Sprawdzenie jakości wdrożenia RODO w obszarze IT

RODO w obszarze IT

Nowe obowiązki, mało precyzyjne przepisy i przede wszystkim milionowe kary to powód, dla którego przedsiębiorcom wraz ze zbliżającym się dniem 25 maja poczucia obawy i niepewności niejednokrotnie ewoluowały w trwogę i panikę. Sytuacji nie łagodziły liczne publikacje i komentarze, które pełne były nierzetelnych informacji i niejednokrotnie naciągania organizacji na zakup nietypowych i kosztownych usług i produktów np. gotowej dokumentacji, która rzekomo sprawiała, że w przeciągu kliku chwil mogliśmy być zgodni z Rozporządzeniem.

Nie od dziś wiadomo, że RODO jest aktem prawnym neutralnym technologicznie.
Czy w związku z tym obszar IT nie wymaga żadnych zmian?

Analiza ryzyka

Głównym zakresem dotkniętym przez przepisy w tym względzie jest zaprezentowanie nowego podejścia opartego o proces zarządzania ryzykiem. Jednym z głównych celów takiego działania jest zidentyfikowanie i minimalizowanie ryzyka  dla zasobów, które nie zostały zabezpieczone lub których zastosowane zabezpieczenia są nie wystarczające. Innymi słowy organizacje w ramach takiego procesu powinny zidentyfikować aktywa, których podatności z największym poziomem ryzyka mogą spowodować zmaterializowanie się zagrożenia i ostatecznie incydentu na danych osobowych oraz zastosować środki minimalizujące takie ryzyko.

Środki, o których mowa powinny być dostosowane proporcjonalnie do wykorzystywanych rozwiązań i obliczonego poziomu ryzyka. Mimo, iż zarządzanie ryzykiem nie jest nowością na rynku to nie jednemu przedsiębiorcy sprawiło tyle problemów, iż nie dał rady jej wykonać z wykorzystaniem własnych zasobów ludzkich, a rzesza nowo powstających w gorącym okresie firm zajmujących się tą tematyką wykonała proces nieprawidłowo i nierzetelnie.

Co „mówi” RODO o zabezpieczeniach?

Czy w takim razie działy IT muszą skupić się jedynie na analizie ryzyka, o której wszędzie mówi się tak dużo? Niestety nie… RODO jest regulacją, która jest pełna niejasnych i mało precyzyjnych stwierdzeń. Kolejnym takim „miejscem” które bezpośrednio dotyka działy IT jest artykuł 32 zgodnie, z którym organizacje przetwarzające dane osobowe zobowiązane są wdrożyć odpowiednie środki techniczne i organizacyjne, w tym między innymi i w stosownym przypadku:

  • pseudonimizację i szyfrowanie,
  • zagwarantować zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zagwarantować zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Tak jak widać powyżej nawet dogłębne zapoznanie się z przepisami, w tym z wszelkimi poradnikami opublikowanymi przez Prezesa Urzędu Ochrony Danych Osobowych, czy też Wytycznymi Grupy Roboczej art. 29 nie przyniesie nam jednoznacznej odpowiedzi na to w jaki konkretny sposób organizacje powinny zrealizować narzucone na nie wymogi. o ile w ostatnim punkcie dotyczącym testowania skuteczności zastosowanych zabezpieczeń technicznych i organizacyjnych należy domniemać, że zrealizować go możemy m.in. poprzez systematycznie wykonywaną analizę ryzyka, która również powinna dać nam pogląd na stan i efektywność zastosowanych zabezpieczeń, o tyle w pozostałych punktach nie jest to tak precyzyjne.

RODO w IT

Gdzie stosować pseudonimizację i szyfrowanie?

