Podsumowanie wyzwań dla bezpieczeństwa informacji – o co zadbać w 2023 roku?

Nowy Rok to moment podsumowywań i planowania działań na nadchodzący czas. W 2023 r. na przedsiębiorców czekają spore wyzwania – w szczególności w zakresie zapewnienia bezpieczeństwa informacji w organizacji i ochrony danych osobowych w organizacji. Bazując na doświadczeniu z ostatnich 12 miesięcy, przygotowaliśmy dla Państwa subiektywny przegląd tematów, o których w zbliżającym się czasie powinien pamiętać każdy, kto odpowiada za bezpieczeństwo informacji i danych osobowych w przedsiębiorstwie.

Powierzenie przetwarzania i transfery poza EOG

Weryfikacja procesora

Przedsiębiorcy coraz częściej decydują się na outsourcing procesów związanych ze swoją działalnością. Niezależnie, czy wiąże się to ze skomplikowanym procesem migracji do chmury obliczeniowej, czy prostą czynnością niszczenia dokumentów, muszą pamiętać o uwzględnieniu kontekstu ochrony danych osobowych. Jest to istotne zwłaszcza wtedy, gdy dojdzie do powierzenia przetwarzania danych. Zanim zapadnie decyzja, z jakim podmiotem podjąć współpracę, administrator powinien zweryfikować, czy zagwarantuje on  należyty stopień ochrony danych.

W tym celu w praktyce wykorzystuje się swojego rodzaju listę kontrolną, która dotyczy przyjętych przez kontrahenta środków zabezpieczających albo procedur postępowania. Odpowiedzi procesora pozwalają na sprawne zarządzenie ewentualnym ryzykiem w organizacji. Już na początkowym etapie administrator może dowiedzieć się, czy kontrahent np. przekazuje dane poza EOG, zgadza się informować o incydentach w uzgodnionym terminie lub dopuszcza przeprowadzenie audytu w swoim przedsiębiorstwie. Przeprowadzenie testu procesora w tym momencie pozwala administratorowi nie tylko wykazać się należytą realizacją obowiązków z RODO (tu zwłaszcza art. 28 ust. 1 RODO w zw. z art. 28 ust. 3(h) RODO), ale też ograniczyć czas i koszty związane z negocjowaniem umów z podmiotami, które od początku nie są w stanie spełnić wymagań ochrony danych. Na tym jednak weryfikacja procesora się nie kończy – zgodnie z RODO powinna być ona przeprowadzana cyklicznie przez cały okres współpracy.

Nowe Privacy Shield – czy już można bez przeszkód wysyłać dane do USA?

Choć prezydent J. Biden wydał tzw. Executive Order dotyczący dostępu służb wywiadu USA do danych osobowych, nadal nie mamy podstawy swobodnego przekazywania tych danych na linii EOG-USA. Komisja Europejska musi najpierw wydać decyzję stwierdzającą odpowiedni poziom ochrony danych w Stanach Zjednoczonych na podstawie art. 45 RODO. Zanim to zrobi, Komisja wysłucha opinii Europejskiej Rady Ochrony Danych oraz państw członkowskich. Proces ten może trwać kilka miesięcy – przewiduje się, że decyzja zostanie ogłoszona najwcześniej wiosną 2023 r. Dopiero po jej opublikowaniu przedsiębiorcy będą mogli się na nią powoływać, wysyłając dane do USA. Dziś transfer nadal wymaga dodatkowych zabezpieczeń, które opisujemy poniżej.

Ocena skutków transferu danych TIA  

Po unieważnieniu tzw. Tarczy Prywatności (Privacy Shield) zrobiło się głośno o konieczności dokonywania oceny skutków transferu danych (TIA – Transfer Impact Assessment). Administrator powinien ją przeprowadzić, jeżeli planuje transfer danych osobowych do państwa trzeciego (poza EOG), wobec którego Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni poziom ochrony na podstawie art. 45 RODO.

W jakim celu? TIA ma zbadać, czy w państwie tym jest zapewniony odpowiedni poziom ochrony danych osobowych. Dopiero po przeprowadzeniu TIA administrator może podjąć decyzję o tym, czy transfer będzie możliwy (legalny), czy też nie.

