W Internecie coraz głośniej jest o rozporządzeniu o ochronie danych (potocznie zwanym RODO lub GDPR – General Data Protection Regulation).  Rozporządzenia ma wejść w życie pod koniec maja 2018 roku. Czasu na jego wdrożenie jest niezbyt dużo, tym bardziej, że w rozporządzeniu tym czytamy w artykule 32 (podaję za https://sekurak.pl/gdpr-nowe-wymagania-dla-ochrony-danych-osobowych-idzie-zaglada/):

(…) administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający (…) ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

Ponadto w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 w artykule 29 zostało zapisane (http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=EN ):

2. W odniesieniu do zautomatyzowanego przetwarzania każde państwo członkowskie zapewnia, by po ocenie ryzyka administrator lub podmiot przetwarzający wdrożyli środki, które:
a) uniemożliwią osobom nieuprawnionym dostęp do sprzętu używanego do przetwarzania (kontrola dostępu do sprzętu);
b) zapobiegną nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych (kontrola nośników danych);
c) zapobiegną nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych (kontrola przechowywania);
d) zapobiegną korzystaniu z systemów zautomatyzowanego przetwarzania przez osoby nieuprawnione, używające sprzętu do przesyłu danych (kontrola użytkowników);
e) zapewniają, że osoby uprawnione do korzystania z systemu zautomatyzowanego przetwarzania będą mieć dostęp wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem (kontrola dostępu do danych);
f) pozwolą zweryfikować i ustalić podmioty, którym dane osobowe zostały lub mogą zostać przesłane lub udostępnione za pomocą sprzętu do przesyłu danych (kontrola przesyłu danych);
g) pozwolą następczo zweryfikować i stwierdzić, które dane osobowe zostały wprowadzone do systemów zautomatyzowanego przetwarzania, kiedy i przez kogo (kontrola wprowadzania danych);
h) zapobiegną nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia nośników danych (kontrola transportu);
i) zapewniają, że w razie awarii można będzie przywrócić zainstalowane systemy (odzyskiwanie);
j) zapewniają działanie funkcji systemu, zgłaszanie występujących w nich błędów (niezawodność) oraz odporność przechowywanych danych na uszkodzenia powodowane błędnym działaniem systemu (integralność).

Jak widać z powyższego na administratorze lub podmiocie przetwarzającym ciąży spora odpowiedzialność.  Można się do tego przygotować. Na stronach https://www.cyberlaw.pl/biznes/rodo-co-zmienia/ czytamy:

Przygotuj się już teraz do RODO

  1. Dokonaj analizy klauzul zgód (sprawdź czy są zgodne z RODO),
  2. Sprawdź czy obowiązek informacyjny względem podmiotu danych możesz już teraz odpowiednio uzupełnić i przygotuj sobie dokument, który będzie wysyłany do podmiotów danych (informację pozwalającą na uznanie, że obowiązek informacyjny jest spełniony),
  3. Dokonaj rewizji procesów przetwarzania z uwzględnieniem DPIA i każdy nowy proces uwzględniaj już z dokonaniem oceny skutków, w tym zastosowaniem Privacy by design i by default,
  4. Uporządkuj umowy powierzenia i rozpocznij proces przeglądania ich zgodności oraz renegocjowania zmian jeżeli są potrzebne zgodnie z RODO,
  5. Przygotuj się na obowiązek notyfikacyjny i uporządkowanie wewnętrznego procesu związanego z obsługą incydentu i zgłoszeniem zarówno do organu nadzorczego jak i w razie potrzeby do podmiotu/ów danych, których prawa zostaną naruszone,
  6. Sprawdź dokładnie jakie obowiązki nakłada RODO.

Analizując powyższe wydaje się, że kluczowa jest analiza ryzyka i zagrożeń kontekście ochrony danych osobowych. Analizę ryzyka i zagrożeń można zrobić poprzez modelowanie zagrożeń i zastosowanie  przykładowo SDL (The Security Development Lifecycle). Jednym z części SDL jest analiza ryzyka. Celem analizy ryzyka, jest wykazanie elementów, które powinny być w szczególny sposób chronione oraz wymienienie potencjalnych zagrożenia uporządkowanych według stopnia ryzyka. Analiza ryzyka może także zawierać listę środków łagodzących te zagrożenia. W konsekwencji powstaje lista, która określa listę środków jakie zostały lub powinny zostać wdrożone.

O analizie ryzyka bazującej na SDL pisałem w następujących tekstach

 

Oczywiście każda firma jest inna. Trzeba opisane modele i drzewa zagrożeń dostosować do specyfiki firmy. Środki łagodzące też będą inne dla każdej z organizacji. Wysiłek włożony w przygotowanie modeli zagrożeń powinien jednak się opłacić w momencie ponownego przeglądu, o którym wspomina rozporządzenie. Powodzenia 🙂

1 Comment

  1. Cześć, temat jest ważny i świetnie, że go poruszasz. Dziękuję też za odesłanie do cyberlaw.pl . Ciekawe podejście związane z analizą ryzyka w kontekscie SDL. Chętnie poczytam. Zapraszam też do Pomocnika RODO. Pozdrawiam, Beata Marek

Zostaw odpowiedź

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć tych HTML tagów i atrybutów: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Close