Stosowanie pseudonimizacji w praktyce jest rzadko wykorzystywane i mało rozpowszechnione, natomiast szyfrowanie to pojęcie znane już z poprzedniego stanu prawnego regulującego obszar ochrony danych osobowych przed 25 maja 2018r. Znaczącą jednak różnicą w tym względzie jest to, że wówczas dość precyzyjnie odnoszono się do jego stosowania i miało to miejsce w stosunku do dysków twardych komputerów przenośnych. w przypadku RODO sprawa nie jest już tak prosta. Otóż szyfrowanie to zabezpieczenie, które zgodnie z przepisami organizacje powinny wdrożyć wszędzie tam, gdzie to stosowne…

Czy w związku z tym powinniśmy skupić się tylko na takich trywialnych miejscach jak dyski komputerów przenośnych, mobilne nośniki danych, czy też strony internetowe z wykorzystaniem, których dochodzi do przetwarzania danych osobowych poprzez formularz kontaktowy lub możliwość zapisania się do newslettera? Niestety nie… Takich miejsc w organizacji może być znacznie więcej m.in. może być to backup, którego miejsce przechowywania nie daje jednoznacznej gwarancji jego bezpieczeństwa fizycznego, czy też logicznego lub smartfony, które podobnie jak komputery przenośne przetwarzają całą masę informacji, w tym danych osobowych.

Poufność, integralność, dostępność i odporność. Co z tym zrobić?

Jeszcze mniej precyzyjnym stwierdzeniem jest kolejny z wymienionych powyżej punktów dotyczący zagwarantowania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Wskazany przez RODO obowiązek zamieszczony w jednym zdaniu jest tak pojemny, że w zasadzie możemy tu zmieścić każde możliwe zabezpieczenie, które przyjdzie nam do głowy. Niestety o takich zabezpieczeniach przedmiotowy akt prawny zupełnie milczy. Co nam w takim razie pozostaje?

Otóż najczęściej stosowaną praktyką w tym względzie jest wykorzystanie wytycznych, które nie od dziś funkcjonują na rynku międzynarodowym. Mowa oczywiście o normach ISO, w szczególności normach z „rodziny” 27000 dotyczących zarządzania bezpieczeństwem informacji, co też w efekcie przekłada się na ochronę danych osobowych. w najlepszej sytuacji w zakresie realizacji przedmiotowego punktu firmy z sektora finansowego, które od dawna muszą stosować się do zaleceń Komisji Nadzoru Finansowego. Ta od zawsze poprzez Rekomendację D dla sektora Bankowego wymusza należytą ochronę danych osobowych od strony technicznej zarówno przed zagrożeniami płynącymi z zewnątrz, jak i wewnątrz organizacji.

Konieczność szybkiego przywrócenia dostępności do danych

Kolejnym punktem wymienionym w art. 32 jest obowiązek zagwarantowania zdolności do szybkiego przywrócenia dostępności do danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Podobnie jak w poprzednim przypadku brak jest w tym zakresie żadnych szczegółowych wytycznych. Nie mniej jednak mowa jest tu z pewnością o systematycznym wykonywaniu kopii zapasowych wszelkich systemów i zbiorów danych osobowych. Nie należy zapominać również o odpowiednim miejscu ich przechowywania, które zgodnie z dobrą praktyką powinno znajdować się w co najmniej innej strefie pożarowej, aniżeli dane przetwarzane w środowisku produkcyjnym.

Zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO administratorzy danych osobowych powinni również pamiętać o przygotowaniu odpowiednich procedur awaryjnych i odtworzeniowych. Powinny one opisywać dokładny sposób postępowania na wypadek sytuacji kryzysowych, jak również opisywać inne elementy takie jak częstotliwość wykonywania backupu, czy też wymieniać sytuacje, w których jest on niezbędny do wykonania poza zaplanowanym w harmonogramie planem. Celem realizacji omawianego wymogu pomocna może okazać się norma ISO 22301, która dotyczy utrzymania ciągłości działania organizacji.

Usługa DPIA

Dokumentacja dot. bezpieczeństwa IT?

Przedmiotowe Rozporządzenie nie dotyka branży IT tylko i wyłącznie poprzez wymienione powyżej punkty. Nie można tutaj pominąć wspomnianych powyżej procedur. RODO mimo, iż w przeciwieństwie do przepisów poprzedniego stanu prawnego nie narzuca wprost o jakiej dokumentacji mowa to motyw 78 stanowi o konieczności wykazania przez administratora przestrzegania Rozporządzenia poprzez przyjęcie wewnętrznych polityk i procedur. w dalszej części nie odnajdziemy o jaką konkretnie dokumentację chodzi, jednak w tym zakresie wypowiedział się polski Prezes Urzędu Ochrony Danych Osobowych. Tutaj również widać bardzo duże powiązanie przedmiotowego aktu prawnego z wspomnianymi powyżej międzynarodowymi normami ISO. Otóż zgodnie z opublikowaną przez PUODO informacją, odwołując się do wymogu posiadania odpowiednich polityk bezpieczeństwa można posłużyć się normą PN-EN ISO/IEC 27002:2017, która zaleca w tym zakresie uwzględnić takie elementy, jak:

