Kluczowe aspekty bezpieczeństwa danych osobowych według RODO

Zgodnie z rozporządzeniem bezpieczeństwo danych osobowych polega na takim ich przetwarzaniu, które nie spowoduje żadnego zagrożenia dla nich samych oraz dla organizacji.

Przyjmując taką definicję, można zauważyć, że chęć zabezpieczania danych osobowych będzie wynikała głównie z obawy przed konsekwencjami wynikającymi z rozporządzenia (wysokie kary finansowe za niezgodność z przepisami – art. 83), ryzykiem wypłaty odszkodowań osobom poszkodowanym – art. 82), a także z konsekwencji pozaprawnych. Przykładowo, większość organizacji, szczególnie o dobrej renomie, będzie obawiać się ryzyka utraty reputacji u klientów i podmiotów współpracujących, zaufania akcjonariuszy, ryzyka spadku ceny akcji itp., czasami nawet bardziej niż kary finansowej.

 

Zgodnie z normą ISO 27001 za bezpieczeństwo informacji uznaje się zachowanie poufności, integralności i dostępności informacji. Dodatkowo mogą być brane pod uwagę inne własności, takie jak: autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

  • Poufność oznacza, że dane pozostają w tajemnicy, a możliwość zapoznania się z nimi mają tylko te osoby, które powinny.
  • Integralność (spójność) jest właściwością zapewniającą, że dane nie zostały zmienione, uszkodzone lub zniszczone przez osobę nieupoważnioną.
  • Dostępność oznacza niczym nieograniczoną możliwość korzystania z danych przez użytkowników do tego uprawnionych.
  • Rozliczalność zapewnia, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
  • Autentyczność – to właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana.
  • Niezawodność – właściwość oznaczająca spójne, zamierzone zachowanie i skutki.

 

Wspomniane atrybuty bezpieczeństwa informacji znajdują swoje odzwierciedlenie w zapisach RODO:

  • dostęp do danych – tylko osoby działające wyłącznie na polecenie administratora lub podmiotu przetwarzającego (art. 32 ust. 4 – poufność),
  • zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 36 ust.1 pkt b),
  • zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (art. 36 ust. 1 pkt c),
  • wymóg regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 36 ust. 1 pkt d),
  • konieczność wykrywania naruszeń bezpieczeństwa (naruszenie poufności lub integralności danych – art. 33).

 

Podejście procesowe

 

Bezpieczeństwo można definiować jako stan (coś jest teraz bezpieczne), jak i proces (ciągłe zapewnianie bezpieczeństwa). Bardziej praktyczne jest podejście drugie, odzwierciedlające naturalny charakter bezpieczeństwa. Nie dziwi więc, że normy ISO 27001 promuje cykl PDCA (Plan-Do-Check-Act)1, będący koncepcją z zakresu zarządzania jakością. Dr W. Edwards Deming był przekonany, że poprzez przyjęcie odpowiednich zasad zarządzania, organizacje mogą zwiększyć jakość, jednocześnie zmniejszając koszty (eliminując lub zmniejszając np. marnotrawstwo, poprawianie niedoróbek) i budując lojalność klientów. Kluczem do tego jest praktycznie ciągłe udoskonalanie i myślenie o organizacji (procesach) jako systemie, a nie jej częściach.

 

Deming zauważył, że w organizacjach: ludzie z działu projektowania nie rozmawiają z ludźmi z działu badań nad klientami. Dlaczego? Bo mogłoby komuś wydawać się, że nie znają się na swojej robocie, jeżeli proszą o pomoc. Pomyślcie, ile firma traci (...). Zbyt często działy obwiniają się nawzajem za stwarzanie problemów. Jeśli jeden dział lub pion wprowadzi usprawnienia, to tylko stwarza prob­lemy pozostałym. Często nie wie lewica, co robi prawica”.

 

Bezpieczeństwo – to wysiłek zespołowy i wymaga sprawnej współpracy. Wymaga też wyeliminowania strachu. Deming stwierdza, że jeśli nie możesz spierać się z szefem, to nie warto dla niego pracować. Uważa, że pracownik nie powinien odczuwać strachu w trakcie wykonywania swoich obowiązków i nie sposób się z tym nie zgodzić – osoby zastraszone nie będą chciały uczciwie współpracować. Warto poznać wszystkie 14 zasad Deminga2 – są bardzo praktyczne i nic się nie zestarzały.

