Wstęp

Budowanie bezpieczeństwa danych osobowych w organizacji jest złożonym procesem, którego elementy na siebie oddziałują. Jego podstawowy komponent stanowi wdrożenie odpowiednich środków technicznych i organizacyjnych. Przy ich wyborze należy wziąć pod uwagę stan wiedzy technicznej i koszt wdrożenia, jak również uwzględnić charakter, zakres, kontekst, cele oraz ryzyko związane z przetwarzaniem danych osobowych. Realizacja tego obowiązku spoczywa na administratorach danych osobowych, a także na podmiotach, które otrzymały dane do przetwarzania. Muszą być oni w stanie wykazać, że wdrożyli odpowiednie środki bezpieczeństwa dla zapobieżenia naruszeniom ochrony danych osobowych.

Dlaczego środki techniczne i organizacyjne są tak ważne?

Zgodnie z artykułem 32 ust. 1 rozporządzenia RODO wdrożenie odpowiednich środków technicznych i organizacyjnych pozwoli na zapewnienie bezpieczeństwa przetwarzania danych osobowych, w tym między innymi w stosownym przypadku:

  1. pseudonimizacji i szyfrowania danych osobowych,
  2. zdolności do ciągłego zapewnienia integralności, dostępności i odporności systemów
    i usług przetwarzania,
  3. zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego i technicznego,
  4. regularnego testowania, mierzenia i oceniania skuteczności środków technicznych
    i organizacyjnych, które mają zapewnić to bezpieczeństwo[1].

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Nie istnieje uniwersalny wykaz środków technicznych i organizacyjnych, które gwarantują bezpieczeństwo. Każda z organizacji musi samodzielnie wybrać i wdrożyć takie środki, które będą uwzględniały charakter przetwarzania danych osobowych, a także specyfikę jej funkcjonowania. Ułatwieniem w tej kwestii może być wykorzystanie uznanych standardów postępowania, ale należy pamiętać o ich dostosowaniu do potrzeb organizacji.

Środki organizacyjne związane będą m.in.:

  • z przygotowaniem odpowiednich procedur ochrony danych osobowych i ich zastosowaniem,
  • opracowaniem procedury reagowania w przypadku wystąpienia w infrastrukturze incydentu bezpieczeństwa,
  • wdrożeniem polityki haseł,
  • stosowaniem procedury zarządzania uprawnieniami pracowników (w tym regularne kontrolowanie uprawnień, weryfikowanie terminu ich ważności, odbieranie uprawnień w przypadku odejściu pracownika lub zmiany zakresu jego obowiązków),
  • wydawanie upoważnień do przetwarzania danych osobowych,
  • przeprowadzaniem regularnych audytów bezpieczeństwa informatycznego i testów penetracyjnych,
  • aktualizowaniem wdrożonych środków bezpieczeństwa – w odpowiedzi na zmieniające się środowisko bezpieczeństwa, dokonywanie okresowej oceny tych środków,
  • dokumentowanie wykrytych podatności oraz ich korygowanie (ustalenie planu naprawczego wraz z harmonogramem jego wykonania).

Do grupy środków technicznych, które mogą chronić przed naruszeniem ochrony danych osobowych, możemy zaliczyć m.in.:

  • przechowywanie dokumentacji papierowej w odpowiednio przystosowanych do tego miejscach, z kontrolą dostępu do dokumentacji, „bezpieczne” niszczenie dokumentacji,
  • mechanizm szyfrowania danych osobowych na nośnikach,
  • tworzenie kopii bezpieczeństwa danych, odseparowanych od głównych baz danych,
  • zastosowanie mechanizmu VPN,
  • stosowanie ochrony przed złośliwym oprogramowaniem (programy antywirusowe, antyransomware)
  • wdrożenie systemów klasy DLP,
  • mechanizmy uwierzytelnia wieloskładnikowego kont użytkowników oraz ich blokowania po kilku nieudanych próbach,
  • regularne aktualizowanie systemów operacyjnych, aplikacji oraz urządzeń sieciowych (celem eliminowania podatności, które mogą zostać wykorzystane jako luki bezpieczeństwa)[1].

[1] Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych v 2, luty 2025, s. 48-51.

Szczególne znaczenie aktualizacji oprogramowania

Kwestia regularnego aktualizowania oprogramowania została poruszona w artykule opublikowanym w Biuletynie UODO za maj 2025 r. Podkreślono w nim odpowiedzialność administratora danych osobowych i podmiotu przetwarzającego za odpowiednie wykorzystanie takiego środka technicznego. Identyfikacja podatności wykorzystywanych w organizacji systemów antywirusowanych, oprogramowania typu firewall, aplikacji i systemów informatycznych, a w razie ich wystąpienia, niezwłoczna aktualizacja środowiska, ma bowiem szczególne znaczenie dla zapewnienie odpowiedniego poziomu bezpieczeństwa. Na potwierdzenie UODO przywołuje sytuacje naruszenia ochrony danych osobowych, których źródłem było wykorzystywanie niezaktualizowanego systemu antywirusowego, a podatność została wykorzystana do ataku ransomware.

Co ważne, w przypadku naruszenia ochrony danych osobowych, wynikającego z braku aktualizacji oprogramowania, administrator może zostać pociągnięty do odpowiedzialności administracyjnej (np. w postaci upomnienia lub kary finansowej nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych).

Należy przy tym pamiętać, że oprócz aktualizacji oprogramowania, na administratorze danych osobowych i podmiocie przetwarzającym ciąży obowiązek regularnego testowania, mierzenia i oceniania wdrożonych środków technicznych i organizacyjnych. Waga tego obowiązku została podkreślona w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 lutego 2024 r. (sygn. akt II SA/Wa 1404/23) – „wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Prawodawca unijny nie wskazuje terminu, w jakim powinien zostać przeprowadzony przegląd czy aktualizacja, pozostawiając w tym zakresie swobodę administratorowi, który w razie dostrzeżenia potrzeby powinien dokonać przeglądu i ewentualnego uaktualnienia”[1].

Brak możliwości wykazania regularnego testowania, mierzenia i oceniania przyjętych środków technicznych i organizacyjnych stanowił też jeden z powodów nałożenia kary finansowej w jednej ze spraw prowadzonych przez Prezesa UODO[2].

Regularne aktualizowanie oprogramowania i sprzętu jest nie tylko jednym z kluczowych środków technicznych. Jego wdrożenie, a także regularne testowanie, mierzenie i ocenianie skuteczności należy do obowiązków prawnych obowiązków administratora. Uzupełnienie tego działania o odpowiednio dobrane środki techniczne i organizacyjne pozwoli na stworzenie bezpiecznego środowiska dla przetwarzania danych osobowych w organizacji.

Źródła:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych v 2, luty 2025.
Oprogramowanie trzeba regularnie aktualizować, Biuletyn UODO nr 05/05/2025.
[1] Oprogramowanie trzeba regularnie aktualizować, Biuletyn UODO nr 05/05/2025.
[2] Tamże.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych v 2, luty 2025.
Oprogramowanie trzeba regularnie aktualizować, Biuletyn UODO nr 05/05/2025.

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość