Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Środki Organizacyjne i Techniczne a Ocena Ryzyka

Środki Organizacyjne i Techniczne a Ocena Ryzyka

Środki Organizacyjne i Techniczne a Ocena Ryzyka – Decyzja Prezesa UODO z dnia 12 listopada 2024 r. (DKN.5131.9.2024) w sposób oczywisty wskazuje na relacje zachodzące pomiędzy obowiązkiem przeprowadzenia przez ADO analizy i oceny ryzyka a obowiązkiem stosowania adekwatnych środków organizacyjnych i technicznych, dodając jeszcze obowiązek ich regularnego mierzenia i testowania. Poniżej prezentujemy streszczenie Decyzji PUODO, której lektura uważam powinna mieć charakter obowiązkowy dla administratorów danych osobowych.

 

Administracyjna kara pieniężna oraz ...

  • Prezes UODO nałożył na ADO administracyjną karę pieniężną w kwocie 24 555 złotych (słownie: dwadzieścia cztery tysiące pięćset pięćdziesiąt pięć złotych),
  • Prezes UODO nakazał ADO dostosowanie operacji przetwarzania do przepisów Rozporządzenia RODO poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania przy wykorzystaniu komputerów przenośnych, w terminie 3 miesięcy od dnia doręczenia niniejszej decyzji.

Wolontariusz gubi plecak z laptopem i dokumentami w komunikacji ....

Naruszenie ochrony danych osobowych nastąpiło na skutek zagubienia w środku transportu publicznego plecaka, w którym znajdowały się dokumenty (faktury) oraz laptop. W formularzu zgłoszenia naruszenia ochrony danych osobowych Administrator wskazał, że nie jest w stanie określić przybliżonej liczby osób, których dane naruszono. Administrator wskazał, że kategorie danych osobowych, które zostały naruszone, to: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia i inne (przynależność do stowarzyszenia, przydział służbowy). Zagubiony laptop był jego własnością ADO, a osoba, która zagubiła plecak była jednocześnie zleceniobiorcą ADO, jak i osobą wykonującą działalność wolontarystyczną. Sprawa zagubienia plecaka została zgłoszona Policji, jednak żadne postępowania nie zostanie wszczęte, ponieważ mamy do czynienia z zagubieniem a nie kradzieżą.

Brak szyfrowania ...

 ADO potwierdził, iż pomimo posiadanej dokumentacji regulującej kwestie wynoszenia aktywów poza siedzibę, pomimo obowiązku stosowania rozwiązań kryptograficznych w przypadku wynoszenia urządzeń przenośnych, „(…) komputer nie posiadał szyfrowania dysków (…)”. Świadomość ADO o konieczności stosowania szyfrowania dysków na przenośnych komputerach wykorzystywanych do przetwarzania danych osobowych poza jego siedzibą wynika także z przekazanych organowi nadzorczemu komunikatów IOD, w których   rekomendował między innymi wdrożenie procedur  związanych z szyfrowaniem dysków i pamięci przenośnych”.

Stanowiska IOD były trafne ...

Komunikaty i stanowiska IOD ADO potwierdził, iż pomimo posiadanej dokumentacji regulującej kwestie wynoszenia aktywów poza siedzibę, pomimo obowiązku stosowania rozwiązań kryptograficznych w przypadku wynoszenia urządzeń przenośnych, „(…) komputer nie posiadał szyfrowania dysków (…)”. Świadomość ADO o konieczności stosowania szyfrowania dysków na przenośnych komputerach wykorzystywanych do przetwarzania danych osobowych poza jego siedzibą wynika także z przekazanych organowi nadzorczemu komunikatów IOD, w których   rekomendował między innymi wdrożenie procedur  związanych z szyfrowaniem dysków i pamięci przenośnych”.

Wyjaśnienia ADO ...

ADO podnosił, że podejmuje wszelkie możliwe środki żeby swoją działalność wykonywać bezpiecznie, wyjaśniał ponadto, iż dwa razy w roku przeprowadza audyt sprzętu komputerowego siłami wolontariuszy z wykształceniem IT.  Ponadto wyjaśnił, że po wystąpieniu naruszenia ochrony danych osobowych wycofała z użytku sprzęt komputerowy nie posiadający szyfrowania.

Środki Organizacyjne i Techniczne ...

Jak czytamy w treści Decyzji PUODO

cyt.:”(…) Z treści art. 32 ust. 1 Rozporządzenia (… ) wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. (…)”.

Ocena Ryzyka ...

Aktywa …

Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Jest oczywistym, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 lub art. 10 rozporządzenia 2016/679, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których  dane dotyczą, więc winny one być oceniane jako aktywa o wysokiej wartości, a co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.

Zabezpieczenia …

Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.

Podatność …

Podatność jest określana powszechnie jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić.

Metoda analizowania ryzyka …

Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.

Orzecznictwo ...

Wyroku WSA w Warszawie z 19 stycznia 2021 r., sygn. akt II SA/Wa 702/20,

„(…) administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679)”.

Wyrok NSA z 5 lipca 2024 r., sygn. akt III OSK 2654/22,

„(…) administrator miał obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Poprzez wdrożenie takich środków należy rozumieć wprowadzenie zabezpieczeń, które będą adekwatne do przyjętego ryzyka, ergo będą zapobiegać naruszeniu zasad przetwarzania danych osobowych w normalnych warunkach. W realiach niniejszej sprawy nie chodziło więc o zapobieżenie zagubienia nośników z danymi osobowymi, lecz o zapobieżenie ich ujawnienia na wypadek takiego zagubienia”.

Nie tylko dokumentacja RODO ...

Pomimo faktu, że ADO prawidłowo zidentyfikował zagrożenia dla wykorzystywania komputerów przenośnych wynoszonych poza siedzibę wraz z dokumentacją papierową, jak również pomimo tego że określił poziom ryzyka naruszenia danych oraz zdefiniował sposób postępowania z ryzykiem poprzez wskazanie zabezpieczeń, które należy zastosować, nie podjął jednak działań, które sam przewidział, a w szczególności nie uruchomił szyfrowania pamięci masowej komputerów wynoszonych poza siedzibę jego organizacji.

Regularne mierzenie i testowanie ...

Rola ADO nie ogranicza się tylko i wyłącznie do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi Rozporządzeniu RODO adekwatnie do wyników przeprowadzonej oceny ryzyka. Dodatkowo obowiązkiem jego jest bieżąca weryfikacja adekwatności tych środków zwłaszcza, w przypadku przetwarzania danych osobowych w poza obszarem organizacji Administratora.

Nie tylko dokumentacja RODO ...

Prezes UODO dostrzega, że w tej sprawie zachodziło wydarzenie nagłe, nadzwyczajne. Jednak zakładając, że laptop zabezpieczony zostałby zgodnie z rekomendacjami przedstawionymi w analizie ryzyka oraz w uregulowaniach wewnętrznych ADO, sytuacja przedstawiałaby się zupełnie inaczej – przynajmniej w tym aspekcie związanym z przetwarzaniem danych osobowych znajdujących się na komputerze przenośnym.

Procedura dokonywania Oceny Ryzyka

Materiały źródłowe ...

Decyzja PUODO z 12 listopada 2024r. DKN.5131.9.2024 [Dostęp: 03.12.2024 r., godz.: 10:10]

Stanowiska i Komunikaty IOD ...