Wsparcie IT przy wdrażaniu RODO

W jakim stopniu spółka może wspierać się narzędziami IT przy wdrażaniu RODO?

Implementacja RODO powinna odbywać się krokowo oraz opierać się przede wszystkim na analizie ryzyka w kontekście danych osobowych, co wiąże się m.in. z przeglądem i weryfikacją zbiorów, w których przetwarzane są dane osobowe, identyfikacją podatności, na jakie narażone są nasze dane w procesie przetwarzania, określeniem prawdopodobieństwa wystąpienia naruszenia przetwarzania danych osobowych oraz oszacowaniem, w jaki sposób dane naruszenie wpływa na działanie organizacji, a także zdefiniowaniem oraz wdrożeniem planów postępowania, w tym również narzędzi IT eliminujących ryzyko i podnoszących bezpieczeństwo danych.

Obecnie na rynku można spotkać się zarówno ze zintegrowanymi systemami zarządzania bezpieczeństwem IT, jak i narzędziami wspomagającymi analizę (tzw. selfaudit) i zarządzanie ryzykiem przetwarzania danych osobowych. Do pierwszej grupy można zaliczyć m.in. systemy umożliwiające identyfikację zasobów, ocenę luk w systemach i sposobu ich eliminacji, wykrywanie ataków malware, monitoring wszelkich podejrzanych działań użytkowników i administratorów, zorganizowaną reakcję na incydent oraz bezpieczeństwo w całej sieci (tzw. SIEM – Security Information and Event Management).

Z kolei druga możliwość to samodzielny audyt i zarządzanie procesami opartymi na kwestionariuszach, które nie wymagają od użytkownika specjalistycznej wiedzy. Ich podstawowe funkcje to m.in. identyfikacja zbiorów danych osobowych, zarządzanie dokumentacją danych osobowych, utrzymywanie ewidencji systemów IT, rekomendacje do wdrażania procesów i procedur czy raportowanie i cykliczne audytowanie.

Coraz częściej popularne systemy samodzielnego audytu stanowią alternatywę dla drogich i czasochłonnych standardowych audytów ochrony danych osobowych.

Czy z punktu widzenia IT prawo do zapomnienia jest wykonalne (mamy na myśli pełne usunięcie danych z bazy)?

Odpowiedź nie jest jednoznaczna. Teoretycznie prawo to jest wykonalne, natomiast praktycznie wciąż jeszcze nie (lub jego wykonanie wiąże się z bardzo dużymi nakładami). Istotną cechą systemu, która umożliwia realizację „prawa do zapomnienia", jest możliwość łatwej identyfikacji wszystkich zapisów związanych z konkretnym rekordem, który zamierzamy usunąć, a tak nie jest w przypadku systemów rozproszonych, a także rozwiązań chmurowych. Na szczęście producenci zaczynają implementować w systemach rozwiązania ułatwiające zarządzanie wyszukiwaniem i analizą danych, dzięki czemu możemy wyszukać interesujące nas informacje i odpowiednio nimi zarządzić.

Dodatkowym problemem jest sposób zapisania informacji, np. zdjęcia i filmy, które zdecydowanie mogą stanowić dane osobowe. Identyfikacja tego rodzaju danych (jeśli nie zostały opisane dodatkowymi metadanymi) bez zastosowania choćby zaawansowanych algorytmów rozpoznawania twarzy może być praktycznie niemożliwa. Poza tym pojawia się jeszcze kwestia usunięcia danych konkretnej osoby bez naruszenia integralności dokumentu (pliku) oraz tzw. kopii zapasowych. Realizacja prawa do zapomnienia w tym przypadku powoduje utratę ich integralności i zaprzeczalności, a więc stoi w sprzeczności z celem, w jakim są one tworzone, a co za tym idzie, w kontekście RODO w systemach backupu, jest bardzo problematycznym aspektem.

Jak zadbać o bezpieczeństwo przechowywanych danych?

Mówiąc o bezpieczeństwie danych, mamy zawsze na myśli ich poufność, integralność, autentyczność i dostępność. Poufność oznacza, że dostęp do nich mogą mieć tylko konkretne, wyznaczone osoby, integralność gwarantuje nam, że informacje zawarte w bazie danych/pliku nie zostaną zmienione przez niepowołane osoby, autentyczność to oprócz integralności także pewność, że dana informacja rzeczywiście pochodzi od danej osoby, natomiast dostępność to po prostu możliwość skorzystania z konkretnej informacji – najlepiej w dowolnym momencie.

