Naprawa sprzętu zawierającego dane osobowe a RODO

Administrator danych, myśląc o ich prawidłowym zabezpieczeniu, powinien uwzględnić wszystkie sytua­cje, które potencjalnie stwarzają ryzyko naruszenia bezpieczeństwa danych, w tym ich nieuprawnionego ujawnienia lub dostępu do nich osób nieupoważnionych.

Jedną z takich sytuacji, która, przy projektowaniu zasad bezpieczeństwa danych, często jest pomijana lub nieuwzględniona w wystarczającym stopniu, jest naprawa i konserwacja sprzętu wykorzystywanego do przetwarzania danych osobowych. Zagadnienie to jest o tyle istotne, że obecnie duża część administratorów danych przetwarza zgromadzone dane osobowe niemal wyłącznie w formie elektronicznej. W tym celu wykorzystuje nie tylko komputery i laptopy, ale także mniejsze nośniki danych, jak pendrivy, dyski przenośne itp. Co istotne, często zdarza się, że administrator dysponuje własną infrastrukturą sprzętową, taką jak serwery, na których gromadzi dużą część przetwarzanych danych osobowych, lub korzysta w tym celu z udostępnionej mu przez inne podmioty infrastruktury w różnych modelach (hosting, „chmury”, Saas itd.).

 

Trzeba zwrócić uwagę na to, że chociaż poziom zabezpieczeń sprzętu informatycznego jest obecnie dość wysoki, a administratorzy danych mogą korzystać z różnych rozwiązań mających na celu zabezpieczenie danych osobowych, to jednak żadne z tych narzędzi nie jest bezawaryjne. W tej sytuacji administrator danych powinien określić i wdrożyć zasady i procedury związane z naprawą sprzętu służącego do przetwarzania danych osobowych.

 

WAŻNE!

Przede wszystkim naprawa sprzętu służącego do przetwarzania danych osobowych powinna się odbywać w pomieszczeniach wyznaczonych przez administratora danych. Wynoszenie tego sprzętu poza siedzibę administratora danych powinno się odbywać w wyjątkowych przypadkach i tylko w sytuacji, gdy jest to absolutnie konieczne i nie ma innej możliwości naprawy tego sprzętu.

 

Naprawa sprzętu służącego do przetwarzania danych osobowych powinna być wykonywana przez upoważnionych pracowników administratora danych albo przez podmiot przetwarzający, któremu administrator danych zlecił zarządzanie i obsługę daną infrastrukturą informatyczną. W sytuacji, gdy nie ma takiej możliwości z uwagi na brak pracowników (administratora danych lub podmiotu przetwarzającego) posiadających odpowiednie kompetencje, można zlecić wykonanie koniecznych prac naprawczych zewnętrznemu podmiotowi, pamiętając o zawarciu odpowiedniej umowy przetwarzania danych osobowych.

 

WAŻNE!

Zlecenie naprawy sprzętu zawierającego dane osobowe powinno odbywać się z uwzględnieniem zasad powierzania danych osobowych wskazanych w RODO.

Przede wszystkim należy zatem zawrzeć z podmiotem, któremu zlecone zostaną odpowiednie prace, umowę powierzenia przetwarzania danych osobowych, zgodnie z wymaganiami art. 28 RODO.


Ponadto należy pamiętać, że procedury dotyczące naprawy sprzętu zawierającego dane osobowe powinny być uwzględnione we wdrożonej u administratora danych polityce bezpieczeństwa.

Zgodnie z wytycznymi Prezesa Urzędu Ochrony Danych Osobowych w polityce bezpieczeństwa danych osobowych administrator danych powinien w miarę potrzeb (w zależności od stosownych rozwiązań technicznych) określić:

WAŻNE!

Zgodnie z art. 33 ust. 1 RODO administrator danych jest zobowiązany bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić do Urzędu Ochrony Danych Osobowych incydenty dotyczące naruszenia ochrony danych osobowych.

Pamiętać jednak należy, że nie wszystkie tego typu sytuacje muszą być zgłaszane we wskazanym wyżej trybie. Zgłoszenie dotyczy poważniejszych incydentów naruszenia ochrony danych osobowych.

Zgodnie z art. 33 ust. 5 RODO administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na zweryfikowanie przestrzegania przepisów niniejszego artykułu.

Powyższe oznacza zatem, że nawet jeśli administrator danych nie zdecyduje się zgłosić danego incydentu do PUODO, to mimo wszystko powinien odnotować go w wewnętrznej dokumentacji. Zgodnie z powołanym wyżej przepisem każdy administrator danych jest zobowiązany do prowadzenia takiego wewnętrznego rejestru, w którym odnotowuje wszelkie incydenty, w tym drobne awarie urządzeń i systemów służących do przetwarzania danych.

  1. procedury prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń danych osobowych – w dokumentacji tej administrator danych odnotowuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze;
  2. wprowadzenie planu ciągłości działania (art. 32 ust. 1 pkt b RODO) – polegające na wdrożeniu przez administratora danych odpowiednich środków technicznych i organizacyjnych pozwalających uzyskać zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3. wprowadzenie procedury odtwarzania systemu po awarii oraz jego testowania (art. 32 ust. 1 pkt c i d RODO) – administrator danych zapewnia zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

WAŻNE!

Zgodnie z art. 32 RODO wdrożenie odpowiedniego planu ciągłości działania oraz procedur odtwarzania systemu po awarii następuje z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania przyjętych rozwiązań, charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.

Z uwagi na powołany wyżej przepis ewentualne awarie, zarówno sprzętu, jak i systemu informatycznego służącego do przetwarzania danych osobowych powinny być uwzględnione w przeprowadzonej przez administratora danych analizie ryzyka, z uwzględnieniem środków, jakie należy wdrożyć, by zminimalizować ryzyko naruszenia bezpieczeństwa przetwarzanych danych osobowych.

W tej sytuacji należy określić, jakie jest prawdopodobieństwo wystąpienia danego incydentu i jakie konsekwencje za sobą pociągnie.

Inne ryzyko występuje w sytuacji np. awarii laptopa służącego do wysyłania służbowych maili, a inne kiedy dojdzie do awarii komputera, na którym zgromadzone są duże bazy danych osobowych. W każdym z tych przypadków powinny być wdrożone różne procedury reagowania na takie incydenty.

Istotne jest natomiast, żeby niezależnie od stwierdzonego ryzyka awarii sprzętu i związanej z tym utraty danych, zadbać o regularne wykonywanie kopii zapasowych, z których odtworzenie danych w razie jakiegokolwiek incydentu będzie możliwe.