Bezpieczeństwo przetwarzania danych – istota, zasady

Temat – rzeka, bo przecież właśnie bezpieczeństwo danych osobowych jest główną osią RODO i jednocześnie głównym celem jego wejścia w życie. W treści rozporządzenia, gdzie słowo „bezpieczeństwo” pojawia się prawie 90 razy, dedykowana jest mu odrębna Sekcja 2 obejmująca przepisy od art. 32 do 34.

Regulacja RODO nie odbiega zasadniczo od kształtu dotychczasowych rozwiązań prawnych. Uszczegóławia jednak nieco katalog środków, które powinien wdrożyć podmiot zajmujący się przetwarzaniem danych. Podkreślić należy jednocześnie, że w cyklu przetwarzania danych osobowych, obowiązek zapewnienia odpowiedniego stopnia bezpieczeństwa spoczywa zarówno na administratorze, jak i na każdym podmiocie przetwarzającym dane, niezależnie od skali i jego roli w procesie przetwarzania danych.

Bardzo ogólny obowiązek zapewnienia bezpieczeństwa danych jest przez ustawodawcę unijnego rozumiany jako obowiązek doboru odpowiednich środków bezpieczeństwa. Ma to nastąpić w oparciu o szereg równie ogólnych kryteriów, takich jak ocena ryzyka naruszenia praw i wolności osób, których dane dotyczą czy zasada proporcjonalności.

Kryteria odpowiedniości stanu bezpieczeństwa danych, jak wynika z art. 32 RODO dotyczą:

  • stanu wiedzy technicznej ocenianego z uwzględnieniem warunków rynkowych, w szczególności dostępności i akceptowalności danego rozwiązania technicznego;
  • kosztów wdrożenia rozwiązań uznanych za odpowiednie;
  • charakteru, zakresu, kontekstu i celów przetwarzania danych;
  • stwierdzonego stopnia ryzyka naruszenia praw i wolności osób, których dane dotyczą.

A co konkretnie?

Rzecz w tym, by administrator wdrożył odpowiednie rozwiązania techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych. W przepisie art. 32 RODO znajdziemy katalog technik, których stosowanie ma takie bezpieczeństwo zapewnić. Wśród nich m.in. pseudonimizacja i szyfrowanie, zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technologicznego. Katalog ten zawiera wytyczne odnoszące się do ściśle technicznych aspektów przetwarzania danych osobowych.

W art. 4 ust. 5 znajdziemy definicję pojęcia „pseudonimizacji”, pod którym należy rozumieć środek zabezpieczenia danych o charakterze wewnętrznym. Pseudonimizacja danych dokonywana będzie np. poprzez oddzielenie od zbioru danych takich, które będą umożliwiały powiązanie ich z konkretną osobą fizyczną. W takim przypadku dane poddane pseudonimizacji będą stanowiły zestaw określonych cech użytkownika, ale przypisanie ich do konkretnej osoby fizycznej będzie możliwe jedynie po połączeniu ich z danymi, które zostały niejako czasowo usunięte (oderwane) właśnie w procesie pseudonimizacji.

Można spotkać się z twierdzeniem, że RODO jest niczym innym, jak przełożeniem na język prawny norm technicznych, w szczególności normy PN-ISO/IEC 27001:2013. Tym samym warto pamiętać, by systemy, w których dane są przetwarzane, były zgodne nie tylko z przepisami RODO, ale także postanowieniami norm technicznych. Będzie to miało znaczenie np. w zakresie kolejnego środka bezpieczeństwa wskazanego przez ustawodawcę, a mianowicie szyfrowania.

Konieczność uwzględnienia przy doborze adekwatnych środków bezpieczeństwa danych, stanu wiedzy technicznej, kosztów wdrożenia oraz charakteru, zakresu i kontekstu przetwarzania danych, wraz z oszacowaniem ryzyka naruszenia praw i wolności osób, których dane dotyczą, jest jasnym wyrazem podejścia, jakie przyświecało unijnemu ustawodawcy przy projektowaniu nowej regulacji prawnej. Każdy, kto dane przetwarza musi liczyć się z ryzykiem, którego całkowicie wyeliminować się nie da, a jakie wiąże się z taką działalnością. Konieczne było tym samym wypracowanie nieco bardziej elastycznych ram prawnych, które nie będą blokowały podmiotów przetwarzających poprzez nakładanie sprecyzowanych sztywnych obowiązków. Konstrukcja bazująca na założeniu risk-based approach ma umożliwiać dokonanie samodzielnej oceny sytuacji przez administratora i podmiot przetwarzający i w konsekwencji wdrożenie takich środków, które zapewnią obiektywne bezpieczeństwo czynności dokonywanych na danych osobowych.

Skąd wiadomo, że dane są bezpieczne?

Warto zwrócić uwagę, że opis wdrożonych przez administratora / podmiot przetwarzający środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzania stanowi jeden z elementów rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania.

RODO przewiduje wprowadzenie tzw. zatwierdzonych kodeksów postępowania (art. 40 RODO) oraz mechanizmu certyfikacji (art. 42 RODO), które mają zapewniać, że administrator danych działając zgodnie z przyjętymi dobrymi praktykami zapewnia bezpieczeństwo danych.

W sekcji RODO odnoszącej się do bezpieczeństwa danych osobowych zamieszczone zostały także przepisy art. 33 i 34, które dotyczą notyfikacji organu nadzorczego oraz osób, których dane dotyczą, o zaistnieniu stanu naruszenia ochrony danych osobowych.

Szerzej o obowiązkach wynikających z przywołanych przepisów będziemy mówić w jednym z naszych kolejnych wpisów, do lektury którego oczywiście już teraz zapraszamy. Wrócimy także do tematu kodeksów i certyfikacji, o których mowa w art. 32 ust. 3 RODO.

Autor: Paulina Maślak-Stępnikowska