Fot. Materiały LSW

Bezpieczeństwo danych w dobie cyberataków

Coraz częściej docierają do nas doniesienia o kolejnych, coraz bardziej zuchwałych cyberatakach. Swoim zasięgiem obejmują one zarówno instytucje publiczne, wielkie koncerny, jak i mniejsze podmioty – bez względu na branżę, w której działają.

Dotyczy to również firm z branży eventowej, które przy organizacji wielu imprez przetwarzają dane osobowe ogromnej liczby uczestników. Zadawane dotychczas przez przedsiębiorców pytanie „Czy zostaniemy zaatakowani?” zastępuje obecnie pytanie „Kiedy zostaniemy zaatakowani?”. Dlatego odpowiednie zabezpieczenie danych przed ich naruszeniem powinno stanowić dla nich priorytet. 

Nowe przepisy, surowe kary 
Zastosowanie odpowiednich środków technicznych oraz organizacyjnych zapewniających bezpieczeństwo oraz poufność przetwarzanych danych osobowych nabiera nowego wymiaru  w związku z reformą ochrony danych osobowych wprowadzaną przez ogólne rozporządzenie o ochronie danych osobowych (Rozpo- rządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.), którego przepisy wejdą w życie 25 maja 2018 r. Nowa regulacja niesie istotne zmiany w zakresie odpowiedzialności z tytułu naruszenia przepisów o ochronie danych, zmienia podejście do środków ich zabezpieczenia oraz nakłada nowe obowiązki w przypadku naruszenia ich ochrony (zgłoszenie i zawiadomienie o naruszeniu).  W zakresie odpowiedzialności za naruszenie danych osobowych RODO po pierwsze wprowadza surowe kary administracyjne (sięgające 20 mln euro), które będzie mógł nałożyć organ nadzoru (obecny GIODO) bezpośrednio po stwierdzeniu naruszenia. Po wejściu w życie nowych przepisów, niezależnie od administracyjnych kar pieniężnych, każdy administrator danych może również ponosić bezpośrednią odpowiedzialność odszkodowawczą względem osób, których dane osobowe przetwarza.  RODO nakłada również na przedsiębiorców nowe obowiązki w sytuacjach naruszenia ochrony przetwarzanych danych (np. wycieku czy kradzieży). W takich przypadkach przedsiębiorca, będący administratorem, w pierwszej kolejności będzie zobowiązany zgłosić takie naruszenie organowi nadzoru bez zbędnej zwłoki, w ciągu 72 godz. po stwierdzeniu naruszenia. Obowiązek notyfikacji będzie wyłączony w przypadku, gdy nie będzie ryzyka naruszenia praw lub wolności osób fizycznych, których dane zostały naruszone. W sytuacji jednak, gdy ryzyko naruszenia praw lub wolności będzie wysokie, przedsiębiorca będzie zobowiązany dodatkowo do zawiadomienia osoby, której dane zostały naruszone. Niedopełnienie powyższych obowiązków informacyjnych może skutkować odpowiedzialnością administratora, z karą pieniężną włącznie.  

Minimalizacja ryzyka 
Jak zatem skutecznie zabezpieczyć dane oraz uniknąć odpowiedzialności w przypadku ich naruszenia? Zgodnie z nowym podejściem wybór środków technicznych i organizacyjnych w tym zakresie należy do administratora (a także podmiotu, któremu powierzono przetwarzanie danych). W pierwszej kolejności przedsiębiorca powinien oszacować ryzyko właściwe dla przetwarzania przez siebie danych osobowych, a następnie wdrożyć odpowiednie środki minimalizujące to ryzyko. Analiza powinna uwzględniać zakres i charakter przetwarzanych danych oraz sposób ich przetwarzania. Konieczne jest uwzględnienie ryzyka związanego w szczególności z nieuprawnionym dostępem i ujawnieniem danych oraz konsekwencjami z tym związanymi. Po ocenie ryzyka przedsiębiorca powinien dobrać odpowiednie środki ochrony. Stosowane środki powinny „zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie”. RODO nie podaje konkretnych przykładów i najlepszych rozwiązań. Nie określa również minimalnych standardów technicznych. Decyzja pozostaje w tym przypadku po stronie przedsiębiorcy.  Na gruncie przepisów RODO, na każdym administratorze danych spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych i stosowanych środków z wymogami rozporządzenia, a co najważniejsze, wykazania ich zgodności z wymogami rozporządzenia – zasadą rozliczalności (ang. accountability). A zatem, aby uniknąć odpowiedzialności (np. kar umownych), nawet w przypadku wycieku danych, przedsiębiorca powinien być w stanie wykazać, że zastosował odpowiedni stopień bezpieczeństwa danych. Zabezpieczenie danych osobowych po wejściu w życie RODO nie będzie sprowadzało się do jednorazowej czynności formalnej (np. opracowanie polityki czy instrukcji IT), ale na procesie ochrony danych.

Maciej Dudek
Radca prawny, specjalizuje się w prawie własności intelektualnej,
LSW Leśnodorski Ślusarek i Wspólnicy

www.lsw.com.pl
www.lswipblog.pl