GDPR / RODO

GDPR / RODO i marketing zastraszany

GDPR / RODO

Rok temu, a dokładnie 27 kwietnia 2016, Parlament Europejski i Rada UE uchwaliły GDPR / RODO (General Data Protection Regulation / Rozporządzenie o Ochronie Danych Osobowych). Nowe przepisy obowiązywać będą od 25 maja 2018 r. Polski tekst rozporządzenia znaleźć można pod adresem: http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&qid=1495623691523&from=en .
Powstał już też polski projekt nowej ustawy o ochronie danych osobowych mającej dostosować przepisy prawa krajowego do obowiązującego w całej Unii Europejskiej.

Działy marketingu straszą sankcjami

Pierwszą informacją, którą jesteśmy zewsząd bombardowani jest wysokość milionowych kar, które przewiduje rozporządzenie za niestosowanie się do jego zapisów. Działy marketingu stosują ją jako świetny straszak zachęcający do kupowania wszelkiego typu urządzeń i oprogramowania „spełniających wymogi RODO” i rozwiązujących za nas wszystkie problemy. Już samo hasło „spełnia wymogi RODO” jest mocno naciągane, bo jak się za chwilę dowiemy żadne konkretne wymogi nie zostały w rozporządzeniu sprecyzowane.

Co nowego?

Do podstawowych zmian w zakresie ochrony danych osobowych, z którymi musimy się liczyć po wejściu w życie nowych przepisów należą:

  • Konieczność stosowania się do przepisów rozporządzenia przez przedsiębiorców działających poza UE.
  • Rozszerzenia definicji danych osobowych związane z rozwojem technologicznym i nowymi formami identyfikacji (dane genetyczne/biometryczne).
  • Obowiązek wyznaczania Inspektora Ochrony Danych (w miejsce dotychczasowego ABI).
  • Wprowadzenie prawa do „bycia zapomnianym”.
  • Doprecyzowanie obowiązków podmiotów przetwarzających dane.
  • Wprowadzenie prawa dostępu do danych, poprawiania ich, uzupełniania i łatwego przenoszenia pomiędzy administratorami danych.
  • Obowiązek zgłaszania naruszeń bezpieczeństwa organowi nadzorczemu, administratorowi danych oraz podmiotowi danych.
  • Zapewnienie ochrony prywatności już w fazie projektowania systemów (Privacy By Design)
  • Zapewnienie ochrony prywatności jako domyślnej cechy systemów (Privacy By Default)
  • Wprowadzenie podejścia do zabezpieczeń opartego na analizie ryzyka

Ostatnie cztery punkty są dla nas szczególnie interesujące z punktu widzenia bezpieczeństwa.

Zgłaszanie incydentów bezpieczeństwa

Dostosowanie polityk i procedur do obowiązku zgłaszania incydentów bezpieczeństwa organowi nadzorczemu (czyli Urzędowi Ochrony Danych Osobowych) oraz administratorowi danych i podmiotowi (osobie, której dane dotyczą) nie stanowi raczej większego problemu. Musimy jedynie pamiętać, że na zgłoszenie od chwili wykrycia incydentu mamy 72 godziny. Rejestr incydentów bezpieczeńśtwa był dotychczas prowadzony przez większość Administratorów Bezpieczeństwa Informacji. Procedura zarządzania incydentami bezpieczeństwa była też jednym wymogów rozporządzenia o Krajowych Ramach Interoperacyjności. Temat ten nie jest więc ani nowy, ani specjalnie trudny do zaimplementowania. Wystarczy uaktualnić procedury i określić sposób i czas zgłoszenia incydentu.

(O tym, jak nie należy zarządzać incydentami bezpieczeństwa możecie natomiast przeczytać w innym artykule: „Wyciek danych – jak tego nie robić – studium przypadku”)

Privacy by design / privacy by default

Nowością są natomiast wymogi związane z zapewnieniem bezpieczeństwa jako domyślnej cechy systemów oraz wpleceniem go już w proces ich projektowania. W praktyce oznacza to konieczność formułowania wymogów bezpieczeństwa dla każdego zamawianego lub wdrażanego systemu. Zlecając np. zewnętrznemu dostawcy napisanie oprogramowania musimy zadbać o to, aby specyfikacja wymogów zawierała konieczne do zaimplementowania funkcje gwarantujące bezpieczeństwo danych (np. szyfrowanie, minimalizacja uprawnień, wymogi dotyczące haseł). Również wdrażane systemy, które mogą wpływać na bezpieczeństwo danych (np. sieci, serwery, systemy pamięci masowych) muszą podlegać ocenie pod kątem zagwarantowania odpowiedniego poziomu bezpieczeństwa. Ale jak ustalić i ocenić ten odpowiedni poziom? Odpowiedź przyniesie nam ostatnia i najistotniejsza chyba zmiana w przepisach.

Analiza ryzyka

W nowych przepisach nie zawarto żadnych technicznych, minimalnych wymagań dotyczących zabezpieczania danych. Art. 32 RODO nakłada natomiast obowiązek wdrożenia odpowiednich zabezpieczeń w celu ochrony przed zagrożeniami takimi jak:

  • przypadkowe lub niezgodne z prawem zniszczenie, utrata, modyfikacja danych osobowych
  • nieuprawnione ujawnienie danych osobowych
  • nieuprawniony dostęp do danych osobowych

Podstawą do określenia które zabezpieczenia należy uznać za odpowiednie ma być analiza ryzyka.

Analiza ryzyka to proces identyfikacji podatności i zagrożeń, które mogą zaszkodzić naszym aktywom oraz oceny prawdopodobieństwa ich zaistnienia i wpływu na dane. Podejście takie jest podstawą m.in. Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO 27001. W 2012 roku stało się również wymogiem stawianym przed administracją publiczną w rozporządzeniu o Krajowych Ramach Interoperacyjności. Zapewnienie bezpieczeństwa w oparciu o analizę ryzyka nie jest więc podejściem nowym. Wiele firm i instytucji stawiających sobie za priorytet bezpieczeństwo danych stosuje analizę ryzyka od dawna.

Dla organizacji, które dotychczas nie dokonywały analizy ryzyk i zagrożeń wdrożenie odpowiednich procedur może być czasochłonne. Chociaż nie jest to proces bardzo skomplikowany, wymaga pewnego doświadczenia i konieczności współpracy ze sobą wielu komórek organizacyjnych. Jego główną zaletą jest natomiast optymalne wykorzystanie środków przeznaczonych na bezpieczeństwo i wdrożenie takich zabezpieczeń, które są dostosowane do naszego środowiska i występujących w nim zagrożeń. Chodzi bowiem o to, aby jak najefektywniej minimalizować ryzyko, a nie stosować się do uniwersalnych i będących przeżytkiem reguł typu wymóg zmiany co 30 dni hasła o długości 8 znaków.

Jeżeli chciałbyś zapoznać się bliżej z zagadnieniem analizy ryzyka zapoznaj się z tym artykułem opisującym jedną z prostszych metod szacowania ryzyk.

 

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.