Wymogi dla systemów informatycznych w RODO

Wymogi dla systemów informatycznych w RODO

Stare wymogi dla systemów informatycznych

Bardzo często pojawiającym się w kontekście RODO pytaniem są nowe wymogi dla systemów informatycznych zdefiniowane w rozporządzeniu. Pytanie nie bezzasadne, bo dotychczasowi ASI (administratorzy systemów informatycznych) doskonale pamiętają, że stara ustawa o ochronie danych osobowych stawiała przed nimi szereg wyzwań technicznych. Od najbardziej oczywistych, takich jak firewalle czy ochrona antywirusowa, po tak nielubiane jak wymóg okresowej zmiany hasła minimum raz na 30 dni. Istniały też bardzo precyzyjne wymogi dotyczące oprogramowania, jak chociażby konieczność rejestrowania identyfikatora użytkownika wprowadzającego lub modyfikującego dane osobowe oraz czas tej operacji.

Wymogi dla systemów informatycznych w RODO

Po szczegółowym zapoznaniu się z treścią rozporządzenia dużym zaskoczeniem okazuje się brak jakichkolwiek szczegółowych i precyzyjnych wymogów technicznych w stosunku do systemów IT. Wynika to głównie z faktu zmiany podejścia do kwestii bezpieczeństwa i zastąpienia konkretnej listy zabezpieczeń procesem analizy ryzyka, którego efektem mają być zabezpieczenia adekwatne do zidentyfikowanych zagrożeń.
Takie podejście stosowane jest m.in. w Systemie Zarządzania Bezpieczeństwem Informacji wg ISO 27001. Daje ono możliwość efektywniejszego wykorzystania zasobów i wdrożenia konkretnych zabezpieczeń tam, gdzie ich występowanie jest najbardziej uzasadnione. Komplikuje nam to jednak możliwość prostej weryfikacji, czy nasze systemy informatyczne i zabezpieczenia spełniają wymogi RODO.

Jak zatem zweryfikować zgodność systemów IT z RODO?

Mimo, iż brak jest precyzyjnych wymogów technicznych, to w treści rozporządzenia znajdziemy całą masę przesłanek, z których wywnioskować można jaką funkcjonalność będą musiały zapewnić systemy informatyczne na potrzeby RODO. Wymogi te podzielić można na dotyczące interfejsów systemowych użytkownika końcowego, dotyczące funkcjonalności oprogramowania do przetwarzania danych osobowych oraz oprogramowania do backupu i w końcu dotyczące wymaganego poziomu bezpieczeństwa. W skrócie postaram się je opisać w kolejnych punktach.

Wymogi dotyczące interfejsu użytkownika

Chodzi tutaj o wymogi dla systemów IT, do których użytkownik końcowy sam wprowadza swoje dane osobowe. Dotyczy to wszelkich formularzy na stronach internetowych, przy wysyłaniu których spełniony powinien być obowiązek informacyjny oraz zebrana ewentualna zgoda na przetwarzanie danych osobowych. Powinny one zostać zweryfikowane głównie pod kątem prawidłowości klauzul oraz przejrzystości i rozdzielności zgód. Jest to bardziej weryfikacja wymogów formalno-prawnych niż technicznych ale dotyczy systemów informatycznych, którymi bez wątpienia są serwisy webowe, a zatem nie można ich pominąć w kontekście naszych rozważań.

Wymogi dotyczące funkcjonalności oprogramowania

Wymogi te związane są głównie z realizacją praw osób, których dane dotyczą oraz obowiązków administratora danych osobowych. Systemy informatyczne, w których przetwarzane są dane osobowe muszą umożliwiać m.in.:

  • Ograniczenie okresu przetwarzania danych do zgodnego z celem ich przetwarzania (ograniczenie przechowywania) (Artykuł 5. punkt 1 e)
  • Wycofanie zgody, na podstawie której przetwarzane są dane (Artykuł 7. punkt 3)
  • Realizację prawa dostępu osobie, której dane dotyczą (Artykuł 15. punkt 3)
  • Realizację prawa do sprostowania danych (Artykuł 16.)
  • Realizację prawa do bycia zapomnianym (Artykuł 17.)
  • Realizację prawa do ograniczenia przetwarzania (Artykuł 18.)
  • Realizację prawa do przenoszenia danych (Artykuł 20.)
  • Realizację prawa do sprzeciwu (Artykuł 21.)
  • Realizację prawa do niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu (Artykuł 22.)
  • Realizację decyzji organu nadzorczego o czasowym lub całkowitym ograniczeniu przetwarzania, w tym zakazu przetwarzania (Artykuł 58. punkt 2 f )

