0

Koszyk

Ochrona danych osobowych w dziale IT – co powinni wiedzieć jego pracownicy?

Ochrona danych osobowych w dziale IT – co powinni wiedzieć jego pracownicy?

3 stycznia 2025

Obecnie trudno znaleźć sektor rynku, w którym wsparcie działu IT nie byłoby niezbędne – lub przynajmniej potrzebne. Firmy IT przetwarzają ogromne ilości danych, z których znaczną część stanowią dane osobowe, korzystając w tym celu z różnego rodzaju narzędzi, jak bazy danych, usługi chmurowe, czy rozwiązania Big Data. Aby zminimalizować ryzyko nieautoryzowanego dostępu do tych informacji, należy zadbać o ich odpowiednią ochronę. Jak zabezpieczyć dane osobowe w dziale IT?

Newsletter bloga Umowy w IT .
Spis treści

Ochrona danych osobowych w dziale IT

Przede wszystkim firma IT musi mieć pewność, że przetwarza dane osobowe, bazując na jednej z przesłanek legalizujących, o których mowa w art. 6 ust. 1 RODO. Może to być np. zgoda osoby, której dane dotyczą, przetwarzanie danych w związku z wykonywaniem umowy, której osoba fizyczna jest adresatem lub realizacja obowiązku prawnego ciążącego na administratorze. W ostateczności dopuszczalne jest powołanie się przez administratora danych osobowych na swój uzasadniony interes, choć wymaga to uprzedniego przeprowadzenia testu równowagi.

Inaczej zostały określone przesłanki przetwarzania szczególnych kategorii danych osobowych, np. związanych ze zdrowiem. W tym przypadku zastosowanie znajduje art. 9 RODO, który wprowadza dalej idące ograniczenia w zakresie przetwarzania danych. Dotyczą one np. firm świadczących usługi z zakresu IT na rzecz podmiotów opieki zdrowotnej, laboratoriów, ale też przedsiębiorstw świadczących usługi na potrzeby biznesu polegające np. na generowaniu podpisów elektronicznych weryfikowanych biometrycznie.

Kluczowe znaczenie ma to, aby przesłanki legalizujące przetwarzanie danych były spełnione przed rozpoczęciem przetwarzania danych. W przeciwnym razie administrator ryzykuje surową odpowiedzialność prawną. Trzeba pamiętać, że działy IT często działają w charakterze procesora, który zawiera z administratorem umowę o powierzeniu przetwarzania danych osobowych. Choć za zaniedbania na tym polu zawsze odpowiada administrator, procesor zawsze może odpowiadać za niewykonanie lub nienależyte wykonanie ciążących na nim obowiązków.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Zamów wzory umów IT!

  • Promocja!
    Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]
    Wybierz opcje Quick View

    Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]

    1199,00 1999,00  (z VAT)

    Ostatnia najniższa cena przed zastosowaniem obniżki ceny: 1199,00 .

Jakimi zasadami należy kierować się, przetwarzając dane osobowe?

Istnienie podstawy do przetwarzania danych osobowych nie oznacza jeszcze, że firma IT dysponuje pełną swobodą w zakresie zarządzania nimi. Rozporządzenie RODO nakłada daleko idące ograniczenia co do tego, w jaki sposób i przez jak długi czas dane można przetwarzać.

Przede wszystkim administrator ma obowiązek informować o celu i sposobie przetwarzania danych osobowych osoby, których dane są przetwarzane. Należy dążyć do minimalizacji przetwarzania danych osobowych – powinny być one gromadzone wyłącznie w niezbędnym zakresie i przez czas niezbędny do realizacji celu. Dlatego warto regularnie analizować wewnętrzne procesy i poddawać je optymalizacji, ponieważ może się okazać, że część danych jest już niepotrzebna. Zbyt długa retencja danych osobowych może prowadzić do sytuacji, kiedy będą one przetwarzane bez podstawy prawnej.

Zgodnie z art. 32 RODO niezbędne jest zapewnienie odpowiednio wysokiego poziomu bezpieczeństwa odpowiadającemu zidentyfikowanemu ryzyku. Jest to możliwe poprzez wdrożenie zarówno środków technicznych, jak i organizacyjnych i dotyczy nie tylko administratora danych osobowych, ale też podmiotu przetwarzającego. Wśród przykładowych rozwiązań we wspomnianym przepisie wymieniono:

  • pseudonimizację i szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Wypada wspomnieć, że unijny ustawodawca nie udziela odpowiedzi na pytanie, jak silne powinny być zabezpieczenia w danej firmie. Należy je każdorazowo dopasować do stopnia szacowanego ryzyka, uwzględniając takie kryteria, jak stan wiedzy technicznej, koszt wdrażania procesów, charakter, zakres, kontekst i cele przetwarzania danych osobowych. Znaczenie ma też poziom ryzyka naruszenia praw lub wolności osób fizycznych, przy czym trzeba uwzględnić zdarzenia o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Jak skutecznie chronić dane od strony informatycznej?

Firmy IT, które gromadzą dane osobowe w przestrzeni wirtualnej, z reguły bazują na zabezpieczeniach cyfrowych, które zabezpieczają zasoby informatyczne. Wśród przykładowych rozwiązań można wymienić:

  • uwierzytelnianie wieloskładnikowe (ang. Multi-Factor Authentication, MFA),
  • monitorowanie ruchu sieciowego,
  • VPN do ochrony połączenia internetowego,
  • regularnie aktualizowane oprogramowania antywirusowe.

