NORMY SERII 29000

W świetle RODO jednym z najważniejszych i najciekawszych standardów jest ISO 29100 – Ramy prywatności. Dosto­sowując organizację do wymagań RODO, warto zainwestować trochę czasu i zapoznać się z nią, szczególnie że jest ona bezpłatnie dostępna na stronie organizacji ISO w postaci pliku PDF . Przy opracowywaniu RODO korzystano z koncepcji przedstawionych w ISO 29100. Można powiedzieć, że w pewnym sensie standard ISO 29100 był ojcem unijnego rozporządzenia.

ISO 29100 – Ramy prywatności

Norma po przeglądzie w 2017 r. pozostała w niezmienionej formie, co oznacza, że opisane w niej koncepcje prywatności są wciąż ważne i ponadczasowe.

Warto czerpać z tej normy ze względu na jej dużą praktyczność. Definicje są podane przystępnie i rozwiewają wiele wątpliwości. Co ciekawe, o ile nie wszystkie terminy pokrywają się z RODO, to na pewno wszystkie główne zasady prywatności z tej normy są spójne z RODO. Norma wprowadza 11 takich zasad:

  • zgoda i sprzeciw, respektowanie decyzji podmiotu danych,
  • przetwarzanie w określonym celu zgodnym z prawem, informowanie o tym celu,
  • ograniczenia w zbieraniu danych – tylko dane niezbędne do celu przetwarzania,
  • minimalizacja danych,
  • ograniczanie korzystania i ujawniania danych, retencja danych,
  • poprawność, adekwatność i jakość danych,
  • otwarte informowanie,
  • prawo dostępu i uaktualniania danych,
  • rozliczalność,
  • bezpieczeństwo informacji,
  • zgodność z przepisami o ochronie danych.

Przykładowo, rekomenduje się wyjaśniać osobom, dlaczego ich dane wrażliwe (w RODO nazywane danymi szczególnych kategorii) muszą być przetwarzane.

Minimalizacja danych jest wyróżniona i oddzielona od ograniczeń w zbieraniu danych, bo stanowi zupełnie inną koncepcję. Ograniczenie zbierania danych ma na celu niepozyskiwanie danych więcej niż trzeba, zaś minimalizacja ma minimalizować przetwarzanie danych. Przykładowo, zakład ubezpieczeń w celu ubezpieczenia zbiera bardzo dużo danych o osobie i te dane przechowuje w systemach informatycznych. W systemie online do zarządzania polisami ubezpieczeniowymi powinien przechowywać jednak dane niezbędne do zarządzania polisą, a nie wszystkie dane.

 

Retencja danych wskazuje, że przetwarzanie danych należy ograniczyć do przechowywania (zarchiwizowania). Gdy skończą się cele przetwarzania, dane należy przechowywać w taki sposób, jaki nakazuje obowiązujące prawo (w Polsce są to np. przepisy o ubezpieczeniach społecznych, podatkowe, dotyczące przeciwdziałania praniu brudnych pieniędzy, roszczenia).

W części poświęconej jakości danych norma podpowiada, że należy upewnić się co do tożsamości osoby, która żąda zmiany lub poprawienia danych osobowych.

Stosowanie zasady rozliczalności wymaga:

  • udokumentowania i poinformowania o wszelkich politykach, procedurach i praktykach dotyczących prywatności,
  • wyznaczenia osoby, która będzie odpowiedzialna za wdrożenie zasad ochrony danych osobowych,
  • aby powierzając dane innemu podmiotowi do przetwarzania, związać go umownie do stosowania podobnego poziomu dbałości o prywatność,
  • przeszkolenia personelu, osób mających dostęp do danych osobowych,
  • wdrożenia procesu obsługi skarg i żądań osób, których dane się przetwarza,
  • informowania podmiotów danych o naruszeniach mogących wpływać istotnie na ich prywatność i funkcjonowanie,
  • informowania organów nadzorczych.

Stosowanie zasady bezpieczeństwa informacji polega na:

  • ochronie danych osobowych przed ryzykami podczas całego cyklu ich życia,
  • wybieraniu godnych zaufania podmiotów mających przetwarzać dane osobowe w imieniu zleceniodawcy,
  • stosowaniu zabezpieczeń wynikających z wymagań prawa, standardów bezpieczeństwa i wyników systematycznej oceny ryzyka opisanej w ISO 31000,
  • wybieraniu zabezpieczeń proporcjonalnie do prawdo­podobieństwa i skutków, znaczenia danych osobowych dla prywatności, ilości danych itd.,
  • ograniczanie dostępu zgodnie z zasadą „tylko to, co niezbędne”,
  • zarządzanie ryzykami i podatnościami wykrytymi podczas oceny skutków dla prywatności oraz audytów.

Takich praktycznych i jasnych porad brakuje w RODO, brakuje ich też w „Wytycznych Grupy Roboczej Art. 29”, która z założenia ma tworzyć dokumenty pomagające rozu­mieć RODO.

