#RODOwarsztat

Terminologia: Bezpieczeństwo vs ochrona

By Grzegorz Krzeminski

Dziś tematem artykułu będą dwa terminy, które zamiennie pojawiają się w RODO.

Bezpieczeństwo i ochrona

Niestety, nie są synonimami a ich nieprawidłowe używanie w wyniku nie do końca właściwego zrozumienia różnic może przysporzyć sporo problemów. Zaproponowane definicje zostały wypracowane na bazie doświadczenia nie tylko w RODO czy ochronie danych osobowych, ale też w innych obszarach i są zgodne z większością standardów.

  • Bezpieczeństwo jest stanem niezagrożenia.
  • Ochrona to działania oraz rozwiązania techniczne mające na celu uzyskanie i utrzymanie określonego stanu bezpieczeństwa.

Jako, że RODO było procedowane głównie w języku angielskim (tak, #RODOmaniacy doskonale znają fundamenty UE, ale znają też praktykę) poniżej rozumienie słowa SECURITY, pochodzące ze słownika Collinsa, który jest uznawany za jeden z najbardziej precyzyjnych słowników języka angielskiego:

  • Ochrona (security): Security refers to all the measures that are taken to protect a place, or to ensure that only people with permission enter it or leave it.
  • Bezpieczeństwo (safety): Safety is the state of being safe from harm or danger.

Uważne zapoznanie się z RODO daje pełne podstawy do tego, aby mówić o ochronie (security) nie o bezpieczeństwie (safety). Poniżej przykład.

RODO:

Artykuł 32 Bezpieczeństwo przetwarzania 1.   Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku (…)

GDPR

Article 32 Security of processing 1.   Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate(…)ania działań lub braku ciągłości w wyniku chroby, czy zwolnienia;

Jak widać w GDPR czyli anglojęzycznej wersji RODO mowa jest o ochronie, natomiast w polskiej o bezpieczeństwie.

Dlaczego jest to ważne?

Naruszenie ochrony nie zawsze oznacza naruszenia bezpieczeństwa. Czyli nie każde naruszenie rozwiązań organizacyjnych czy technicznych będzie skutkować ujawnieniem, zniszczeniem, czy kradzieżą danych, a więc nie każde naruszenie będzie skutkowało wystąpieniem wysokiego prawdopodobieństwa naruszenia praw i wolności osoby.

Takie podejście wyjaśnia zasady obsługi naruszenia ochrony danych osobowych. Zgodnie z art. 33:

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Przykład praktyczny

Opis systemu ochrony

System ochrony danych osobowych składał się ze:

  • Środków organizacyjnych w formie posterunku stałego na parterze budynku (ochrona fizyczna, stała, bezpośrednia), wspierane grupami interwencyjnymi (ochrona fizyczna, bezpośrednia, doraźna).
  • Monitorowania systemu sygnalizacji włamania (ochrona fizyczna, monitorowanie sygnałów alarmowych);

Środków technicznych: na które składały się:

  • Drzwi w niskiej klasie odporności na włamanie (zabezpieczenie techniczne, mechaniczne);
  • Systemu sygnalizacji włamania (zabezpieczenie techniczne, elektroniczne);
  • Szafy zamykanej, bez klasy odporności na włamanie (zabezpieczenie techniczne niesklasyfikowane, bez klasy odporności, mechaniczne);

Klasyfikacja ryzyka naruszenia praw i wolności

  • Ryzyko wysokie, wynikające z dowolności zapisów w CV. Możliwość pojawienia się wizerunku osoby, danych kontaktowych, numerów PESEL.
  • Typowane skutki (przykłady): stalking, ograniczona kradzież tożsamości z możliwością pełnej kradzieży tożsamości,

Opis zdarzenia

Dane osobowe utrwalone na nośnikach tradycyjnych w firmie CV i listów motywacyjnych przechowywane są w pomieszczeniu kadr. Następuje włamanie do pomieszczenia. Dane są przechowywane w szafie zamykanej, do której włamywacze nie dostali się.

Naruszenie bezpieczeństwa czy ochrony?

Z opisu powyżej (autentyczne zdarzenie) wynika, że naruszona została ochrona danych osobowych. Dane osobowe były nadal bezpieczne, a więc nie zaszła okoliczność, w której mogłoby się zmaterializować ryzyko naruszenia praw i wolności.

Podsumowanie

Ten artykuł ma na celu wskazanie jak istotnym jest właściwe rozumienie terminów użytych w aktach prawnych. Kwestia jakości polskiego wydania RODO nie będzie komentowana na naszym portalu. Kwestia poziomów ochrony będzie rozwijana w kolejnych artykułach.

Grzegorz Krzeminski
Grzegorz Krzeminski
Od ponad 22 lat związany z ochroną danych osobowych. Zaczynał od administracji rządowej i samorządowej. Od 2007 roku na rynku komercyjnym w Polsce i Wielkiej Brytanii. Doświadczony audytor, doradca, wdrożeniowiec i trener. Pracował dla firm dużych i małych, krajowych i międzynarodowych również tych, których działanie związane było z transferem danych do państw trzecich. Rozwija Metodykę Audytu Bezpieczeństwa oraz standardy związane z oceną ryzyka. Wyszkolił ponad 200 osób do pracy jako Inspektor Ochrony Danych.
Poprzedni artykuł
Wybór struktury zarządzania ochroną danych osobowych
Następny artykuł
Analiza zagrożeń #1 – źródło czy zagrożenie?

Ostatnio dodane

Przeczytaj koniecznie!

RODOmaniacy - strona marki zarządzanej przez Instytut Bezpieczeństwa i Informacji sp. z o.o. Więcej inforamcji znajdzesz w zakładce kontakt.

Ważne strony

Na skróty

Najnowsze na stronie

© RODOmaniacy. Od 2018 roku.