 

Wracając do koła Deminga, składa się ono z czterech etapów:

  • planowanie, czyli określenie czynności, które są niezbędne do otrzymania efektu,
  • wykonanie zgodnie ze wszystkimi punktami zamierzonego planu,
  • sprawdzanie, czy plan był skuteczny, i co można zrobić, by go ulepszyć,
  • działanie, które polega na udoskonalaniu procesu i włączeniu pomysłów do kolejnego planu.

 

Podsumowując, nie można zakładać, że wdroży się zabezpieczenia systemów informatycznych i można będzie o nich zapomnieć. Taki system szybko się zdegraduje i cały wysiłek zostanie zmarnowany.

 

ISO jako rozwiązanie neutralne technologicznie

 

Nowe przepisy o ochronie danych osobowych miały za zadanie sprostać szybko zmieniającym się technologicznym wyzwaniom i z tego powodu RODO jest technologicznie neutralne, nie definiuje konkretnych rozwiązań i zabezpieczeń, tylko nakazuje je dobierać do zagrożeń, bo te z biegiem czasu będą się zmieniać wraz z postępem technologii.

 

W rozporządzeniu użyto określeń neutralnych pod względem technologicznym:

  • RODO nakazuje uwzględniać ryzyko naruszenia praw lub wolności i wdrażać odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
  • Gdy jest to proporcjonalne w stosunku do czynności przetwarzania, nakazuje wdrożenie odpowiednich polityk ochrony danych.
  • Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem.
     

Ta neutralność polega na tym, że RODO nie wskazuje żadnej technologii, nawet na poziomie ogólnym. Dr Maciej Kawecki – Dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji koordynujący reformę ochrony danych osobowych – w jednym z wywiadów stwierdza: Trudno jest sobie wyobrazić, żeby ten akt się zdezaktualizował, niezależnie od tego, w którym kierunku będzie podążał rozwój technologii3.

 

Dla odmiany rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych4 takiej neutralności nie zachowywało – nakazywało stosować hasła do uwierzytelnienia, posiadać ściśle określone procedury itd.

 

Podejście oparte o ryzyko

 

Każdy podmiot przetwarzający dane osobowe powinien samodzielnie określić, jakie konkretne zabezpieczenia danych należy zastosować, a ich dobór powinien uwzględniać (art. 32 ust. 1):

  • charakter, zakres, kontekst i cele przetwarzania,
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
  • stan wiedzy technicznej,
  • koszt wdrażania.

 

Oznacza to, że każdy podmiot powinien:

  • ustalić, jakie dane osobowe, po co i w jaki sposób przetwarza,
  • ocenić związane z takim przetwarzaniem ryzyka dla prywatności (naruszenia praw lub wolności) osób fizycznych,
  • dobrać zabezpieczenia odpowiednie do ryzyka, uwzględniając istniejące możliwości techniczne i włas­ne możliwości finansowe.

 

Wiadomo też (z zapisów art. 32 ust. 2), że oceniając, czy stopień bezpieczeństwa jest odpowiedni, należy uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

Aby wywiązać się z tego zapisu, warto sięgnąć po normę ISO 27001. Norma rekomenduje, aby organizacja opracowała i wdrożyła proces szacowania ryzyka.

 

Szacowanie ryzyka ma:

  • zapewniać spójne i porównywalne wyniki, bazując na przyjętych kryteriach szacowania i kryteriach akceptacji ryzyka,
  • identyfikować ryzyka w bezpieczeństwie danych osobowych i ich właścicieli,
  • pozwalać analizować ryzyka (skutki i prawdopodobieństwo zmaterializowania się ryzyk, poziomy ryzyka),
  • oceniać ryzyka i nadawać ryzykom priorytety (aby zajmować się najpierw tym, co najważniejsze, gdzie ryzyko jest najwyższe).

