Praktyczne zasady przetwarzania danych osobowych w sposób teleinformatyczny  (art. 32 RODO)

Co w praktyce oznacza bezpieczeństwo przetwarzania danych?

Jak wskazuje art. 32 ust. 1 RODO, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku.

Dokładniej:

• Nie ma jednej metody, która byłaby właściwa w każdym przypadku – środki należy dobrać do rodzaju danych i okoliczności.

• Nie chodzi tylko o firewalle czy silne hasła, ale również o procesy i procedury wewnątrz firmy.

• Odpowiedzialność jest po stronie administratora – to on musi udowodnić, że zrobił wszystko, aby zapewnić zgodność z przepisami.

Środki bezpieczeństwa muszą zagwarantować poufność, integralność i dostępność danych. W związku z tym nie wystarczy, że dane po prostu są. Muszą być dostępne dla uprawnionych osób, odporne na usunięcie przez błąd lub atak, a jednocześnie chronione przed nieuprawnionym dostępem.

Obowiązek analizy ryzyka – jak to wygląda w praktyce?

Analiza ryzyka jest jednym z filarów zgodności z art. 32 RODO i jednocześnie pierwszym krokiem do wdrożenia odpowiedniego poziomu bezpieczeństwa. Nie mówimy o złożonych modelach matematycznych, a o rzeczowym, zdroworozsądkowym podejściu: co może się wydarzyć, jakie będą skutki i jak można temu zapobiec?

Analiza ryzyka powinna odpowiedzieć na trzy najistotniejsze pytania:

1. Jakie dane przetwarzasz?

Mogą to być dane pracowników (np. umowy, dane płacowe), klientów (adresy, numery zamówień), użytkowników aplikacji (loginy, preferencje zakupowe), dane szczególnej kategorii (np. zdrowotne) lub dane wrażliwe dla firmy (np. tajemnice handlowe).

2. Jakie są zagrożenia?

Należy wziąć pod uwagę zarówno zdarzenia losowe, jak i typowe incydenty informatyczne (atak ransomware, phishing, utrata laptopa czy nieuprawniony dostęp do danych).

3. Jakie mogą być skutki naruszenia?

Ujawnienie danych wrażliwych wiąże się nie tylko z konsekwencjami prawnymi i karami finansowymi. Można zaobserwować również spadek zaufania klientów, utratę reputacji, a nawet roszczenia odszkodowawcze.

Przykład: Firma usługowa przechowuje dokumentację klientów w chmurze. Musi ocenić, czy dostawca zapewnia odpowiednie mechanizmy bezpieczeństwa, np. szyfrowanie transmisji i plików, backup danych, wysoką dostępność usług. Jeżeli nie, ryzyko rośnie, a zabezpieczenia są niewystarczające.

Przykłady środków technicznych i organizacyjnych – co warto wdrożyć?

RODO nie daje gotowej listy narzędzi do wdrożenia. Jednak w oparciu o wytyczne i praktyki rynkowe możliwe jest wskazanie zestawu realnych działań: technicznych i organizacyjnych.

Małe i średnie firmy powinny wdrożyć:

• silne hasła i uwierzytelnianie dwuskładnikowe,

• systematyczne tworzenie kopii zapasowych,

• ograniczenie dostępu do danych tylko do osób uprawnionych,

• regularne aktualizacje oprogramowania,

• politykę czystego biurka i blokowania komputerów po odejściu od stanowiska,

• szafki zamykane na klucz do dokumentacji papierowej.

Większe firmy muszą zadbać o:

• szyfrowanie danych w spoczynku i w tranzycie (np. TLS, AES-256),

• zarządzanie dostępami (role, logowanie zdarzeń),

• SIEM lub DLP (monitorowanie incydentów bezpieczeństwa),

• testy penetracyjne (audyt podatności systemów),

• szkolenia dla pracowników (również działów IT),

• procedury awaryjne i plany ciągłości działania (disaster recovery).

Warto zwrócić uwagę na środki wymienione w art. 32 ust. 1 lit. a RODO, czyli pseudonimizację i szyfrowanie danych. Mechanizmy te znacząco zwiększają poziom bezpieczeństwa. Nawet gdy dojdzie do naruszenia, dane bez klucza są bezużyteczne.

Przykładem mogą być dane klientów zaszyfrowane algorytmem AES-256, zapisane na nośniku offline lub w chmurze posiadającej odpowiedni dostęp, które obniżają ryzyko dotkliwego, potencjalnego incydentu.

Jak ocenić odpowiedni poziom bezpieczeństwa?

Art. 32 RODO nie narzuca sztywnych reguł. Mówi o „odpowiednim poziomie bezpieczeństwa”. Ale co to właściwie znaczy? Odpowiedni oznacza po prostu dostosowany do ryzyka. Inaczej będzie wyglądało zabezpieczenie skrzynki e-mail w małej firmie, a inaczej bazy danych pacjentów w klinice. Właśnie dlatego RODO stawia na elastyczność i proporcjonalność, a nie na jedną listę obowiązków dla wszystkich podmiotów.