Co dalej? Jeżeli powyższa decyzja okaże się pozytywna, administrator będzie musiał na bieżąco monitorować sytuację w państwie docelowym i aktualizować TIA, a w razie potrzeby – zaprzestać transferu danych.

Jakie ma to znaczenie? Prawidłowe przeprowadzenie TIA może pozwolić na legalny transfer danych osobowych poza EOG, choć administrator musi czuwać nad aktualnością pierwotnej oceny. TIA nie jest samodzielną podstawą przekazania danych poza EOG – jest to etap wstępny, umożliwiający podejmowanie dalszych działań.

Ostatni dzwonek na nowe standardowe klauzule umowne

Koniec 2022 r. to intensywny czas dla administratorów transferujących dane osobowe poza EOG w oparciu o standardowe klauzule umowne (SCC). Są one jednym z mechanizmów umożliwiających transfer danych, a o ich nowej wersji pisaliśmy już tutaj. Administratorom nie zostało wiele czasu na działanie. Do 27 grudnia powinni aneksować wszystkie umowy zawierające poprzednią wersję SCC, a stare klauzule zastąpić nowymi. W przeciwnym razie mogą narazić się na naruszenie przepisów RODO, a nawet nałożenie kary pieniężnej.

Dane a cyberbezpieczeństwo

Cyberzagrożenia dotyczą przedsiębiorstw w coraz większym stopniu i mocno wiążą się z kwestią ochrony danych osobowych, dlatego będą jednym z największych wyzwań w 2023 r. Obserwujemy znaczny wzrost przypadków wykorzystania złośliwego oprogramowania przeciwko podmiotom, zwłaszcza oprogramowania typu ransomware (ostatni atak miał miejsce np. na Instytut Zdrowia Matki Polki).

W ostatnim czasie UE i państwa pracują nad aktami prawnymi z zakresu cyberbezpieczeństwa, m.in. dyrektywą NIS2, Digital Operational Resilience Act oraz projektem Cyber Resilicence Act. Nowe przepisy nakładają na przedsiębiorców szereg dodatkowych obowiązków. Niektóre z nich są kalką wymagań z RODO, przewidujących wdrożenie procedur, środków zabezpieczających czy też mechanizmów zgłaszania incydentów z zakresu cyberbezpieczeństwa do właściwego organu. Pamiętajmy jednak, że terminy zgłaszania takich incydentów mogą być krótsze niż te z RODO.

W nadchodzącym roku administratorzy powinni rozważyć zaplanowanie przeglądów obejmujących:

  • sposób funkcjonowania systemu IT pod kątem bezpieczeństwa informacji oraz wymogów RODO;
  • weryfikację odporności oprogramowania IT (testy bezpieczeństwa systemów i kontrola ich podatności na ataki, w tym testy penetracyjne);
  • skontrolowanie częstotliwości i zakresu wykonywanych kopii zapasowych danych;
  • szkolenia dla działu IT z zakresu bezpieczeństwa informacji i RODO, w szczególności w przypadku ich braku w ostatnich 12 miesiącach;
  • przegląd infrastruktury pod kątem adekwatności zasobów i wydajności posiadanych narzędzi.

Dane osobowe w HR

Praca zdalna a bezpieczeństwo informacji

Popularyzacja pracy zdalnej nie generuje wyzwań wyłącznie w obszarze prawa pracy, ale także bezpieczeństwa informacji i ochrony danych. Kradzież sprzętu, naruszenie poufności rozmowy z klientem, korzystanie z niesprawdzonych aplikacji lub sieci internetowych to tylko część zagrożeń dla danych osobowych. Przeprowadzenie nowej lub aktualizacja obowiązującej analizy ryzyka dla procesów przetwarzania, które wykonywane są zdalnie, wydaje się więc być nadal jednym z podstawowych obowiązków administratora. Działania te pozwalają  realnie ocenić potencjalne zagrożenia i wskazać środki, które powinny zostać wdrożone, aby skutecznie przeciwdziałać naruszeniom. W zależności od wyniku analizy, niezbędne może okazać się także przeprowadzenie oceny skutków dla ochrony danych (DPIA).