 

Mając oszacowane ryzyka, należy opracować i wdrożyć proces postępowania z nimi, który pozwala:

  • wybrać odpowiednie opcje postępowania z ryzykiem (zmniejszenie, unikanie, transfer itp.),
  • określić zabezpieczenia niezbędne do wdrożenia wybranej opcji postępowania z ryzykiem i sformułować plan postępowania z nim,
  • uzyskać zgody właścicieli ryzyka na plan postępowania.
     

Jednym z elementów postępowania z ryzykiem jest sprawdzenie zdefiniowanych zabezpieczeń z zabezpieczeniami opisanymi w załączniku A do normy w celu upewnienia się, że żadne wymagane zabezpieczenia nie zostały pominięte. Załącznik A jest cennym narzędziem w całym tym procesie.

 

Motyw 75 preambuły podpowiada, jakie są lub typowe scenariusze, w których istnieje ryzyko (o różnym prawdopodobieństwie i wadze zagrożeń) naruszenia praw lub wolności osób:

  • przetwarzanie danych osobowych mogące prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
  • jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa;
  • jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobis­tych;
  • jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, zwłaszcza dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

 

Motyw 76 podkreśla, że ryzyko należy szacować przez pryzmat procesów przetwarzania:

Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

 

Dodatkowo w procesie oceny ryzyka dla praw i wolności osób pomocne mogą być „Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie »może powodować wysokie ryzyko« do celów rozporządzenia 2016/679”.

 

Ryzyko jest miarą naruszenia praw i wolności osób fizycznych. To ryzyko będzie obecne podczas całego cyklu życia danych osobowych.

 

Zarządzanie ryzykiem można podzielić na etapy:

  • ustalenie kontekstu,
  • identyfikacja ryzyka,
  • analiza ryzyka,
  • ocena ryzyka,
  • postępowanie z ryzykami,
  • monitorowanie.

Celem identyfikowania ryzyka jest określenie, co może się zdarzyć i spowodować potencjalną stratę oraz uzyskanie wiedzy na temat tego, gdzie i dlaczego to może się zdarzyć. Ważnymi krokami w identyfikacji ryzyka jest identyfikacja aktywów (dane osobowe), zagrożeń, istniejących już zabezpieczeń, podatności i określenie potencjalnych następstw.

 

W następnej kolejności szacuje się następstwa i prawdopodobieństwa ich wystąpienia oraz określa poziom ryzyka – najlepiej i najłatwiej użyć skali tzw. jakościowej, np. ryzyko
niskie, średnie, wysokie.

 

Jeśli poziom ryzyka jest zbyt wysoki, należy przyjąć sposób postępowania z ryzykiem:

  • zmniejszenie ryzyka (poprzez zastosowanie zabezpieczeń),
  • unikanie ryzyka (unikanie działań lub warunków, które to ryzyko powodują),
  • świadoma akceptacja ryzyka.
     

W przypadku zabezpieczeń systemów informatycznych ocenę tę można nieco sobie ułatwić, kierując się wykazem zabezpieczeń wymienionych w załączniku A do normy ISO 27001. Przykładowo, wymaganie A.12.2.1 stanowi, że należy wdrożyć zabezpieczenia przed szkodliwym oprogramowaniem „w połączeniu z właściwym uświadamianiem użytkowników”. Niespełnienie tego wymagania lub spełnienie go jedynie częściowo może oznaczać ryzyko dla „praw i wolności” i należy to ryzyko oszacować. Przykładowo, dane osobowe mogą zostać uszkodzone, zniszczone, zmodyfikowanie lub nawet wykradzione przez złośliwe oprogramowanie. Każda z tych akcji może mieć potencjalny wpływ na prywatność, zależny od rodzaju przetwarzania. Na przykład, jeśli wyciekły dane z portalu poświęconego przepisom kucharskim, ryzyka dla prywatności są zapewne niewielkie, ale… gdyby to był portal, taki jak Ashley Madison – kanadyjski portal reklamujący się hasłem „Życie jest krótkie. Zafunduj sobie romans”, którego ideą jest zrzeszanie osób będących w stałych związkach (małżeńskich bądź partnerskich), którzy chcą nawiązać romans, to ryzyko byłoby zupełnie inne.