Porównując wybrane definicje z unijnego rozporządzenia i normy ISO, z łatwością można zauważyć, że definicje zawarte w ISO są przystępniejsze1. Norma posługuje się też innymi określeniami niż rozporządzenie, ale ogólny sens wciąż jest zgodny z RODO.

Porównanie definicji z RODO i ISO 29100

  RODO ISO 29100
Dane
osobowe
Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna – to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takie­go jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4) oraz motyw 26 rozporządzenia „Dane identyfikujące osobę” (ang. personally identifiable information) – jakiekolwiek informacje: a) których można użyć, aby zidentyfikować podmiot danych, do którego odnoszą się informacje lub b) które można bezpośrednio lub pośrednio powiązać z podmiotem danych. Aby określić, czy osoba (podmiot danych) możliwa jest do zidentyfikowania, trzeba wziąć pod uwagę to, jakich środków musi użyć zainteresowany, aby zidentyfikować osobę
Pseudo-
nimizacja
„Przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej” Operacja na danych osobowych polegająca na zamianie
danych identyfikujących osobę  aliasem
Anonimi-zacja Brak bezpośredniej definicji,  można ją wywnioskować z motywu 26: „Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można  zidentyfikować” Proces, w którym dane osobowe są nieodwracalnie zmieniane w taki sposób, że osób, których te dane dotyczą, nie da się już zidentyfikować bezpośrednio ani pośrednio, ani przez administratora danych, ani przy współpracy z innymi podmiotami
Naruszenie bezpieczeństwa W RODO określane jako naruszenie ochrony danych – „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” W normie: „naruszenie prywatności” – jest to sytuacja, w której dane osobowe przetwarzane są z naruszeniem jednego lub więcej mechanizmów zabezpieczania prywatności
Zabezpieczenia prywatności Brak formalnej definicji Środki, które zmniejszają ryzyka dla prywatności przez zredukowanie ich prawdopodobieństwa lub skutków

 

ISO 29101 – Ramy architektury prywatności

Mało kto domyśliłby się, że ten standard może się przydać przy wdrażaniu wymagań unijnego rozporządzenia o ochronie danych osobowych. A jeszcze mniej osób domyś­liłoby się, że ta norma kierowana jest do twórców oprogramowania, które ma służyć do przetwarzania danych osobowych.

Bardzo ciekawe jest uwzględnianie różnych etapów życia danych osobowych w przetwarzaniu ich przez systemy informatyczne. Norma odwołuje się do 11 podstawowych zasad prywatności. Mechanizmy ochrony prywatności
bazować mają właśnie na tych zasadach.

Przede wszystkim norma koncentruje się na systemach zapewniających interakcję z osobami, których dane są przetwarzane, ale uwzględnia też wymagania dla administratora danych oraz podmiotu przetwarzającego na
zlecenie.

 

Ta norma to doskonałe narzędzie dla wszystkich architektów systemów informatycznych.

ISO 29134 – Metodyka szacowania skutków dla prywatności

Brytyjski organ nadzorczy ICO (ang. Information Commissioner’s Office) w 2009 r. opublikował Podręcznik oceny skutków dla ochrony danych. W ten sposób Anglia stała się pionierem PIA w Europie. Dzisiaj wciąż w obiegu jest Conducting privacy impact assessment – code of practice (Przeprowadzanie oceny skutków – praktyczne zasady), opublikowany w 2014.[1] Nie trzeba wcale zgadywać, skąd w RODO (art. 35) ocena skutków dla ochrony danych osobowych (ang. DPIA – data protection impact assessment), jest to zaadoptowana ocena skutków, którą z dużym sukcesem wdrożył brytyjski odpowiednik naszego GIODO.

Art. 35 RODO stanowi:

1.  Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

11. W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.

 

Zapisy RODO wymagały wyjaśnienia, dlatego Grupa Robocza Art. 29 przygotowała dokument WP248 rev. 01 – Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679. Przez rozporządzenie 2016/679 rozumie się RODO. Z tego dokumentu wynika, że ocena skutków jest niezmiernie ważna:

Ocena skutków dla ochrony danych jest procesem pozwalającym opisać przetwarzanie oraz ocenić jego konieczność i proporcjonalność, a także mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalających zaradzić tym czynnikom ryzyka. Oceny skutków dla ochrony danych są ważnym narzędziem rozliczalności, ponieważ ułatwiają administratorom nie tylko przestrzeganie wymogów określonych w RODO, ale także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO (...). Innymi słowy, ocena skutków dla ochrony danych jest procesem budowania i wykazywania zgodności.

 

Po lekturze tego dokumentu wciąż jest dużo wątpliwości: jak taką ocenę przeprowadzić, jak ją udokumentować, kto ma ją przeprowadzić itd. I tutaj znajduje się miejsce dla normy ISO 29134, która stanowi wytyczne do procesu oceny skutków dla ochrony danych (PIA) oraz raportu z tej oceny.

 

Z normy można się dowiedzieć m.in.:

  • jakie są korzyści z przeprowadzania PIA, jakie są cele raportu PIA,
  • rozliczalność z wykonania PIA,
  • „od kiedy” PIA jest konieczna,
  • jak trzeba zaangażować interesariuszy,
  • jak identyfikować i szacować ryzyka dla prywatności.

