IT w RODO – praktyczne podejście do spełnienia wymagań RODO przez dział IT.
Jakie wymagania w stosunku do działu IT wprowadza rozporządzenie? Od czego zacząć? Jakie rozwiązania informatyczne zastosować?
Analiza zapisów rozporządzenia - zapraszam do lektury.
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
IT w RODO - praktyczne informacje.
1. IT – praktyczne podejście do
spełnienia wymagań RODO
TOMASZ JANAS ITOMEGA.PL CEO
1
2. IT w RODO - informacje
General Data Protection Regulation (GDPR) czyli Rozporządzenie o
Ochronie Danych Osobowych (RODO)
Jakie wymagania w stosunku do działu IT wprowadza rozporządzenie?
Analiza zapisów rozporządzenia.
Od czego zacząć?
Jakie rozwiązania informatyczne zastosować?
2
3. IT w RODO - preambuła
Preambuła, motyw (49): do obowiązków ADO należy zapewnienie
bezpieczeństwa sieci i informacji m.in.: (…)zapewnienia odporności sieci
lub systemu informacyjnego (…) na (…)działania naruszające dostępność,
autentyczność, integralność i poufność przechowywanych lub przesyłanych
danych osobowych (…) jest prawnie uzasadnionym interesem
administratora, którego sprawa dotyczy.
(…) zapobieganie nieuprawnionemu dostępowi do sieci łączności
elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków
typu „odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów
komputerowych i systemów łączności elektronicznej.
3
4. IT w RODO - preambuła
od przedsiębiorców (ADO) wymagana jest proaktywna postawa nie tylko w celu ochrony
danych, ale także w przypadku gdy podjęte kroki zawiodły i nastąpiło naruszenie
bezpieczeństwa. Ustawa zaznacza, że należy się upewnić, czy wdrożono wszelkie
odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki
organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko
poinformować organ nadzorczy i osobę, której dane dotyczą.
Preambuła, motyw (87): Należy się upewnić, czy wdrożono wszelkie odpowiednie
techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu
stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ
nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej
zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia
ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby,
której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu
nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym
rozporządzeniu.
4
5. IT w RODO – ROZDZIAŁ II
ROZDZIAŁ II (Zasady) ; Artykuł 5 (Zasady dotyczące przetwarzania danych
osobowych)
Dane osobowe muszą być:
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych
osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem
przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za
pomocą odpowiednich środków technicznych lub organizacyjnych
(„integralność i poufność”).
5
6. IT w RODO – ROZDZIAŁ III
ROZDZIAŁ III, Artykuł 17 - prawo do bycia zapomnianym, przyznające osobom, których dane dotyczą, dużą
swobodę w zakresie wnioskowania o usunięcie danych osobowych, co nakłada na przedsiębiorców
dodatkowe obowiązki z tego tytułu.
Artykuł 17 Prawo do usunięcia danych („prawo do bycia zapomnianym”)
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących
jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli
zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a)
lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują
nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw
na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w
prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których
mowa w art. 8 ust. 1.
6
7. IT w RODO - ROZDZIAŁ IV
ROZDZIAŁ IV (artykuły 24 - 43) - Administrator i podmiot przetwarzający
Rozdział ten zawiera szczegółowe przepisy dotyczące obowiązków
zabezpieczenia przed „naruszeniem ochrony danych osobowych”.
ROZDZIAŁ I ; Artykuł 4 (Definicje)
punkt 12. „naruszenie ochrony danych osobowych” oznacza naruszenie
bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem
zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub
nieuprawnionego dostępu do danych osobowych przesyłanych,
przechowywanych lub w inny sposób przetwarzanych;
7
8. IT w RODO - ROZDZIAŁ IV
ROZDZIAŁ IV, artykuł 25; nowe podejście do odpowiedzialności podmiotu
przetwarzającego dane - „Data protection by design and by default” -
Uwzględnianie ochrony danych w fazie projektowania oraz domyślna
ochrona danych
odpowiednie procedury i zabezpieczenia powinny zostać wprowadzone
przez firmy jeszcze przed rozpoczęciem zbierania i przetwarzania danych.