  • zarządzanie aktywami (przetwarzanymi zbiorami danych),
  • kontrole dostępu (rejestrowanie i wyrejestrowywanie użytkowników, zarządzanie hasłami, użycie uprzywilejowanych programów narzędziowych),
  • środki ochrony kryptograficznej (polityka stosowania zabezpieczeń, zarządzanie kluczami),
  • bezpieczeństwo fizyczne i środowiskowe oraz bezpieczeństwo eksploatacji (zarządzanie zmianami, zarządzanie pojemnością, zapewnienie ciągłości działania, rejestrowanie zdarzeń i monitorowanie),
  • bezpieczeństwo komunikacji (zabezpieczenie, rozdzielenie sieci),
  • pozyskiwanie, rozwój i utrzymywanie systemów,
  • relacje z dostawcami (umowy, w tym umowy powierzenia przetwarzania),
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  • zarządzanie ciągłością działania,
  • zgodność z wymaganiami prawnymi i umownymi.

Nowe funkcjonalności systemów

Kontynuując, niestety na „biurokracji” skończyć nie możemy. Kolejnym niezmiernie ważnym oraz niezmiernie trudnym do wykonania elementem jest dostosowanie infrastruktury pod kątem możliwości realizacji praw osób, których dane dotyczą. Mowa tutaj m.in. o wykonywaniu prawa do przenoszenia danych, ograniczenia ich przetwarzania, czy też zrealizowaniu popularnego już prawa do bycia zapomnianym. Do powyższego problemu próbowano podejść z różnych stron i za każdym razem organizacje spotykają się z największą trudnością dotyczącą możliwości wyszukania danych konkretnej osoby w firmowych zasobach. Mowa w tym miejscu o danych niezagregowanych, nieustrukturyzowanych, informacjach, które utrwalone są poza bazami danych np. na lokalnych dyskach twardych służbowych komputerów lub mobilnych nośnikach zewnętrznych. Oczywiście takich miejsc jest znacznie więcej.

Kolejną trudnością jest zrealizowanie prawa do bycia zapomnianym w stosunku do wykonanych kopii bezpieczeństwa, które nie zostały w tym względzie wyłączone przez przepisy. Istnieją różne praktyki. Poczynając od przygotowania środowiska testowego, na którym backup jest odtwarzany, rekord usuwany, a następnie kopia wykonywana ponownie, aż po skrócenie czasu jego przechowywania do 3 miesięcy, o czym stanowi art. 12 RODO umożliwiający nam wydłużenie realizacji wspomnianego obowiązku. Dotykając tematykę dostosowania środowiska IT z pewnością nie należy zapominać o funkcjonalności odnotowania sprzeciwu w przypadku wykorzystywania systemów do celów marketingowych. Dodatkowo systemy takie zgodnie z omawianą powyżej zasadą rozliczalności powinny gwarantować możliwość zweryfikowania dokładnej daty i godziny udzielenia zgody, jak również jej wycofania.

Oczywiście nie sposób wymienić wszystkich czynności i koniecznych do wykonania zadań w ramach wymienionych powyżej punktów, ponieważ sposób ich realizacji zawsze różnic się będzie w zależności od zastosowanych i funkcjonujących obecnie rozwiązań. Zaznaczyć jednak należy, że RODO jest regulacją, która z pewnością wymaga zmian w każdym środowisku teleinformatycznym, a organizacje które ich nie dokonały nie mogą teraz spać spokojnie. Zatem spoglądając przez pryzmat niniejszego opracowania, czy w ramach swojego wdrożenia uwzględniłeś wszystkie powyższe punkty? Czy RODO faktycznie funkcjonuje i dotyka wszystkich wymaganych obszarów w Twojej organizacji?

Więcej:

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Damian Gąska
05 listopada 2019

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się