Dobre praktyki zabezpieczeń w systemach informatycznych

Jednym z podstawowych obowiązków wobec danych osobowych jest ich bezpieczeństwo. Artykuł 5 ust. 1 RODO dobitnie to podkreśla:

Dane osobowe muszą być (...) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

 

W sekcji 2 rozporządzenia, w całości poświęconej bezpieczeństwu danych osobowych, ten obowiązek zostaje doprecyzowany w art. 32 ust. 1 (podobnie brzmi też art. 24 ust. 1):

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (...).

 

Artykuł 32 ust. 2:

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

Uwagę zwraca odniesienie do ryzyka, które dotyczy osób, których dane są przetwarzane. Chroniąc dane osobowe, trzeba będzie dokonywać analizy ryzyka z co najmniej dwóch perspektyw – organizacji oraz „podmiotów danych”.

 

Większość norm ISO opiera się na tzw. systemach zarządzania. Zarządzanie jest zestawem działań (obejmujących planowanie i podejmowanie decyzji, organizowanie, przewodzenie, tj. kierowanie ludźmi i kontrolowanie) skierowanych na zasoby organizacji (ludzkie, finansowe, rzeczowe i informacyjne), wykonywanych z zamiarem osiągnięcia celów organizacji w sposób sprawny i skuteczny, z tym że: sprawny – to wykorzystujący zasoby mądrze i bez zbędnego marnowania, a skuteczny – to działający z powodzeniem.

 

Do zarządzania bezpieczeństwem danych warto wykorzystać normę ISO 27001, w której dane osobowe stanowią podzbiór zbioru informacji. Trzeba jednak pamiętać o tym, że zabezpieczając dane zgodnie z tą normą, wywiązuje się jedynie z wycinka wymagań rozporządzenia.
 

Cele normy ISO 27001 i ochrony danych zgodnie z rozporządzeniem RODO są podobne. Według ISO „system zarządzania bezpieczeństwem informacji chroni poufność, integralność i dostępność informacji poprzez procesy zarządzania ryzykiem oraz daje pewność zainteresowanym stronom, że ryzyka są odpowiednio zarządzane”.

 

Podobnie jest w przypadku RODO – dane osobowe trzeba chronić, tak aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku „naruszenia praw i wolności osób fizycznych”.

 

Czy każdy może stosować ISO 27001? Nie ma ograniczeń w jej wykorzystaniu, chociaż małe organizacje (np. mikro­przedsiębiorcy) mogą mieć problem w jej stosowaniu, bo to, co dla dużych firm jest łatwe do wdrożenia i stanowi korzyść, dla małych może być kosztowne i bezużyteczne. Wdrażając zabezpieczenia według normy, należy kroić je na własne potrzeby.

 

Istotną kwestią jest to, że norma ma znacznie szerszy zakres – odnosi się do przetwarzania danych w jakiejkolwiek formie (dane cyfrowe, wydruki, a nawet informacje „w głowach” pracowników). Jeśli norma ma być wykorzystana jedynie do systemów informatycznych, trzeba w niej pominąć nieinformatyczne zagadnienia. Wymagania normy najlepiej traktować jak wytyczne, dobre praktyki czy swego rodzaju porady.