RODO a systemy informatyczne

Obecnie największy wpływ na IT ma rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). Określa ono, kiedy stosować szyfrowanie, wprowadza zasady stosowania oprogramowania antywirusowego, szyfrowania danych osobowych, zapory ogniowe i nakazuje stosowanie określonego rodzaju haseł, które trzeba zmieniać co 30 dni.

W maju 2018 r. rozporządzenie to przestanie obowiązywać i informatyka pozostanie bez wyraźnych i jasno określonych wymagań technicznych. Wymagania w RODO są bowiem nakreślone bardzo ogólnie, m.in. w art. 32
ust. 1 i 2 rozporządzenia:

  1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…).
  2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Tak ogólne wymagania pojawiają się też w motywie 87 preambuły:

Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą.
 

Uważny czytelnik zapewne zauważył, że w obu przypadkach użyto określenia „odpowiednie”1. Łatwo się domyślić się, że w świetle nowych przepisów wybór zabezpieczeń będzie leżał po stronie organizacji i to ona musi ocenić, czy są one odpowiednie, czy nie.

Z jednej strony – to bardzo dobrze, że nowe przepisy są technologicznie neutralne, bo dają organizacjom większą swobodę w doborze rozwiązań, ale z drugiej strony – mniej doświadczone podmioty mogą nie wiedzieć, jak podejść do zabezpieczenia systemów, jeśli nie zostaną w pewnym sensie poprowadzone za rękę. W Polsce odczuje się to najbardziej, bo byliśmy prawdopodobnie jedynym krajem, w którym w przepisach wykonawczych zdefiniowano konkretnie, jak zabezpieczać system, przetwarzający dane osobowe.