Wyobrażacie sobie, że w normach budowlanych znajduje się tylko jeden zapis „buduj tak, żeby się nie zawaliło”. A przepisy kulinarne brzmią następująco „gotuj, aby było zdrowo i smacznie”.
Niektórzy uważają, że rozporządzenie RODO zbliża nas do takich standardów jeśli chodzi o wytyczne dotyczące tego jak zabezpieczać swoje dane. Nie do końca jest to prawda. Jedno jest faktem – obecna lista tego, co powinno się zrobić, aby odpowiednio zabezpieczyć przetwarzane dane osobowe, zniknie. Nie będzie więc już wynikających z aktów prawnych reguł, że hasło powinno mieć osiem znaków, w tym wielką literę, a dodatkowo powinno być zmieniane co najmniej raz na 30 dni.
Od 25 maja 2018 roku RODO (a dokładnie art. 24 ust. 1) będzie bowiem wskazywało tak:
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Oznacza to, że administrator danych osobowych sam musi ocenić, czy zabezpieczenia, których używa, są adekwatne i czy powinny zostać zwiększone. Rozporządzenie wskazuje jedynie cel, który musi zostać osiągnięty, jakim jest bezpieczeństwo danych.
W treści rozporządzenia znajdziemy jednak także kilka wskazówek (zwłaszcza w przepisie art. 32 ust. 1 RODO), jak doprowadzić do tego, aby dane osobowe były zabezpieczone możliwie jak najlepiej. Rozporządzenie wskazuje bowiem na:
pseudonimizację,
szyfrowanie danych,
regularnie testowanie środków bezpieczeństwa,
umożliwienie szybkiego przywrócenia dostępu do danych,
umożliwienie ciągłego zapewnienia poufności, integralności, dostępności i odporności,
Tym samym rozporządzenie, nie wskazując jednoznacznie, co jest konieczne do zapewnienia odpowiedniego poziomu zabezpieczeń, zwraca uwagę na te środki, które mogą przybliżyć nas do wyznaczonego celu, jakim jest bezpieczeństwo danych.
Dodatkowo, w motywie 83 rozporządzenia możemy przeczytać, że zabezpieczenia powinny uwzględniać m.in. stan wiedzy technicznej oraz koszty ich wdrożenia. Daje to nadzieję na pewien rozsądek interpretacyjny – należy zapewnić bezpieczeństwo danych, ale nie musimy za wszelką cenę wprowadzać każdego możliwego zabezpieczenia, aby spełnić cele wskazane w rozporządzeniu.
Być może wysokie kary i spory rozgłos dotyczący RODO sprawi, że np. szyfrowanie w końcu stanie się standardem (zwłaszcza w odniesieniu do danych wrażliwych) a nie ciekawostką, na którą decydowały się jedynie duże i zamożne podmioty.
Oby tak było.
A publikacji (nie aktów prawnych) dotyczących zabezpieczeń systemów informatycznych jest sporo. Myślę, że nie trzeba wszystkiego przepisywać do rozporządzeń.