Nośniki z danymi osobowymi trzeba zabezpieczać! Jak zgodnie z RODO zabezpieczać dane osobowe?
Jak zgodnie z RODO zabezpieczać dane osobowe?… bo jak poniżej UODO poucza: nośniki z danymi osobowymi trzeba zabezpieczać!
Choć to unijne rozporządzenie kojarzy się z szeregiem bardzo uciążliwych regulacji, to jego podstawowym zadaniem jest ochrona danych osobowych osób fizycznych. To dlatego RODO nakłada na podmioty przetwarzające dane osobowe tak wiele obowiązków. Jednym z nich jest wdrożenie w firmie czy instytucji środków i zabezpieczeń, które te dane będą skutecznie chronić.
Każdy administrator danych ma obowiązek wdrożenia odpowiednich i skutecznych środków ochrony danych, a także powinien być w stanie wykazać, że czynności przetwarzania są zgodne z unijnym rozporządzeniem oraz że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić spełnienie wymogów unijnego rozporządzenia.
Podmioty przetwarzające dane osobowe zobowiązane są przestrzegać przepisów RODO i co za tym idzie muszą być w stanie wykazać, że tych regulacji przestrzegają. Dlatego też administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.
RODO stanowi, że w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z jego przepisami administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
RODO jest aktem prawnym neutralnym technologiczne. Oznacza to, że nie wskazuje, jakie środki i zabezpieczenia powinny być stosowane przez administratorów danych. Postęp technologiczny jest coraz szybszy i przepisy nie byłyby w stanie nadążyć za zmianami. Ustawodawca unijny stworzył więc akt, który ma być aktem obowiązującym przez wiele lat.
To administrator danych podejmuje decyzję o tym, jakie środki i zabezpieczenia będą u niego w jednostce wdrożone. Taką decyzję podejmuje w oparciu o wiedzę na temat tego, jakie dane przetwarza, w jakich zbiorach i systemach, na jakie zagrożenia są narażone przetwarzane dane. Administrator danych powinien więc uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Stosowanymi zabezpieczeniami mogą być:
a) pseudonimizacja i szyfrowanie danych osobowych,
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Wspomniana pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Wśród wymienionych przykładowo środków znalazła się zdolność do zapewnienia poufności, integralności i odporności systemów i usług przetwarzania. Za bezpieczeństwo danych przetwarzanych w systemach komputerowych odpowiada administrator i podmiot przetwarzający, którzy powinni zapewnić aktualne oprogramowania oraz regularne testowanie środków bezpieczeństwa. O konieczności aktualizowania stosowanych w jednostce programów komputerowych informuje UODO na stronie www.uodo.gov.pl. Z informacji tych wynika, że: „Aktualizacje są nieodłącznym aspektem w świecie informatycznym dlatego należy zdawać sobie sprawę z tego, że regularne aktualizowanie programów antywirusowych, oprogramowania typu firewall, przeglądarek, a także innych aplikacji i całych systemów operacyjnych, z których korzystamy na co dzień, jest jednym z kluczowych warunków zapewniających bezpieczną i stabilną pracę naszego komputera”.
Poza tym trzeba pamiętać o opracowaniu odpowiednich regulaminów pracy z systemami informatycznymi, sprzętem komputerowym, korzystania z poczty elektronicznej, pracy z nośnikami elektronicznymi zawierającymi dane osobowe, korzystania z internetu. Ze wszystkimi tymi regulaminami należy zapoznać pracowników i inne osoby, które przetwarzają dane osobowe.
źródło informacji: tutaj
Nośniki z danymi osobowymi trzeba zabezpieczać!
O konieczności zabezpieczania nośników z danymi osobowymi przypomina Urząd Ochrony Danych Osobowych (UODO), który właśnie poinformował o nałożeniu kary na Prezesa Sądu Rejonowego w Zgierzu w związku z naruszeniem ochrony danych osobowych polegającym na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego.
Prezes Sądu Rejonowego nie zabezpieczał służbowych nośników z danymi, a jedynie polecił swoim pracownikom, by sami to robili. Tymczasem to on, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych. Za brak takich rozwiązań organ nadzorczy nałożył na Prezesa Sądu administracyjną karę pieniężną w kwocie 10 tys. zł.
Decyzja o nałożeniu kary związana jest ze zgłoszeniem przez Prezesa Sądu Rejonowego w Zgierzu naruszenia ochrony danych osobowych polegającego na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Z uwagi na zakres ujawnionych danych osobowych, wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat o naruszeniu.
Zaginiony i zarazem niezabezpieczony nośnik pamięci nie został do tej pory odnaleziony, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na nim.
W toku postępowania UODO, administrator w składanych wyjaśnianiach wskazał, że wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta jest na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych. Ponadto administrator zapewnił, że podejmował działania w postaci szkoleń stacjonarnych oraz e-lerningowych dla pracowników Sądu (w tym kuratorów), dotyczące ochrony danych osobowych oraz zapisów wdrożonej dokumentacji, dyżurów pełnionych przez inspektora ochrony danych w siedzibie administratora, dyżurów on-line oraz doraźnych kontroli prowadzonych przez inspektora ochrony danych podczas dyżurów.
Jednakże, zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywa na użytkownikach. Zdaniem UODO takie podejście jest niewłaściwe. Postępowanie wykazało, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim.
Warto dodać, że przeprowadzanie szkoleń pracowników w zakresie ochrony danych osobowych jest konieczne i potrzebne, jednak nie można ich uznać za odpowiednie środki organizacyjne w tym konkretnym przypadku i nie powinny one zastąpić także rozwiązań o charakterze technicznym, których administrator nie przewidział. Ponadto w tej sprawie, administrator pozostawił faktyczne zabezpieczanie nośnika jego użytkownikowi, nie wskazując żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować. Należy mieć na uwadze, że pracownicy, tak jak to miało miejsce w tym przypadku, mogą nie posiadać wiedzy jak należy zabezpieczać nośniki z danymi osobowymi. Stosowane przez Prezesa Sądu działania nie mogą zatem zostać uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych.
Należy wskazać, że to administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO.
Ustalając wysokość administracyjnej kary pieniężnej, UODO uwzględnił jako okoliczność łagodzącą dobrą współpracę Prezesa Sądu z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.
Z powyższej historii wynika zatem, że nośniki z danymi osobowymi trzeba zabezpieczać!
źródło informacji: tutaj