Ochrona danych osobowych: technologiczna rewolucja polepszy bezpieczeństwo danych

Wkrótce zmienią się zasady zabezpieczania danych osobowych m.in. przez przedsiębiorców. Ma być łatwiej sporządzić analizę zabezpieczeń. Wymogi będą dostosowane do współczesnych realiów.

Ministerstwo Administracji i Cyfryzacji pracuje nad zmianą rozporządzenia określającego zasady dokumentacji oraz warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, obowiązującego od ponad dziesięciu lat. Podpisał je minister spraw wewnętrznych i administracji.

Nowe rzeczywistość

– Szeroka dostępność internetu, nowe technologie telekomunikacyjne, nowe rozwiązania w zakresie wykorzystania tych technologii, w tym towarzyszące tym rozwiązaniom nowe zagrożenia dla ochrony danych, wymuszają dokonanie zmian w zakresie zarówno technicznych, jak i organizacyjnych środków bezpieczeństwa – tłumaczy Małgorzata Kałużyńska-Jasak, rzecznik generalnego inspektora ochrony danych osobowych.

Poziom ochrony jest już nieadekwatny do realiów technologicznych

Maciej Byczkowski, prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji, który uczestniczy w pracach nad projektem, podkreśla, że przyjęty w obecnym rozporządzeniu podział na poziomy zabezpieczenia danych wymaga dostosowania do nowych realiów technologicznych oraz potrzeb rynku.

– Dlatego też jedną z podstawowych zmian ma być nowe zdefiniowanie poziomów bezpieczeństwa – mówi.

Rozporządzenie ma też uprościć i uelastycznić wymogi techniczne i dotyczące dokumentacji, które sprawiają dziś kłopoty zwłaszcza małym i średnim przedsiębiorcom. Ulgę mają odczuć zwłaszcza ci, którzy nie przetwarzają danych wrażliwych (np. dotyczących zdrowia czy karalności) i nie jest to głównym przedmiotem ich działalności.

Prezes Byczkowski wyjaśnia, że planowane jest doprecyzowanie wymagań dotyczących analizy zagrożeń zawiązanych z przetwarzaniem danych. Dziś dla niektórych przedsiębiorców nie jest jasne, w jaki sposób to zrobić.

– Rozporządzenie będzie zawierało wskazówki do przeprowadzenia takiej analizy, na podstawie której administrator określi, czy ma zastosować zabezpieczenie na poziomie podstawowym czy na wysokim – informuje.

Podkreśla, że na temat m.in. tych propozycji eksperci będą dyskutowali podczas rozpoczynającego się dziś Kongresu Administratorów Bezpieczeństwa Informacji.

Kolizje wymogów

Z części wymogów nakładanych przez obecne rozporządzenie mają być zwolnieni ci, którzy są zobowiązani do zabezpieczania informacji na podstawie innych norm, m.in rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i systemów teleinformatycznych bądź też rozporządzenia premiera w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego. Dlatego część przepisów może odsyłać właśnie do tych norm. Ma to zapobiec dublowaniu się wymogów i kolizji norm.