W przypadku software house’ów, które na co dzień zajmują się projektowaniem aplikacji, znaczenie ma także bezpieczeństwo samego procesu projektowania oprogramowania. Część firm decyduje się na wdrożenie modelu SSDLC (ang. Secure Software Development Lifecycle). Polega on na wprowadzeniu mechanizmów testowania bezpieczeństwa na etapie tworzenia cyfrowego produktu. Obejmuje przede wszystkim ocenę kodu źródłowego pod kątem bezpieczeństwa, zarządzanie zmianami, monitorowanie podatności na zagrożenia.

Dodatkowo software house może chronić swoją infrastrukturę przy użyciu oprogramowania klasy IDS/IPS (ang. Intrusion Detection and Prevention System). To rozbudowane platformy pozwalające na analizę środowiska w czasie rzeczywistym. Jeszcze innym rozwiązaniem są filtry WAF (ang. Web Application Firewall). Zabezpieczają one przed podatnościami SQL Injection, XSS, czy typu File Inclusion. Kluczowe znaczenie ma też monitorowanie logów i infrastruktury sieciowej. Przydaje się również regularna inwentaryzacja programów, sterowników oraz urządzeń peryferyjnych.

Na czym polega audyt przetwarzania danych osobowych w dziale IT?

Zgodność działania z firmą IT najłatwiej zweryfikować w wyniku audytu. Może mieć on charakter wewnętrzny lub zewnętrzny, przy czym ten drugi jest prawdzie droższy, ale skuteczniejszy i bardziej obiektywny.

Prawidłowo przeprowadzony audyt IT powinien objąć przede wszystkim regulaminy i polityki zarządzania informacjami w firmie. Ocenie podlegają posiadane zasoby i sprawowanie nad nimi kontroli, procedury bezpieczeństwa oraz ich efektywność w kontekście ustalonych zagrożeń i podatności. Dobre rezultaty przynosi współpraca audytorów z inspektorem ochrony danych (jeżeli został on powołany) lub bezpośrednio z administratorem. Są to osoby, które najlepiej wiedzą, co dzieje się w przedsiębiorstwie i znają jego słabe strony.

Częstym rozwiązaniem są testy penetracyjne prowadzone przez zewnętrzne firmy. Trzeba jednak pamiętać, aby umowę w tym zakresie dobrze zabezpieczyć. Obok klauzuli poufności warto przewidzieć w niej karę umowną i obowiązek sporządzenia raportu. Często niezbędne będzie zawarcie umowy powierzenia przetwarzania danych. Wypada zawrzeć w niej informacje dotyczące m.in. tego, co procesor może uczynić z danymi osobowymi zdobytymi w czasie testu i jak długo może je przechowywać (oraz w jaki sposób się ich pozbywa).

Czy dyrektor/kierownik działu IT może zostać inspektorem ochrony danych?

Szczególną uwagę należy zwrócić na potencjalne ryzyko konfliktu interesów w przypadku łączenia funkcji kierowniczych w dziale IT z rolą inspektora ochrony danych (IOD), zwłaszcza gdy weźmiemy pod uwagę, że dział IT stanowi kluczowy element w procesie projektowania i wdrażania technicznych środków bezpieczeństwa danych osobowych. Dyrektor czy kierownik działu IT, będąc odpowiedzialnym za określanie sposobów przetwarzania danych poprzez wybór konkretnych rozwiązań technicznych, narzędzi i procedur bezpieczeństwa, nie może jednocześnie obiektywnie oceniać adekwatności i skuteczności tych rozwiązań w roli IOD, co mogłoby prowadzić do zachwiania niezależności nadzoru nad procesami przetwarzania danych osobowych.

Sytuacja ta nabiera szczególnego znaczenia w kontekście rosnącej roli działów IT w zarządzaniu danymi osobowymi, gdzie decyzje techniczne bezpośrednio przekładają się na poziom ochrony prywatności, a kierownik IT, odpowiadając za efektywność operacyjną swojego działu, mógłby stanąć przed dylematem wyboru między optymalizacją procesów a rygorystycznym przestrzeganiem zasad ochrony danych osobowych, co stoi w sprzeczności z fundamentalną zasadą niezależności inspektora ochrony danych wymaganą przez RODO.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych (IOD) dla firm

Ochrona danych osobowych w dziale IT – Kancelaria Linke Kulicki

Zarządzanie danymi osobowymi w sposób efektywny i bezpieczny przez działy IT to zadanie wymagające nie tylko specjalistycznego oprogramowania i wiedzy informatycznej. W ostatecznym rozrachunku decydującą rolę odgrywają ludzie. Dlatego tak ważne jest regularne szkolenie pracowników pod kątem oceny zgodności działań z RODO.

Kancelaria Linke Kulicki oferuje kompleksowe wsparcie podmiotom z branży IT. Realizujemy audyty RODO, szkolimy pracowników oraz zajmujemy się analizą wewnętrznej dokumentacji i procesów pod kątem zgodności z zasadami ochrony danych osobowych. Łączymy doskonałą znajomość przepisów prawa oraz nowoczesnych technologii.

Potrzebujesz wsparcia prawnika IT? Napisz do mnie!



    Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.

    Łukasz Kulicki

    Autor: Łukasz Kulicki

    Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

    0
      0
      Koszyk
      Twój koszyk jest pustyWróć do sklepu
      Kontynuuj zakupy