• Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2019 Michał Nosowski, Toruń. 

Przedsiębiorco, radź sobie sam

09.12.2017

 

 

 

 

Wyobrażacie sobie, że w normach budowlanych znajduje się tylko jeden zapis „buduj tak, żeby się nie zawaliło”. A przepisy kulinarne brzmią następująco „gotuj, aby było zdrowo i smacznie”.

 

Niektórzy uważają, że rozporządzenie RODO zbliża nas do takich standardów jeśli chodzi o wytyczne dotyczące tego jak zabezpieczać swoje dane. Nie do końca jest to prawda. Jedno jest faktem – obecna lista tego, co powinno się zrobić, aby odpowiednio zabezpieczyć przetwarzane dane osobowe, zniknie. Nie będzie więc już wynikających z aktów prawnych reguł, że hasło powinno mieć osiem znaków, w tym wielką literę, a dodatkowo powinno być zmieniane co najmniej raz na 30 dni.

 

Od 25 maja 2018 roku RODO (a dokładnie art. 24 ust. 1) będzie bowiem wskazywało tak:

 

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

 

Oznacza to, że administrator danych osobowych sam musi ocenić, czy zabezpieczenia, których używa, są adekwatne i czy powinny zostać zwiększone. Rozporządzenie wskazuje jedynie cel, który musi zostać osiągnięty, jakim jest bezpieczeństwo danych.

 

W treści rozporządzenia znajdziemy jednak także kilka wskazówek (zwłaszcza w przepisie art. 32 ust. 1 RODO), jak doprowadzić do tego, aby dane osobowe były zabezpieczone możliwie jak najlepiej. Rozporządzenie wskazuje bowiem na:

  1. pseudonimizację,

  2. szyfrowanie danych,

  3. regularnie testowanie środków bezpieczeństwa,

  4. umożliwienie szybkiego przywrócenia dostępu do danych,

  5. umożliwienie ciągłego zapewnienia poufności, integralności, dostępności i odporności,

Tym samym rozporządzenie, nie wskazując jednoznacznie, co jest konieczne do zapewnienia odpowiedniego poziomu zabezpieczeń, zwraca uwagę na te środki, które mogą przybliżyć nas do wyznaczonego celu, jakim jest bezpieczeństwo danych.

 

Dodatkowo, w motywie 83 rozporządzenia możemy przeczytać, że zabezpieczenia powinny uwzględniać m.in. stan wiedzy technicznej oraz koszty ich wdrożenia. Daje to nadzieję na pewien rozsądek interpretacyjny – należy zapewnić bezpieczeństwo danych, ale nie musimy za wszelką cenę wprowadzać każdego możliwego zabezpieczenia, aby spełnić cele wskazane w rozporządzeniu.

 

Być może wysokie kary i spory rozgłos dotyczący RODO sprawi, że np. szyfrowanie w końcu stanie się standardem (zwłaszcza w odniesieniu do danych wrażliwych) a nie ciekawostką, na którą decydowały się jedynie duże i zamożne podmioty.

 

Oby tak było.

 

A publikacji (nie aktów prawnych) dotyczących zabezpieczeń systemów informatycznych jest sporo. Myślę, że nie trzeba wszystkiego przepisywać do rozporządzeń.

Share on Facebook
Share on Twitter
Please reload

Please reload

Michał Nosowski
Radca prawny

 

Jestem prawnikiem i zajmuję się tym jak regulacje prawne przenikają się z nowymi technologiami. Dlatego często współpracuję z programistami, osobami zajmującymi się marketingiem i ludźmi, którzy tworzą innowacyjne biznesy. Moim celem jest tłumaczenie jak w przystępny sposób dostosować swój nowatorski biznes do przepisów prawa, a przy okazji nie zatrzymać jego rozwoju.

Istotne jest dla mnie to, aby to co tu publikuję było jasne i czytelne nie tylko dla innych prawników. Dlatego nie zamieszczam tu nudnych analiz poszczególnych przepisów, setek orzeczeń albo fragmentów opasłych komentarzy. Chcę być zrozumiałym dla Ciebie i wierzę, że o prawie można mówić z uśmiechem na twarzy.

O czym piszę najczęściej? O ochronie danych osobowych, umowach w IT, prawnych regulacjach prowadzenia działalności gospodarczej i tych przepisach, które dotyczą działalności w sieci. Czasem wspomnę coś o kryptowalutach albo praniu pieniędzy. Poza tym zajmuję się prawną obsługą biznesu, wdrażam RODO, prowadzę audyty z ochrony danych osobowych, a czasem także szkolę.

Jeśli chcesz się ze mną skontaktować, napisz na: kontakt@mnosowski.pl