 

Bardzo przydatne są załączniki, np. załącznik A pomaga określić poziomy wpływu w zależności od natury danych osobowych oraz ocenić prawdopodobieństwo.

 

Nieocenioną pomocą są:

  • lista typowych zagrożeń dla prywatności (załącznik B),
  • diagram przypływu dla przetwarzania danych oraz mapa ryzyk dla prywatności (załącznik D).
  • ISO 29151 – Praktyczne zasady ochrony danych osobowych

 

W dużym uproszczeniu można powiedzieć, że jest to dodatek do normy ISO 27002 uwzględniający specyfikę przetwarzania danych osobowych.

 

Norma ustanawia (dokładnie tak samo jak ISO 27002) cele stosowania zabezpieczeń, zabezpieczenia i wytyczne do wdrażania zabezpieczeń, tak aby spełnić wymagania zidentyfikowane w wyniku przeprowadzenia szacowania ryzyka oraz skutków w odniesieniu do ochrony danych osobowych.

 

Ciekawostką jest, że w tej normie używa się określenia deidentyfikacja danych zamiast pseudonimizacji, a chociaż definicje różnią się, to ich ostateczny sens jest taki sam.

Zabezpieczenia danych osobowych powinny bazować na wyniku oceny ryzyka. Ocena skutków zgodna z ISO 29134 będzie bardzo pomocna.

 

Ta norma, podobnie jak pozostałe, jest bardzo praktyczna. Przykładowo, przy wymaganiach dotyczących zapasowych kopii danych znajduje się informacja, że pomiędzy wykonanym backupem a operacją odtwarzania danych zazwyczaj mija trochę czasu, z tego więc powodu odtwarzanie danych z kopii zapasowej może wiązać się z ryzykiem, że odtworzy się nieaktualne dane, których nie powinno się już przetwarzać, a to może być niezgodne z zasadami prywatności i przepisami prawa.

 

ISO 29190 – Model oceny zdolności dla prywatności

 

Norma zawiera ogólne wytyczne dotyczące sposobu, w jaki organizacja może ocenić swoją zdolność do zarządzania procesami związanymi z prywatnością.

 

ISO 31000 – Zarządzanie ryzykiem – Zasady i wytyczne

 

Norma zawiera zasady i ogólne wytyczne dotyczące zarządzania ryzykiem w sposób systematyczny, przejrzysty i wiarygodny w obrębie dowolnego zakresu i kontekstu. Ustalono w niej zasady, których przestrzeganie jest niezbędne, aby zarządzanie ryzykiem było skuteczne.

 

Zgodnie z tą normą zarządzanie ryzykiem obejmuje trzy główne etapy:

  • przyjęcie zasad zarządzania ryzykiem,
  • opracowanie, wdrożenie i ciągłe doskonalenie struktury ramowej,
  • wdrożenie procesu zarządzania ryzykiem, na który składają się: komunikacja i konsultacje, ustalenie kontekstu, ocena ryzyka (identyfikacja, analiza i ewalua­cja ryzyka), postępowanie z ryzykiem, monitorowanie i przegląd.

 

Ryzyko w rozporządzeniu ma dwoistą naturę. Doskonale to ujęto w Wytycznych dotyczących oceny skutków dla ochrony danych, przygotowanych przez Grupę Roboczą Art. 29, w których napisano: „ocena skutków dla ochrony danych, o której mowa w RODO, stanowi narzędzie służące do zarządzania ryzykiem naruszenia praw osób, których dane dotyczą, a zatem przy jej przeprowadzaniu przyjmuje się ich perspektywę, podobnie jak w przypadku określonych dziedzin (np. bezpieczeństwo społeczne). Z kolei zarządzanie ryzykiem w pozostałych dziedzinach (np. bezpieczeństwa informacji) skupia się na organizacji”2.

 

Należy zatem zakładać, że do szacowania ryzyka trzeba zastosować kilka norm, a każda dotyczy czegoś innego: ISO 29134 – ryzyka dla prywatności, ISO 27005 – ryzyka dla bezpieczeństwa danych oraz ISO 31000 – ogólne szacowanie ryzyka.
 

Standardy ISO w świetle RODO

 

Dużo mówi się o tym, że ISO 27001 jest doskonałym narzędziem pomagającym zapewnić zgodność z RODO, ale jest to jedynie połowa prawdy – samo zabezpieczenie danych osobowych (tak jak i innych informacji) stanowi tylko pewną część zapewnienia zgodności z wymaganiami rozporządzenia. Dlatego stosowanie standardów zarządzania bezpieczeństwem informacji należy rozszerzyć o standardy dotyczące prywatności. Tylko w ten sposób można przystąpić do projektowania systemu przetwarzania danych osobowych zgodnego z RODO.

 

Podsumowując, należy korzystać z obu rodzin standardów ISO – zarówno 29000, jak i tych z serii 27000.