8
9. IT w RODO – rejestr czynności
ROZDZIAŁ IV, Artykuł 30. RODO wymaga, by rejestr czynności
przetwarzania danych osobowych był prowadzony z uwzględnieniem
technicznych i organizacyjnych wymogów bezpieczeństwa opisanych w
Artykule 32. Oznacza to, że firmy i organizacje muszą być w stanie
udowodnić, że ich dane i systemy są bezpieczne, a zaszyfrowane dane
możliwe do odzyskania po awarii technicznej.
zapisy dotyczące prowadzenia rejestru czynności przetwarzania danych
osobowych przez administratora danych, a także jego przedstawicieli.
rejestr powinien zawierać odpowiednie informacje o osobach mających dostęp
do danych, ich uprawnieniach i działaniach, posiadać formę pisemną, w tym
elektroniczną, a także być udostępniany na żądanie organu nadzorczego.
9
10. IT w RODO - wymagania
ROZDZIAŁ IV, Art. 32. RODO Bezpieczeństwo przetwarzania - poświęcony
bezpieczeństwu przetwarzania danych stwierdza:
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres,
kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób
fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i
organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w
tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności
systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich
w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i
organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
10
11. IT w RODO - pseudonimizacja
ROZDZIAŁ I ; Artykuł 4 - Definicje ;
punkt 5. „pseudonimizacja” oznacza przetworzenie danych osobowych w taki
sposób, by nie można ich było już przypisać konkretnej osobie, której dane
dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie
dodatkowe informacje są przechowywane osobno i są objęte środkami
technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie
zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
11
12. IT w RODO - pseudonimizacja
Ministerstwo Cyfryzacji – Informator RODO:
Anonimizacja pozwala na usunięcie powiązań między danymi osobowymi a osobami, których
dane dotyczą. Zanonimizowane dane nie są danymi osobowymi, ponieważ nie wiążą się ze
zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W związku z tym, zasady
ochrony danych nie powinny mieć zastosowania do danych zanonimizowanych, co oznacza, że
RODO nie stosuje się do przetwarzania takich anonimowych informacji.
Pseudonimizacja to „ukrycie” danych osobowych, ponieważ nadal istnieje narzędzie, które
pozwala je odczytać. Dane osobowe, które są spseudonimizowane, pozostają danymi
osobowymi. Poddając je pseudonimizacji, tylko na jakiś czas „ukrywamy” informacje
pozwalające zidentyfikować osobę, której dane dotyczą. Aby dokonać skutecznie czynności
pseudonimizacji istotne jest to, aby klucz pozwalający odczytać dane był przechowywany
osobno, tj.w innym miejscu, niż same dane. Ponadto, klucz musi być odpowiednio
zabezpieczony w sposób techniczny i organizacyjny.
Jeżeli dane są ustrukturyzowane w taki sposób, że niemożliwa jest identyfikacja osoby, której
dotyczą, wtedy, zgodnie z Rozporządzeniem, wymogi ochrony danych osobowych są znacznie
złagodzone (jak w przypadku pseudonimizacji) lub nie obowiązują (jak w przypadku
anonimizacji).
12
13. IT w RODO – naruszenie ochrony
ROZDZIAŁ IV, Artykuł 34. RODO zawiera zalecenia dot. zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony
danych osobowych:
1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności
osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu
Jednakże dalej ten sam artykuł stwierdza:
3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:
a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych
osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom
nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności
osoby, której dane dotyczą, o którym mowa w ust. 1;
c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany
zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Badania wykazały, że im wcześniej powiadamia się o naruszeniu bezpieczeństwa danych, tym dotkliwsze są
konsekwencje dla firmy, która do takiego naruszenia dopuściła. W tym przypadku szyfrowanie uważane jest za
wystarczający środek uniemożliwiający naruszenie bezpieczeństwa i pozwalający chronić reputację firm, które
naruszenia doświadczyły.
