Rozwój nowych technologii a ochrona danych osobowych

Stale rośnie liczba potencjalnych niebezpieczeństw związanych z cyberprzestrzenią. Rozwój nowych technologii generuje powstawanie luk w systemie ochrony danych w przedsiębiorstwach. Dynamika tych procesów uniemożliwia stworzenie jednolitego katalogu adekwatnych zabezpieczeń. Obowiązujące przepisy nie przystają do obecnego stanu nowych technologii. Przedsiębiorcy muszą mierzyć się z zagrożeniami wynikającymi z korzystania z sieci publicznych, przechowywaniem danych w chmurze, instalowaniem oprogramowania w telefonach i tabletach, korzystaniem z urządzeń przenośnych. Brak podstawowych procedur i mechanizmów w wielu firmach prowadzi do powtarzających się incydentów związanych z wyciekiem danych.

Prawo nakłada na przedsiębiorców przetwarzających dane osobowe szereg obowiązków związanych z ich ochroną. Administrator Danych Osobowych ma swobodę wyboru środków ochrony ale jest zobowiązany wybrać takie, które zapewnią poziom bezpieczeństwa odpowiedni do zagrożeń oraz charakteru danych objętych ochroną, przy uwzględnieniu stanu wiedzy w tej dziedzinie oraz kosztów realizacji. W ustawie brakuje jednak skonkretyzowanego katalogu czynności, które administrator powinien zrealizować, aby w pełni zabezpieczyć dane w formie elektronicznej. Na poziomie prawodawstwa europejskiego również nie odnajdujemy skonkretyzowanego, zamkniętego katalogu zabezpieczeń, których wprowadzenie byłoby jednoznaczne ze spełnieniem choćby minimalnego standardu ochrony danych w przestrzeni informatycznej.

Zestawienie ze sobą wymogów ustawodawcy z zabezpieczeniami stosowanymi w wielu polskich przedsiębiorstwach prowadzi do konkluzji, że wykorzystywane metody są nieodpowiednie oraz niewystarczające. Jednym z powodów takiego stanu rzeczy jest występowanie w ustawie jednolitego miernika dla wszystkich administratorów bez różnicowania ze względu na wielkość przedsiębiorstwa oraz formę prawną prowadzenia działalności. Może to prowadzić do wniosku, że jednakowe środki zabezpieczenia powinien wprowadzić zarówno mikroprzedsiębiorca działający w formie jednoosobowej jak i duża spółka akcyjna. Pomimo, że dysponują oni różnymi możliwościami organizacyjnymi oraz budżetem na wdrażanie rozwiązań informatycznych, zobligowani są do zapewnienia w równym stopniu bezpieczeństwa danych w przestrzeni informatycznej.

Administrator danych osobowych nie uzyska zatem od ustawodawcy oparcia w postaci skonkretyzowanych wytycznych wskazujących konieczne do wdrożenia sposoby zabezpieczenia danych elektronicznych. Przy doborze adekwatnych metod musi więc polegać na swojej wiedzy oraz posiadać odpowiednie rozeznanie w istniejących rozwiązaniach informatycznych.

Dylematy te stają się szczególnie ważne w kontekście planowanego za dwa lata rozporządzenia Parlamentu Europejskiego i Rady, które nałoży na administratora obowiązek uwzględnienia najnowszych osiągnięć technicznych oraz kosztów wdrożenia rozwiązań w zakresie ochrony danych osobowych zarówno w momencie ustalania środków niezbędnych do przetwarzania, jak i podczas przetwarzania przy wdrożeniu odpowiednich środków i procedur technicznych i organizacyjnych, w taki sposób by przetwarzanie gwarantowało ochronę praw podmiotu danych. Takie sformułowanie akcentuje konieczność dynamicznego doskonalenia się administratora danych osobowych w obszarze nowych technologii. Jest zobowiązany do znajomości i monitorowania nowych zagrożeń i rozwiązań im zapobiegającym. Przywołane rozporządzenie akcentuje ciągłość działań administratora w obszarze ochrony danych.

Niewątpliwie kwestia ochrony danych osobowych w związku z wejściem w życie unijnego rozporządzenia stanie się istotnym wyzwaniem dla polskich przedsiębiorców. Istotną konsekwencją unijnej reformy jest także zaostrzenie kar dla przedsiębiorców, którzy będą gromadzić i udostępniać dane w sposób sprzeczny z przepisami. Oczekiwanie względem administratora danych osobowych w zakresie znajomości najnowszych technologii skłoni wiele firm do powołania Administratora Bezpieczeństwa Informacji. Takie rozwiązanie pozwoli delegować obowiązki związane z ochroną danych na osobę, która posiada stosowną wiedzę w tym zakresie. Umożliwi także stałe podnoszenie kwalifikacji ABI w zakresie nowych technologii, zgodnie z wymogami rozporządzenia.