, że jednakowe środki zabezpieczenia powinien wprowadzić zarówno mikroprzedsiębiorca działający w formie jednoosobowej jak i duża spółka akcyjna. Pomimo, że dysponują oni różnymi możliwościami organizacyjnymi oraz budżetem na wdrażanie rozwiązań informatycznych, zobligowani są do zapewnienia w równym stopniu bezpieczeństwa danych w przestrzeni informatycznej.
Administrator danych osobowych nie uzyska zatem od ustawodawcy oparcia w postaci skonkretyzowanych wytycznych wskazujących konieczne do wdrożenia sposoby zabezpieczenia danych elektronicznych. Przy doborze adekwatnych metod musi więc polegać na swojej wiedzy oraz posiadać odpowiednie rozeznanie w istniejących rozwiązaniach informatycznych.
Dylematy te stają się szczególnie ważne w kontekście planowanego za dwa lata (4) rozporządzenia Parlamentu Europejskiego i Rady, które nałoży na administratora obowiązek uwzględnienia najnowszych osiągnięć technicznych oraz kosztów wdrożenia rozwiązań w zakresie ochrony danych osobowych zarówno w momencie ustalania środków niezbędnych do przetwarzania, jak i podczas przetwarzania przy wdrożeniu odpowiednich środków i procedur technicznych i organizacyjnych, w taki sposób by przetwarzanie gwarantowało ochronę praw podmiotu danych. Takie sformułowanie akcentuje konieczność dynamicznego doskonalenia się administratora danych osobowych w obszarze nowych technologii. Jest zobowiązany do znajomości i monitorowania nowych zagrożeń i rozwiązań im zapobiegającym. Przywołane rozporządzenie akcentuje ciągłość działań administratora w obszarze ochrony danych.
Niewątpliwie kwestia ochrony danych osobowych w związku z wejściem w życie unijnego rozporządzenia stanie się istotnym wyzwaniem dla polskich przedsiębiorców. Istotną konsekwencją unijnej reformy jest także zaostrzenie kar dla przedsiębiorców, którzy będą gromadzić i udostępniać dane w sposób sprzeczny z przepisami. Oczekiwanie względem administratora danych osobowych
w zakresie znajomości najnowszych technologii skłoni wiele firm do powołania Administratora Bezpieczeństwa Informacji. Takie rozwiązanie pozwoli delegować obowiązki związane z ochroną danych na osobę, która posiada stosowną wiedzę w tym zakresie. Umożliwi także stałe podnoszenie kwalifikacji ABI w zakresie nowych technologii, zgodnie z wymogami rozporządzenia.
dr Katarzyna Schmidt – Kwiecińska, radca prawny, Uniwersytet SWPS Wrocław
***
(1) Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2015 r. poz 2135 z późn. zm.)
(2) Pewne standardy wprowadza załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych (Dz. U. z 2004 r. Nr 100, poz. 1024). Wymienione w załączniku poziomy bezpieczeństwa: podstawowy, podwyższony i wysoki wydają się niewystarczające. Wątpliwości co do adekwatnych sposobów zabezpieczeń w żaden sposób nie rozstrzyga dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
(3) Art. 17 ust. 1 dyrektywy obliguje ADO do wprowadzenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych.
(4) Zastąpienia dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych rozporządzeniem w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) (Art. 23 ust. 1)