Większość z powyższych wymogów sprowadza się do możliwości edycji, usuwania lub odpowiedniego znakowania danych. Ta ostatnia funkcjonalność istotna jest zwłaszcza w systemach, w których ten sam zbiór danych przetwarzany może być w różnych celach. Powinna wówczas występować możliwość oznaczenia w którym celu dane mogą być lub nie mogą być przetwarzane (np. w wyniku wycofania zgody marketingowej lub wydania decyzji o tymczasowym ograniczeniu przetwarzania).
Istotną kwestią jest również upewnienie się, czy dane nie są przechowywane w systemach dłużej niż to wymagane. Możliwe zatem powinno być zidentyfikowanie od kiedy dane występują w systemie i jaki okres przetwarzania został dla nich określony.
Ostatnią istotną funkcjonalnością wynikającą z prawa do przenoszenia danych jest możliwość ich eksportowania do ustrukturyzowanego, powszechnie używanego formatu nadającego się do odczytu maszynowego. Standardem stanie się tutaj zapewne XML oraz CSV.

Wymogi dotyczące systemów do backupu i archiwizacji

W punkcie poprzednim wspomniałem o konieczności weryfikacji okresu przetwarzania danych w systemach informatycznych oraz o prawie do bycia zapomnianym. Te dwa wymogi mogą się okazać wyjątkowo problematyczne do spełnienia jeżeli nie dysponujemy systemami backupu, które pozwalają w prosty sposób usunąć dane z kopii archiwalnych. W przypadku administratorów przetwarzających ogromne zbiory danych i posiadających skomplikowane procedury backupu konieczne może być nawet podjęcie decyzji o wdrożeniu nowych rozwiązań.

Wymagany poziom bezpieczeństwa

Bezpieczeństwo przetwarzania danych osobowych opisane zostało w Artykule 32. Mowa jest w nim m.in. o tym, iż „administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym między innymi:

  • Pseudonimizację i szyfrowanie danych osobowych
  • Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
  • Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
  • Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Oceniając, czy stopień bezpieczeństwa jest odpowiedni uwzględnić się powinno w szczególności ryzyko związane z przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub dostępem do danych osobowych.”

Jak zweryfikować poziom bezpieczeństwa?

Przytoczone w punkcie poprzednim wymogi nie są niestety łatwe do weryfikacji. Ich spełnienie zależy od wielu czynników, w tym m.in.:

  • zastosowanych rozwiązań technicznych
  • przebiegu procesów przetwarzania danych osobowych
  • otoczenia biznesowego i kontekstu organizacji
  • wartości i ilości przetwarzanych danych

Określenie ryzyka wymaga dokładnego zinwentaryzowania systemów, poznania sposobów ich działania i oddziaływania na siebie, poznania metod zarządzania nimi i w końcu zestawienia ich z katalogiem możliwych zagrożeń i podatności. Aby ostatecznie ocenić bezpieczeństwo systemów konieczna jest nie tylko wiedza techniczna, ale również doświadczenie w zakresie projektowania i zarządzania systemami informatycznymi.
Jak podejść do tak złożonego zagadnienia? Jedynym stosownym narzędziem w tej sytuacji wydaje się być audyt. Może to być zarówno ogólny audyt teleinformatyczny mający na celu ocenę stosowanych rozwiązań, jak i dedykowany audyt bezpieczeństwa (tzw. testy penetracyjne) skupiający się na poszukiwaniu w systemach technicznych luk i podatności mogących prowadzić do naruszenia bezpieczeństwa danych.

Podsumowanie

Jak wynika z powyższych rozważań kwestia weryfikacji systemów informatycznych pod kątem spełnienia wymogów RODO to temat bardzo złożony. Z jednej strony brak jest szczegółowych i łatwych do weryfikacji wymogów, z drugiej konieczne jest dogłębne poznanie środowiska IT i umiejętność jego oceny.
Główną konsekwencją zmiany podejścia w stosunku do starych przepisów będzie zatem konieczność zaangażowania w cały proces odpowiednich osób mogących się wykazać doświadczeniem oraz wiedzą techniczną i znajomością zagrożeń. Poziomu zgodności i bezpieczeństwa może już nie być w stanie ocenić samodzielnie dotychczasowy ABI czy też nowy Inspektor Ochrony Danych bazując na prostej check-liście. Ocenie będzie bowiem musiała podlegać m.in. architektura sieci, architektura systemów, odporność środowiska na awarie i ataki cyberprzestępców czy też zdolność szybkiego przywrócenia zasobów po zaistniałej awarii (m.in. procedury backupu i disaster recovery).

 

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.