Jak widać, zapewnienie bezpieczeństwa danych to proces wielopoziomowy, który jednocześnie musi być odpowiednio wyważony, tak aby np. zbyt wysoki poziom poufności nie ograniczył nam całkowicie dostępności danych.

Aby zapewnić bezpieczeństwo danych (w tym danych osobowych), musimy pamiętać o trzech podstawowych środkach ochrony:

a) Ochrona fizyczna (pomieszczenia serwerowni, biurowe oraz archiwa) – w tym przypadku mamy na myśli wszelkie mechanizmy kontroli dostępu do pomieszczeń, systemy przeciwpożarowe, antywłamaniowe, zamykane szafy, systemy klimatyzacji, systemy monitoringu wizyjnego itp.).

b) Ochrona techniczna i logiczna (najbardziej rozbudowany obszar ochrony informacji obejmuje min. wszelkie narzędzia instalowane na komputerach, serwerach, urządzenia służące do komunikacji, urządzenia i systemy służące do przechowywania i udostępniania danych, zasady uwierzytelnia się do systemów, systemy bezpiecznej wymiany informacji, systemy zabezpieczające przed wyciekiem danych z firmy itp.).

c) Środki organizacyjne – obejmują min. wszelkiego rodzaju regulacje (w tym polityka bezpieczeństwa danych osobowych oraz jej cykliczna aktualizacja), które znać powinni wszyscy użytkownicy uczestniczący w przetwarzaniu danych osobowych, wszelkiego rodzaju dokumentacja, ewidencja oraz upoważnienia związane z przetwarzaniem danych, zasady cyklicznych szkoleń dla użytkowników oraz wszelkiego rodzaju audyty weryfikujące stan faktyczny w obszarze ochrony danych.

Przez wzgląd na znaczną obszerność tematu wymienię tylko kilka najważniejszych, wg mnie „złotych" zasad, które powinny być stosowane, jeśli zależy nam na bezpieczeństwie naszych danych i systemów:

a) Określ reguły. To nie musi być od razu rozbudowana polityka bezpieczeństwa informacji (aczkolwiek dobrze ją mieć), ale spisane i ogłoszone zasady, z których możemy się dowiedzieć, jakie dane i systemy mamy, co i jak chronimy, kto za co odpowiada – pozwoli nam to w późniejszym czasie adekwatnie i optymalnie dobrać odpowiednie środki ochrony.

b) Wykonuj i testuj regularnie backup swoich danych (zaleca się, aby backup był przechowywany w innej lokalizacji niż sama baza danych).

c) Stosuj szyfrowanie. Możemy szyfrować całe dyski twarde lub wybrane pliki w naszych systemach i komputerach, przy komunikacji przez internet korzystajmy z protokołu HTTPS lub szyfrowanego połączenia VPN tam, gdzie to możliwe.

d) Regularnie aktualizuj swoje oprogramowanie. Przede wszystkim należy pamiętać o cyklicznym wgrywaniu poprawek bezpieczeństwa wydawanych przez producentów systemów – to absolutne „must be" administratora.

e) Używaj bezpiecznych haseł i nie korzystaj przy codziennej pracy z konta administratora. Chodzi o to, aby hasła do systemu były odpowiednio trudne do zgadnięcia, jeśli je gdzieś zapisujemy, to w sposób zaszyfrowany (np. korzystając z menedżerów haseł). Najnowsze rekomendacje (m.in. NIST – National Institute of Standard and Technology) odchodzą już od tego, aby cyklicznie zmieniać hasła – zaleca się raczej jako bardziej skuteczną metodę dwuskładnikowego uwierzytelniania.

f) Korzystaj z oprogramowania antywirusowego, antyspamowego oraz z systemu firewall. Ważne, aby systemy te podlegały ciągłej automatycznej aktualizacji – najczęściej jak to możliwe.

g) Edukuj siebie i użytkowników. Bardzo często pomijamy ten aspekt w gąszczu rozwiązań technologicznych, a przecież należy pamiętać, że to właśnie użytkownik jest najsłabszym ogniwem każdego systemu.

Firmy Profesjonalny inwestor Oszczędzanie