W celu minimalizacji nowych zagrożeń, dobrym rozwiązaniem będzie wdrożenie polityki ochrony danych osobowych dla pracowników pracujących zdalnie, która może okazać się obligatoryjna po wdrożeniu zmian w Kodeksie pracy dotyczących pracy zdalnej. Pamiętajmy jednak, że  same dokumenty nie zapewniają bezpieczeństwa – równie kluczowe jest budowanie świadomości zespołu w obszarze ochrony danych. Z tego powodu ważne jest też cykliczne szkolenie pracowników i weryfikacja ich wiedzy.

Coroczny przegląd ZFŚS

Przypominamy, że przepisy dot. ZFŚS nakładają na pracodawców obowiązek dokonywania przeglądu danych osobowych zawartych w dokumentacji wytworzonej w ramach prowadzenia Zakładowego Funduszu Świadczeń Socjalnych. Powinno się go wykonać nie rzadziej niż raz w roku kalendarzowym, aby ustalić niezbędność dalszego przechowywania zebranych danych osobowych osób korzystających ze świadczeń z Funduszu. Tym samym termin na przeprowadzenie przeglądu w 2022 r. upływa 31.12.2022 r.

Zalecamy, aby przeprowadzony przegląd wraz z wnioskami został udokumentowany w celach dowodowych.

Omnibus a e-commerce – opłacanie usług danymi osobowymi

Z początkiem 2023 r. wejdą w życie przepisy łączące ochronę danych osobowych oraz prawo konsumenckie, które wynikają z implementacji Dyrektywy Omnibus. Mowa o zasadach opłacania usług danymi osobowymi. W nadchodzącym roku przedsiębiorcy będą musieli stosować przepisy dotyczące ochrony konsumentów do umów, w ramach których konsument w zamian za treść lub usługę cyfrową nie płaci osobnego wynagrodzenia. Dostarcza natomiast dane osobowe, które są przetwarzane w celach innych niż wykonanie umowy lub obowiązku ustawowego.

Co zmiany te oznaczają w praktyce? Konieczne będzie dostosowanie regulaminów oraz procesów, obejmujących zasady dostarczania treści lub usług cyfrowych, w zamian za np. możliwość przetwarzania tych danych w celach marketingowych.

RODO a sygnaliści

W przyszłym roku spodziewamy się implementacji dyrektywy unijnej dotyczącej whistleblowingu. Jej wdrożenie w organizacji może okazać wyzwaniem również z perspektywy danych osobowych. Z uwagi na uruchomienie nowych procesów przetwarzania danych (osób dokonujących zgłoszenia czy w nim wymienionych) wskazane będzie przeprowadzenie analizy ryzyka i oceny skutków przetwarzania danych w procedurze sygnalistów. Nie zapominajmy także o zmapowaniu przepływu danych w organizacji oraz zaktualizowaniu wewnętrznej dokumentacji RODO. Ponadto zastanówmy się nad tym, jak postępować z obowiązkiem informacyjnym wobec osób, których dane ADO przetwarza w związku z otrzymanym zgłoszeniem. Odrębną kwestią jest objęcie whistleblowingiem naruszeń z zakresu danych osobowych. W tym przypadku niezbędny jest co najmniej przegląd wewnętrznej procedury zarządzania incydentami w celu powiązania jej treści z postępowaniem związanym ze zgłaszaniem nieprawidłowości przez sygnalistów.

W razie pytań w powyższych zakresach, nasi doradcy są do Państwa dyspozycji.

Autor: Ludmiła Łuczak

SENIOR MANAGER | RADCA PRAWNY | OW LEGAL ludmila.luczak@olesinski.com Więcej

Autor: Przemysław Gruchała

Autor: Mariusz Machowski

Autor: Katarzyna Wężyk

SENIOR ASSOCIATE | OW LEGAL katarzyna.wezyk@olesinski.com Więcej

Autor: Mateusz Wita

ASSOCIATE | OW LEGAL mateusz.wita@olesinski.com