Administratorom bezpieczeństwa informacji i specjalistom od zabezpieczenia danych osobowych sen z powiek spędza kwestia zabezpieczenia danych osobowych zgodna z ogólnym unijnym rozporządzeniem o ochronie danych (RODO), które będzie miało zastosowanie od 25 maja 2018 r. Do tej pory sytuacja była paradoksalnie stosunkowo prosta – w praktyce organizacje musiały wykazać zgodność stosowanych przez nie środków zabezpieczeń z listą środków wskazanych w rozporządzeniu o środkach zabezpieczających z 2004 r. Teraz sytuacja diametralnie się zmieni – to organizacje będą musiały samodzielnie ocenić adekwatność zabezpieczenia danych. Jak mają się zmierzyć z tym wyzwaniem i czy są na to gotowe?
Nowe podejście
Zarówno teraz, jak i w przyszłości na organizacjach będzie ciążył obowiązek samodzielnego określenia stosownych środków zabezpieczających i ustalenia poziomu zabezpieczeń adekwatnego do ryzyka związanego z przetwarzaniem danych.
Szczegółowe przepisy określone w rozporządzeniu o środkach zabezpieczających z 2004 r. (choć już dość archaiczne i pozostawiające wiele do życzenia), pomagały w osiągnięciu formalnej zgodności z prawem. Dotychczasowe podejście pozwalało przedsiębiorcom w stosunkowo łatwy sposób wywiązać się z bardzo formalistycznych obowiązków ochrony danych, poprzez przygotowanie sztampowej dokumentacji, odłożenie jej na półkę i powracanie do niej jedynie w przypadku kontroli generalnego inspektora ochrony danych osobowych.
Ustawa o ochronie danych osobowych oraz wspomniane rozporządzenie o środkach zabezpieczających przestaną obowiązywać 25 maja 2018 r. wraz z rozpoczęciem stosowania rozporządzenia PE i Rady nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO"). Rozporządzenie przewiduje jedynie ogólne obowiązki wdrożenia środków technicznych i organizacyjnych przetwarzania danych, uwzględniających charakter, zakres, kontekst, cele przetwarzania danych i ryzyko naruszenia, a także wdrożenia polityk ochrony danych (o ile jest to proporcjonalne do czynności przetwarzania). Wskazuje też nieliczne przykłady zabezpieczenia danych jak szyfrowanie i pseudonimizację a także wymienia zasady zabezpieczenia danych takie jak:
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;