Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Własna serwerownia, kolokacja czy hosting?

25-09-2017 Autor: Maciej Kołodziej

Budowa nowoczesnego systemu informatycznego obsługującego procesy ochrony danych osobowych jest wyzwaniem dla wielu administratorów danych. Konstrukcja składa się z elementów dopasowywanych jak klocki na podstawie różnych kryteriów optymalizacji.

 

Aby podjąć odpowiednie decyzje, konieczne jest znalezienie odpowiedzi na pytanie: jak właściwie zrównoważyć w organizacji bezpieczeństwo, technologię i finanse? Każdy podmiot przetwarzający informacje musi dokonać wyboru, jakie rozwiązania techniczne i organizacyjne będzie stosował. Porównując koszty i uzyskiwane korzyści dotyczące wydajności, bezpieczeństwa, dostępności oraz zarządzania infrastrukturą IT, należy podjąć decyzję o optymalnie dobranych środkach, które będą wchodziły w skład systemu przetwarzania danych osobowych.

Na administratorze danych osobowych (dalej: ADO) ciąży obowiązek wykazania, że sposób, w jaki przetwarza dane, odpowiada wymaganiom stawianym przez przepisy, normy, dobre praktyki i regulacje branżowe.

Obowiązujące przepisy zobowiązują ADO do prowadzenia dokumentacji, w skład której wchodzą polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. O zawartości i szczegółowości tych dokumentów decyduje ADO, opierając się na wskazówkach zawartych w rozdziale 5 uodo i § 4, 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024). Rozporządzenie, będące jedynym przepisem stawiającym wymagania techniczne dotyczące ochrony danych osobowych, powstało w 2004 r. i jego treść w wielu tematach odbiega niestety od rozwiązań stosowanych obecnie w informatyce.

Za niespełna rok zaczną obowiązywać wymogi stawiane przez rodo, które niestety przy swojej złożoności i dużej objętości, nie wskazują, w jaki konkretnie sposób należy wypełniać obowiązki w zakresie organizacyjnym, technicznym, a nawet formalnym, gdy dotyczy to realizacji zagadnień związanych z funkcjonowaniem procesów informatycznych. Administrator ma sam podejmować decyzje, bazując na prowadzonej analizie ryzyka przetwarzania danych i jego wpływu na prawa i wolności podmiotów danych. Ważnym elementem pozostaje też rozliczalność procesu zarządzania danymi. Uzasadnione wydaje się więc stwierdzenie, że mimo nieodległego unieważnienia obecnych przepisów dotyczących ochrony danych, doświadczenia zabrane przez ADO w ciągu wieloletnich prac związanych z funkcjonowaniem systemów ochrony danych osobowych będą wykorzystywane nadal w dobie rodo, a dotychczasowe przepisy będą traktowane jako zbiory praktyk ugruntowanych w polskich realiach i wdrożonych praktycznie w organizacjach.

Osiągnięte w ten sposób efekty będą mogły być z powodzeniem stosowane jako baza wyjściowa do reorganizacji systemów w związku z ich adaptacją do realiów przepisów rodo.

 

Analiza skali procesu i budowa systemu przetwarzającego dane


Budując system informatyczny służący do przetwarzania danych osobowych, wielu ADO musi podjąć niełatwą decyzję dotyczącą właściwego wyboru infrastruktury, w której znajdzie się serwerownia, „serce” systemu, lokalizacji dla serwerów, w których dane będą przetwarzane i magazynowane.

Należy przeprowadzić analizę rzeczywistych potrzeb dotyczących przetwarzania danych, aby zdecydować, ile i jakie urządzenia powinny znaleźć się w serwerowni. Pod uwagę należy wziąć m.in.:

  • planowane do zastosowania oprogramowanie i systemy, uwzględniając ich wymagania dotyczące infrastruktury technicznej serwerowni;
  • prognozowaną ilość przetwarzanych informacji wyrażoną w liczbie rekordów zawierających dane osobowe;
  • średni rozmiar rekordu danych, wyrażony w bajtach. Przykładowo dla imienia i nazwiska warto przewidzieć 25 bajtów, data urodzenia to 8 bajtów, a na dane adresowe proponuje się zarezerwować około 65 bajtów, co w sumie daje około 100 bajtów na jeden rekord danych;
  • sposób dostępu do danych (program uruchamiany na serwerze, aplikacja sieciowa obsługiwana przez WWW, oprogramowanie działające na komputerach operatorów danych itp.);
  • oczekiwaną ilość jednoczesnych połączeń do systemu przetwarzającego dane osobowe;
  • wymagane parametry niezawodności i jakości systemu (m.in. ochrona danych przed utratą, ciągłość dostępu do danych, szybkość przywrócenia systemu do działania w przypadku usterki lub awarii, wydajność transmisji danych – szybkość i wolumen ruchu).

Po zebraniu powyższych informacji należy przeprowadzić szacowanie niezbędnych zasobów informatycznych, które pozwolą na wdrożenie i eksploatację systemu informatycznego.

[...]

Autor jest wiceprezesem Stowarzyszenia ABI, konsultantem ds. ochrony danych osobowych, bezpieczeństwa informacji i systemów IT, specjalistą informatyki śledczej oraz audytorem wiodącym ISO/EIC 27001.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.