13
14. IT w RODO - zgłaszanie naruszenia
ROZDZIAŁ IV, Artykuł 33. RODO wymaga powiadamiania organu
nadzorczego o każdym przypadku naruszenia bezpieczeństwa danych
osobowych. W razie takiego naruszenia organ ten musi zostać
powiadomiony najpóźniej w ciągu 72 godzin od wykrycia naruszenia. Po
upływie tego czasu każde powiadomienie będzie należało opatrzyć
wyjaśnieniem, dlaczego dokument wpływa po terminie przewidzianym w
Rozporządzeniu.
Naruszenie należy również zgłosić bez zbędnej zwłoki, nie później niż w
terminie 72 godzin po stwierdzeniu naruszenia, a także opisywać środki
zastosowane lub proponowane przez administratora w celu zaradzenia
naruszeniu ochrony danych osobowych.
14
15. IT w RODO - kary
Przykłady zaniedbań podlegających grzywnie:
Jeżeli Administrator Danych Osobowych (ADO) nie wdrożył odpowiednich środków
technicznych i organizacyjnych mających na celu ochronę praw osób, których dane
dotyczą.
Jeżeli ADO nie uwzględnił ochrony danych w fazie projektowania (na etapie
projektowania systemu informatycznego).
Jeżeli ADO nie zgłosił incydentu w ciągu 72h po stwierdzeniu naruszenia, organowi
nadzorczemu (jeśli incydent skutkował naruszeniem praw lub wolności osób fizycznych).
ROZDZIAŁ VIII ; Artykuł 83 (Ogólne warunki nakładania administracyjnych kar
pieniężnych)
Jeżeli zostanie wykazane, iż do naruszenia doszło z rażącego zaniedbania administratora, czy
podmiotu przetwarzającego, to można liczyć się z ryzykiem nałożenia bardzo wysokich kar
pieniężnych. Może to być nawet do 20 mln euro lub do 4% całkowitego, rocznego, globalnego
obrotu z poprzedniego roku.
15
16. IT w RODO – od czego zacząć?
Osoby zaangażowane:
osoby znające procesy w każdym dziale przetwarzającym dane osobowe,
osoby decyzyjne (zarząd, CEO),
finansowi decydenci (CEO, CFO),
prawnicy,
IT.
Analiza ryzyka
określenie punktu wyjścia dla wdrożenia zabezpieczeń zgodnych z RODO,
zdefiniowanie procesów zachodzących w organizacji,
zidentyfikowanie zagrożeń, podatności, prawdopodobieństwa, skutków i obecnych
zabezpieczeń,
opracowanie planu postępowania (z ryzykiem)
16
17. IT w RODO – od czego zacząć?
przy uwzględnieniu oszacowanego ryzyka - określenie jakie środki techniczne
będą odpowiednie,
przy uwzględnieniu oszacowanego ryzyka - określenie jakie środki IT będą
spełniały wymogi RODO,
ocena adekwatności zastosowanych zabezpieczeń,
stworzenie procedur IT m.in.:
polityka bezpieczeństwa (polityka haseł)
Instrukcja zarzadzania systemem informatycznym
polityka kopii zapasowych
polityka szyfrowania danych osobowych i pseudonimizacji,
plan ciągłości działania,
Plan sprawdzeń - regularnego testowania zastosowanych środków.
17
18. IT w RODO – od czego zacząć?
zebranie informacji, przeprowadzenie audytu:
identyfikacja danych osobowych podlegających kontroli zgodnie z rozporządzeniem
(audyt m.in. na stacjach roboczych, SharePoint, Exchange)
bezpieczeństwa: baz danych, serwerów, systemów operacyjnych, sieci przewodowej i
bezprzewodowej, styku z Internetem, urządzeń sieciowych, aplikacji desktopowych,
aplikacji webowych
dostępu użytkowników, m.in. polityki zmiany haseł do systemów, sieci wifi, dostępu
do danych
archiwizacji i backupów danych, możliwości odzyskania danych z backupów
szyfrowania danych na urządzeniach firmowych: laptopach, dyskach, telefonach
sposobów usuwania danych z urządzeń firmowych: laptopów, dysków, telefonów
18
19. IT w RODO – od czego zacząć?
#1 Zinwentaryzuj zbiory
Sprawdź jakie rodzaje zbiorów danych osobowych istnieją w Twojej firmie, a
także upewnij się, że wszystkie zostały wprowadzone do rejestru, by mieć nad
nimi pełną kontrolę.