W ocenie poziomu zabezpieczeń musisz wziąć pod uwagę kilka kryteriów:

• Aktualny stan wiedzy technicznej

Czy stosujesz rozwiązania, które odpowiadają współczesnym zagrożeniom? Szyfrowanie danych, uwierzytelnianie dwuskładnikowe, zarządzanie dostępem – to absolutna podstawa, nawet w jednoosobowej działalności. W przypadku dużych firm jest to wdrożenie klasy SIEM, DLP, czy systemów backupowych typu immutable backup.

• Koszt wdrożenia

RODO mówi jasno, że koszt może być uwzględniony, ale nie może stanowić wymówki. Kiedy ryzyko naruszenia jest wysokie (np. przetwarzasz dane zdrowotne lub informacje o dzieciach), argument że wdrożenie rozwiązań jest zbyt drogie, po prostu nie wystarczy.

• Charakter, zakres i kontekst przetwarzania

Dane marketingowe klientów e-sklepu to zupełnie inna sprawa niż dane pacjentów, wyniki testów psychologicznych czy dane lokalizacyjne użytkowników aplikacji. Im bardziej dane są wrażliwe, tym wyższy poziom zabezpieczeń należy zastosować. Znaczenie ma również skala działalności. 1000 rekordów w arkuszu kalkulacyjnym to nie to samo co milion użytkowników w systemie ERP.

• Prawdopodobieństwo naruszenia i jego skutki

Jeżeli przetwarzasz dane wrażliwe w środowisku zdalnym z dostępem z wielu lokalizacji, ryzyko jest spore. Musisz przewidzieć skutki nieuprawnionego logowania, wycieku hasła, zagubienia laptopa bez szyfrowania dysku.

• Certyfikaty i kody postępowania jako potwierdzenie zgodności

Art. 32 ust. 3 RODO wskazuje wprost, że zgodność z wymogami bezpieczeństwa można potwierdzić poprzez wdrożenie odpowiednich certyfikatów, np. ISO/IEC 27001. Możliwe jest też potwierdzenie przez przystąpienie do zatwierdzonych kodeksów postępowania. Jest to istotny argument, który może okazać się przydatny zwłaszcza w firmach współpracujących z dużymi kontrahentami lub uczestniczących w przetargach.

Ważne: Przechowując dane kandydatów w Excelu bez hasła na współdzielonym dysku nie zapewniasz odpowiedniego poziomu bezpieczeństwa. Nawet w małej firmie będzie to zbyt ryzykowne. Warto wówczas zainwestować w system ATS lub prosty CRM z uprawnieniami dostępu.

Jak zapewnić poziom bezpieczeństwa w zależności od rodzaju danych? Porada kancelarii:

Jak może pomóc kancelaria?

Nasza kancelaria wspiera przedsiębiorców w dostosowaniu się do wymogów art. 32 RODO – krok po kroku, zgodnie z literą prawa i realiami biznesu. Bezpieczeństwo danych jest ściśle związane z odpowiedzialnością zarządu, działu HR, marketingu czy sprzedaży. Dlatego podchodzimy do tematu kompleksowo.

Jak pomagamy?

• Przeprowadzamy analizę ryzyka – pomagamy zidentyfikować zagrożenia związane z przetwarzaniem danych w systemach teleinformatycznych i określić, które zasoby wymagają priorytetowej ochrony.

• Wskazujemy odpowiednie środki ochrony – zarówno organizacyjne (np. procedury dostępu, polityki bezpieczeństwa), jak i techniczne (np. szyfrowanie, backupy, logowanie dostępu, MFA).

• Wspieramy przy wdrażaniu procedur – dostosowanych do wielkości i profilu działalności (np. polityka czystego biurka, zarządzanie uprawnieniami, rejestrowanie incydentów).

• Pomagamy przygotować dokumentację zgodną z RODO: polityki bezpieczeństwa, rejestry, raporty z analizy ryzyka, matryce dostępu i schematy odpowiedzialności.

• Reprezentujemy firmy podczas kontroli UODO – pomagamy przygotować się na audyt lub kontrolę i wspieramy w toku postępowania administracyjnego.

• Pomagamy ocenić i wdrożyć umowy z podmiotami przetwarzającymi – z naciskiem na obowiązki wynikające z art. 28 i 32 RODO.

Nasze podejście opiera się na założeniu, że RODO nie ma utrudniać prowadzenia firmy, ale ma ją zabezpieczać. Nie narzucamy gotowych schematów, a wspólnie z klientem opracowujemy rozwiązania, które mają sens zarówno z perspektywy prawa, jak i biznesu.

Pytania i odpowiedzi

Zaufali nam