W polskim prawie nie ma obecnie osobnych regulacji dotyczących cyberbezpieczeństwa. Prace nad ustawą o krajowym systemie cyberbezpieczeństwa wciąż trwają, więc firmy i instytucje bazują na regulacjach zawartych w różnych przepisach branżowych, takich jak np. prawo bankowe. Jednak nawet, gdy w końcu uchwalone zostaną akty prawne, które traktują kwestie bezpieczeństwa danych przekrojowo, będą miały bardzo ogólny charakter. W tym kierunku idą prace zarówno nad wspomnianą ustawą o krajowym systemie cyberbezpieczeństwa, jak też nad ustawą wprowadzającą Rozporządzenie o Ochronie Danych Osobowych do polskiego systemu prawnego. Oba projekty przyjmują za podstawę działania analizę ryzyka, której wyniki mają decydować o wyborze odpowiednich rozwiązań zabezpieczających.

Z tego względu nie jest łatwo ustosunkować się do szeregu podnoszonych przez przedsiębiorców kwestii. Należy do nich m.in. pytanie o to, jak należy podchodzić do wdrażania systemów informatycznych, aby sprostać w zakresie bezpieczeństwa wymogom obowiązującego prawa? Kolejny problem to kwestia odpowiedzialności dostawców i integratorów za zapewnienie właściwego poziomu bezpieczeństwa wdrażanych rozwiązań. Trzeba też wiedzieć, według jakich przesłanek dokonywać analizy ryzyka i doboru środków zabezpieczających, żeby spełniać nałożone prawem obowiązki. 

Te i podobne pytania nabierają szczególnego znaczenia w kontekście potencjalnych odszkodowań i kar grożących za niewłaściwą realizację ustawowych wymogów. Wprawdzie część dostawców rozwiązań informatycznych zapewnia klientów, że ich system jest zgodny z RODO, ale takie deklaracje w świetle prawa mogą okazać się niewystarczające. 

– Nie ma czegoś takiego jak „zgodność z RODO”. Może być jedynie system IT zapewniający realizację wymogów RODO. A to dwie różne rzeczy – mówi dr Paweł Litwiński, adwokat, wspólnik w kancelarii prawnej Barta Litwiński.
 
Zwraca przy tym uwagę, że RODO nie wprowadza w tym obszarze żadnych „zero-jedynkowych” rozwiązań. Wyznacza wartości skrajne, określając jedynie sposób podejścia do zagadnienia ochrony danych osobowych. Jak to zrobić w praktyce, każda firma musi zdecydować sama. Dlatego nie można przesądzać o zgodności narzędzia informatycznego z RODO, bo w określonym zakresie będzie się sprawdzał jeden, a w innym przypadku drugi system.

Liczy się funkcjonalność

Trudność przy wyborze odpowiedniego rozwiązania może stanowić fakt, że nie ma żadnej uniwersalnej checklisty, za pomocą której można by sprawdzić przydatność poszczególnych rozwiązań. 

– RODO nie daje recepty, jak powinny być chronione dane. Wybór odpowiedniego sposobu działania, to problem praktyczny, a nie prawny. Zastosowane rozwiązania mają być skuteczne – podkreśla Paweł Litwiński.

Zatem w sensie technicznym zgodność lub niezgodność systemu czy rozwiązania z RODO nie istnieje. Można o niej mówić jedynie w sensie usługowym, funkcjonalnym. Przykładowo można sprawdzać, czy system zapewnia wymagane przez RODO przestrzeganie praw osób, których dane dotyczą, a więc prawa do bycia zapomnianym, do przenoszenia danych, do ograniczenia przetwarzania danych itp. Z prawnego punktu widzenia obojętne, jakich użyje się w tym celu narzędzi i technik. Liczy się efekt, który za ich pomocą można osiągnąć. On dopiero podlega ocenie prawnej. 

 

Zabezpieczenie na kontrakcie

Jak powinny w takiej sytuacji zachować się firmy wdrażające systemy informatyczne lub świadczące usługi przetwarzania danych? Jak mogą chronić swoje interesy w związku z wejściem w życie unijnego rozporządzenia?

– Odpowiedzialność resellera lub usługodawcy można ukształtować kontraktowo. Zakres i poziom odpowiedzialności firmy informatycznej najlepiej określić w umowie – radzi mecenas Paweł Litwiński.