#2 Ustal kto posiada dostępy
Określ pracowników, kontrahentów i partnerów, którzy mają dostęp do Twoich
zbiorów danych osobowych oraz posiadają odpowiednie zgody do ich
przetwarzania.
19
20. IT w RODO – od czego zacząć?
Identyfikacja obszarów przetwarzania danych osobowych. Dane podlegające
ochronie są wszędzie.
Gdzie są dane?
bazy danych, hurtownie danych - znana struktura bazy i dostepy
dane rozproszone (chmury, aplikacje, stacje końcowe, serwery poczty, dokumenty,
urządzenia mobilne)
Podstawowe problemy:
brak wiedzy gdzie są przechowywane dane osobowe
kto ma dostęp do tych danych
20
21. IT w RODO – ROZWIĄZANIA
ROZWIĄZANIE:
analiza danych - gdzie i jakie dane firma posiada
dane strukturalne (bazy danych)
dane niestrukturalne - poczta, dokumenty
klasyfikacja danych
analiza podatności
sporządzenie katalogu ryzyk i wyznaczenie rekomendacji w kontekście
zastosowania odpowiednich rozwiązań
21
22. IT w RODO – ROZWIĄZANIA
Wymagania: „uwzględnianie ochrony danych w fazie projektowania oraz
domyślna ochrona danych”
ROZWIĄZANIE: projekt i planowanie pod kątem bezpieczeństwa wdrożenia systemu
informatycznego w którym będą przetwarzane dane osobowe;
Wymagania: „zdolność do ciągłego zapewnienia poufności, integralności,
dostępności i odporności systemów i usług przetwarzania”
Wymagania: „regularne testowanie, mierzenie i ocenianie skuteczności środków
technicznych i organizacyjnych mających zapewnić bezpieczeństwo
przetwarzania”
Wymagania: „zapobieganie nieuprawnionemu dostępowi do sieci”
ROZWIĄZANIE: bezpieczeństwo jest procesem który musi być odpowiednio
udokumentowany i przestrzegany. Należy napisać, wdrożyć i egzekwować politykę
bezpieczeństwa informacji a także odpowiednio dokumentować wszystkie czynności
związane z przetwarzaniem danych osobowych.
22
23. IT w RODO - ROZWIĄZANIA
#3 Kontrola uprawnień
Kontroluj każde nadanie i odebranie uprawnień do zbiorów danych osobowych dla
wszystkich użytkowników systemów.
Wymagania: „rejestr powinien zawierać odpowiednie informacje o osobach
mających dostęp do danych, ich uprawnieniach i działaniach”
ROZWIĄZANIE: monitorowanie i kontrolowanie dostępu do danych osobowych,
implementacja systemu do zarządzania logami systemów w zakresie dostępu do danych.
Wymagania: „wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić
naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i
osobę, której dane dotyczą”
ROZWIĄZANIE: wykrywanie przypadków dostępu niezgodnego z uprawnieniami,
odpowiednie logowanie wszystkich zdarzeń w systemach informatycznych, generowanie
alertów poprzez odpowiednie ustawienie oprogramowania do analizy logów systemowych
lub inline IDS.
23
24. IT w RODO - ROZWIĄZANIA
#4 Monitoring systemów i aplikacji
Monitoring upewni Cię, że w systemie nie występują braki m.in. w aktualizacjach
oprogramowania czy zabezpieczeniach antywirusowych, które mogłyby
powodować naruszenie bezpieczeństwa i doprowadzić do wycieku danych. W
przypadku braku system automatycznie reaguje (założy zgłoszenie w systemie
zgłoszeń lub powiadomi mailowo administratora).
