RODO – główny punkt zainteresowania
Kluczowymi dla ochrony danych osobowych będą regulacje krajowe, których projekt został zaproponowany przez ustawodawcę. Założenia, które przyświecały prawodawcy to przede wszystkim chęć podwyższenia poziomu ochrony prywatności obywateli, w tym przyznanie im nowych, nieznanych dzisiaj i skutecznych mechanizmów ochrony przed naruszeniami, przy jednoczesnym poszanowaniu interesów przedsiębiorców. Krajowe przepisy o ochronie danych osobowych przyznają w tym względzie kompetencje następcy GIODO, tj. Prezesowi Urzędu Ochrony Danych Osobowych do opracowywania i udostępniania na swojej stronie internetowej dobrych praktyk przetwarzania danych osobowych, zawierających rekomendowane środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
Należy również zauważyć, iż GIODO rozpoczęło cykl szkoleń przygotowujących zarówno administratorów danych jak i obecnych ABI do wywiązywania się z przepisów RODO.
W mijającym roku wiele firm i organizacji, nie czekając na ostatnią chwilę, intensywnie przygotowywało się i wdrażało rozwiązania, które pozwolą im spełnić wymogi RODO. Pomocne okazały się firmy specjalizujące się w ochronie danych osobowych, mające w swojej ofercie kompleksowe rozwiązania w tym zakresie poczynając od audytów, po analizy ryzyka, doskonalenie procesów i środowiska IT, a na opracowywaniu dokumentacji i prowadzeniu szkoleń kończąc.
Branża IT nie „zaspała”
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Poważnie do tego problemu podszedł m.in. IBM oferując rozwiązania typu SIEM, takie jak IBM Security Guardium czy IBM QRadar. Ten pierwszy, to zbiór narządzi, które rozwiązuje problemy jakie wiążą się z dostosowaniem obszaru IT do postanowień RODO. Guardium umożliwia m.in. przeszukiwanie zasobów informatycznych organizacji w celi zidentyfikowania danych, a następnie wspiera ich klasyfikowanie jak również umożliwia stałe monitorowanie pod kątem zgodności dostępu do danych. IBM QRadar natomiast ułatwia konsolidowanie logów z eksploatowanych w organizacji systemów jak również wspiera analizowanie ruchu sieciowego, co będzie szczególnie pomocne w sytuacjach, gdzie dysponujemy rozbudowaną infrastrukturą teleinformatyczną.
Również firma Hewlett Packard posiada w swojej ofercie oprogramowanie wspierające obszar IT w zakresie dostosowania go do wymagań RODO. Jest to platforma zabezpieczająca HPE SecureData umożliwiające m.in. zaawansowane mechanizmy szyfrowania czy też pseudononimizacji jak również zabezpieczenia danych w chmurach publicznych.
Ciekawym rozwiązaniem jest też oprogramowanie GREENmod oferowane przez firmę TUKAN IT. Narzędzie to wspomaga klasyfikowanie dokumentów oraz określanie stopnia ich poufności tuż przed zapisaniem ich na komputerze.
Kolejne wycieki danych…
Niestety w mijającym roku nie obeszło się bez wycieków danych. Szerokim echem w mediach odbił się wyciek danych osobowych i danych medycznych setek pacjentów oraz danych finansowych należących do dziesiątek szpitali, obsługiwanych przez podmiot zewnętrzny. W efekcie tego możliwe było poznanie m.in. historii chorób pacjentów, czy też kondycji finansowej poszczególnych placówek medycznych. Wyciek danych wrażliwych jak w każdym przypadku budzi ogromne kontrowersje i jak zwykle w tego typu przypadkach pada pytanie czy można było tego uniknąć. Kontrola przeprowadzona przez GIODO wykazała liczne nieprawidłowości m.in. w obowiązujących w placówkach medycznych rozwiązaniach i procedurach.
Kolejny duży wyciek danych, bo tyczący się aż 50 tys. osób, miał miejsce w firmie InPost. Oprócz danych osobowych (wyłącznie pracowników firmy) ujawniono również opisy zabezpieczeń fizycznych obiektów należących do InPost, a także konfiguracje umożliwiające zarządzanie paczkomatami.
W 2017 roku doszło również do największego w historii wycieku danych, który miał miejsce w Stanach Zjednoczonych i dotyczył około 200 milionów osób. Ujawniono m.in. adresy, dane kart kredytowych oraz numery ubezpieczenia społecznego. W wielu komentarzach pojawiają się opinie, że tak szeroki wyciek danych może mieć poważny wpływ na życie prywatne osób, których one dotyczą.
Podsumowanie
Podsumowując rok 2017 należy uznać go za kluczowy w kontekście przygotowań dla wdrożenia wymagań stawianych w RODO. Zrewolucjonizowane przez RODO podejście do zabezpieczania danych osobowych zostało dostrzeżone nie tylko przez administratorów danych, ale również branżę IT dostarczającą narzędzia i usługi w tym zakresie. Nie bez znaczenia pozostaje również fakt głośnych medialnych oddźwięków związanych z wyciekami danych, jak również podjętymi z nimi interwencjami GIODO, gdzie w każdej tego typu sytuacji podejmowana jest żywa dyskusja nt. bezpieczeństwa informacji oraz ryzyk jakie czyhają na każdego z nas.