Zapisy powinny być sformułowane w sposób jasny i dokładny, nie budzący wątpliwości. Integrator musi także zadbać, aby z umowy nie wynikała jego nieograniczona odpowiedzialność. Nawet jeśli będą kary, nie oznacza to, że usługodawca musi pokryć całą zasądzoną kwotę. Umowa powinna jednoznacznie i precyzyjnie określać, za co i do jakiej wysokości odszkodowania odpowiada firma informatyczna. 

Można ustalić, do jakiej konkretnie kwoty będzie odpowiadał integrator za szkody, gdyby się okazało, że wdrożony przez niego system nie jest w stanie zrealizować wymaganej przez RODO funkcji i z tego powodu użytkownik został ukarany.

– Klient zapewne by chciał, aby umowa zapewniała mu zwrot całej kary, którą ewentualnie będzie musiał zapłacić. Jednak dostawca usługi lub rozwiązania nie musi się zgodzić na takie zapisy. Zakres jego odpowiedzialności powinien mieć odzwierciedlenie w możliwościach biznesowych jego firmy – zwraca uwagę Paweł Litwiński. 

Spisanie dokładnej umowy ma dla właścicieli firm informatycznych kluczowe znaczenie, gdyż zasadą jest, że osoba świadcząca usługę pod własną marką ponosi odpowiedzialność z tytułu skutków jej wykonywania. Jeżeli, na przykład, udostępniany w chmurze program nie zrealizuje żądania usunięcia danych, firma, która go oferuje, będzie odpowiadać za konsekwencje powstałej sytuacji tak samo jak jej klient, który wykorzystuje system do przetwarzania posiadanych danych. 

 

Na własną odpowiedzialność

Ostateczna decyzja o wyborze usługodawcy należy oczywiście do klienta. To klient, będąc administratorem danych osobowych, odpowiada za ich bezpieczeństwo bez względu na to, komu powierzy je do przetwarzania. Do niego należy więc też ocena, czy oferowane rozwiązanie, w tej konkretnie konfiguracji i przy tych konkretnie użytych technologiach, jest adekwatne do oszacowanego przez niego ryzyka i wynikających z niego potrzeb. Do niego należy sprawdzenie, czy przetwarzane za pomocą danego narzędzia dane będą bezpieczne oraz używane w sposób wymagany przez prawo. 

Problem polega na tym, że nie ma żadnej powszechnie obowiązującej listy wyznaczników, na podstawie których można by dokonać oceny i wyboru systemu. Takie listy mogą dopiero pojawić się w przyszłości. Projektowane polskie przepisy towarzyszące RODO nakładają bowiem na organ ochrony danych osobowych obowiązek opublikowania rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Mają być sporządzane z uwzględnieniem specyfiki danego rodzaju działalności i podlegać okresowej aktualizacji.

Ułatwieniem będą z pewnością certyfikaty, których przyznawanie jest przewidziane w nowych przepisach. Posiadanie certyfikatu będzie wskazówką dla klienta, że dostawca oferuje system zapewniający realizację wymogów RODO. Nie uchroni jednak przed karą za niewłaściwe przetwarzanie danych osobowych, bo każdy będzie za nie odpowiadał sam. Każdy, na własne ryzyko i odpowiedzialność, musi zadbać o właściwe zabezpieczenie i zgodne z prawem wykorzystanie danych osobowych. Bez względu na system informatyczny, z którego korzysta.

 

Dr Paweł Litwiński

adwokat, wspólnik w kancelarii radców prawnych i adwokatów Barta Litwiński

Wymogi zawarte w RODO mają charakter zobowiązań publicznoprawnych. Obowiązują bez względu na porozumienie między stronami kontraktu. Nie można w drodze umowy wyłączyć lub ograniczyć odpowiedzialności usługodawcy za naruszenie prawa. Nawet, gdyby klient świadomie zgodził się na przykład za niższą cenę, na niższy poziom zabezpieczeń, to w przypadku naruszenia bezpieczeństwa danych nie będzie to zwalniało usługodawcy od odpowiedzialności za wyciek. W umowie można jedynie ustalić zakres i poziom odpowiedzialności odszkodowawczej.