ROZWIĄZANIE: Wdrożenie oprogramowania lub urządzenia do monitorowania
systemów zaangażowanych w przetwarzanie danych osobowych w zakresie braków
aktualizacji, błędów przepełnienia, odmowy dostępu, awarii.
24
25. IT w RODO - ROZWIĄZANIA
#5 Monitoring sprzętu
Monitoring sprzętu pomoże wykryć możliwe przypadki uszkodzenia lub
przeciążenia sprzętu komputerowego jeszcze przed całkowitą awarią.
Wymagania: „przeciwdziałanie uszkodzeniu systemów komputerowych i
systemów łączności elektronicznej”
ROZWIĄZANIE: Wdrożenie systemu opartego na czujnikach do monitorowania
infrastruktury sprzętowej w zakresie temperatury, zadymienia, wilgotności, skoków
napięcia. Wdrożenie odpowiednich środków bezpieczeństwa fizycznego oraz UPS.
25
26. IT w RODO - ROZWIĄZANIA
#6 Szyfrowanie danych
szyfrowanie danych - niezbędne minimum które musi zastosować firma w
związku z RODO
Wymagania: „(…stosować) pseudonimizację i szyfrowanie danych
osobowych”
ROZWIĄZANIE: wdrożenie szyfrowania danych na stacjach roboczych,
serwerach na których przetwarzane są dane osobowe oraz szyfrowanie kopii
zapasowych w których zawarte są dane osobowe.
26
27. IT w RODO - ROZWIĄZANIA
#7 Antywirus
Wymagania: „ zapobieganie rozprowadzaniu złośliwych kodów ”
ROZWIĄZANIE: zastosowanie programów antywirusowych, dbanie o
aktualizację oprogramowania antywirusowego, najlepiej poprzez centralną
konsolę zarządzania (logowanie zdarzeń), automatyzacja procesu, generowanie
raportów.
27
28. IT w RODO - ROZWIĄZANIA
#8 Kopie zapasowe
Wymagania: „zdolność do szybkiego przywrócenia dostępności danych
osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”
Wymagania: „zapewnienie odporności sieci lub systemu informacyjnego na
działania naruszające”
ROZWIĄZANIE: odpowiednio skonfigurowane, udokumentowane, (procedura
tworzenia kopii zapasowych / polityka kopii zapasowych) regularne tworzenie kopii
zapasowych, archiwizowanie danych osobowych zgodnie z procesami GDPR,
dodatkowe miejsce przechowywania kopii zapasowych,
zapasowe centrum danych - redundancja, możliwość przełączania na centrum
zapasowe.
28
29. IT w RODO - ROZWIĄZANIA
#8a Kopie zapasowe – prawo do bycia zapomnianym
Wymagania: „Osoba, której dane dotyczą, ma prawo żądania od
administratora niezwłocznego usunięcia dotyczących jej danych
osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć
dane osobowe”
ROZWIĄZANIE: ręczna metoda usunięcia pojedynczego rekordu z backupu
bazy danych to: odtworzenie, wykasowanie i ponowna archiwizacja.
Automatyzacja usuwania danych z kopii zapasowej polega na implementacji
systemu który automatycznie odpytuje wszystkie bazy i kasuje właściwe
rekordy. Zautomatyzowanie tego procesu to skomplikowany projekt.
29
30. IT w RODO - ROZWIĄZANIA
#9 IDS (IPS)
Wymagania: przerywanie ataków typu „odmowa usługi”
ROZWIĄZANIE: monitorowanie systemów zaangażowanych w przetwarzanie
danych osobowych poprzez implementację systemów IDS lub IPS - urządzenia
sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie
(IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.
#10 Zarządzaj zdarzeniami i incydentami
Bardzo ważne jest, aby każdy incydent, który może mieć wpływ na
bezpieczeństwo danych osobowych był zarejestrowany, a także aby każdy
pracownik Twojej firmy miał możliwość takie zdarzenie zgłosić.
30