Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Metoda doboru zabezpieczeń dla systemów IT

21-01-2021 Autor: Mariola Więckowska

Ochrona danych w fazie projektowania i domyślna ochrona danych oraz dobór opierający się na ryzyku adekwatnych zabezpieczeń dla systemów informatycznych jest często wyzwaniem dla IOD ze względu na szybki postęp technologiczny.

 

Dobre praktyki dotyczące doboru zabezpieczeń IT opracowane przez The European Union Agency for Cybersecurity (dalej: ENISA) odnoszą się do oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą, oraz stosowania odpowiednich do tego ryzyka środków technicznych i organizacyjnych zgodnie z zasadami PbD.


ENISA koncentruje się głównie na elektronicznym przetwarzaniu danych osobowych, które wykorzystuje sieci i systemy informatyczne, a także nowe technologie, np. przetwarzanie w chmurze, urządzenia mobilne. Odbiorcami ich wytycznych są głównie administratorzy danych, podmioty przetwarzające oraz podmioty, które tworzą rozwiązania IT. Dobre praktyki ENISA koncentrują się na środkach bezpieczeństwa (art. 32 rodo), a nie na analizie prawnej ani ocenie zgodności operacji przetwarzania danych z rodo.
Przed rozpoczęciem lub zmianą przetwarzania danych w systemach IT zgodnie z PbD i podejściem opartym na ryzyku należy podzielić działania na 5 etapów:

 

1. opisanie czynności przetwarzania danych;
2. ocenę skutków przetwarzania danych na prywatność osoby;
3. określenie zagrożeń i prawdopodobieństwa ich wystąpienia;
4. ocenę ryzyka naruszenia praw i wolności;
5. dobór adekwatnych do ryzyka zabezpieczeń technicznych i organizacyjnych.

 

Etap 1 – Opisanie czynności przetwarzania danych
Jest to fundamentalny etap, gdzie administrator określa zakres, sposób i kontekst przetwarzania danych w systemie IT. W tym kroku odpowiadamy na pytania, które pozwolą nam zrozumieć i opisać czynność przetwarzania:

  • Na czym będzie polegać czynność przetwarzania danych osobowych?
  • Jaki jest cel przetwarzania?
  • Jakie są kategorie osób, których dane dotyczą?
  • Jakie są kategorie danych osobowych?
  • Jakie stosuje się środki do przetwarzania danych osobowych?
  • Gdzie odbywa się przetwarzanie danych osobowych?
  • Kto jest odbiorcą danych?

Odpowiadając na te pytania, bierze się pod uwagę wszystkie etapy przetwarzania danych: od ich gromadzenia, przez przechowywanie, wykorzystywanie, przekazywanie, aż do ich usunięcia, a w przypadku już działającego systemu również jego aktualizacje.

 

Etap 2 – Ocena skutków przetwarzania danych na prywatność osoby
Dla ustalonej w etapie 1 czynności przetwarzania danych w systemach IT administrator ocenia skutki (wpływ) na podmioty danych, w tym na ich prawa i wolności, które mogą wynikać z utraty bezpieczeństwa ich danych. ENISA sugeruje 4 poziomy skutków opisane w tabeli 1.


Uwzględniane są m.in. takie czynniki jak kategorie osób oraz danych osobowych, krytyczność operacji przetwarzania, ilość danych, specyfika administratora. Oceny skutków na osobę, której dane będą przetwarzane w systemie informatycznym lub całym procesie, dokonuje się z perspektywy utraty poufności, integralności i dostępności, co przedstawiono w tabeli 2. Najwyższy z otrzymanych poziomów oceny skutków jest ostatecznym wynikiem wpływu przetwarzania danych na osobę.


Etap 3 – Określenie zagrożeń i prawdopodobieństwa ich wystąpienia
W tym etapie identyfikowane są zagrożenia zewnętrzne i wewnętrzne związane z przetwarzaniem danych osobowych w procesie oraz oceniane jest prawdopodobieństwo ich wystąpienia dla 4 głównych obszarów:


A. zasoby sieciowe i techniczne (sprzęt i oprogramowanie);
B. procesy lub czynności związane z przetwarzaniem danych osobowych;
C. strony i osoby zaangażowane w przetwarzanie;
D. sektor biznesowy i skala przetwarzania.

 

Ocena prawdopodobieństwa wystąpienia zagrożenia
A. Zasoby sieciowe i techniczne (sprzęt i oprogramowanie)


1. Czy przetwarzanie danych osobowych odbywa się przez internet? Gdy przetwarzanie danych osobowych odbywa się w całości lub w części za pośrednictwem internetu, zwiększa się potencjalne zagrożenie ze strony zewnętrznych atakujących, np. Denial of Service, SQL injection, XSS, Man-in-the-Middle, zwłaszcza gdy usługa jest dostępna dla wszystkich użytkowników internetu.
 

2. Czy można uzyskać dostęp przez internet do wewnętrznego systemu informatycznego przetwarzającego dane osobowe, np. dostęp dla niektórych użytkowników lub ich grup? Gdy dostęp do wewnętrznego systemu przetwarzania danych jest możliwy przez internet, zwiększa się prawdopodobieństwo wystąpienia zagrożeń zewnętrznych, np. ze strony zewnętrznych atakujących. Jednocześnie wzrasta prawdopodobieństwo przypadkowego lub celowego niewłaściwego przetwarzania danych przez uprawnionych użytkowników, np. przypadkowe ujawnienie danych osobowych podczas pracy w przestrzeni publicznej. Szczególną uwagę należy zwrócić na przypadki, w których dozwolone jest zdalne zarządzanie oraz administrowanie systemem informatycznym.


3. Czy system IT jest połączony z innym zewnętrznym lub wewnętrznym systemem lub usługami informatycznymi? Połączenie do zewnętrznych systemów informatycznych może wprowadzać dodatkowe zagrożenia ze względu na potencjalne luki w zabezpieczeniach związanych z tymi systemami. To samo dotyczy systemów wewnętrznych, jeżeli np. nie są odpowiednio skonfigurowane, takie połączenia systemów mogą umożliwić dostęp do danych osobowych większej liczbie osób w organizacji, które, co do zasady, nie są do tego uprawnione.

 

4. Czy osoby nieuprawnione mogą łatwo uzyskać dostęp do systemu informatycznego? Rozpatrujemy nie tylko systemy informatyczne, ale również środowisko fizyczne powiązane z nimi, które, jeżeli nie jest odpowiednio zabezpieczone, może poważnie zagrażać bezpieczeństwu danych, np. przez umożliwienie nieupoważnionym osobom fizycznego dostępu do sprzętu IT lub sieci.


5. Czy system IT został zaprojektowany, wdrożony lub jest utrzymywany bez przestrzegania odpowiednich dobrych praktyk? Źle zaprojektowany, wdrożony lub administrowany sprzęt i oprogramowanie mogą stanowić poważne zagrożenie dla bezpieczeństwa danych. W tym celu dobre praktyki można traktować jako wytyczne pozwalające uniknąć zagrożenia i zapewnić określony poziom bezpieczeństwa.


B. Procesy lub czynności związane z przetwarzaniem danych osobowych


6. Czy role i obowiązki związane z przetwarzaniem danych osobowych są niezrozumiałe lub nie zostały jasno określone? Gdy role i obowiązki nie są jasno określone, dostęp i dalsze przetwarzanie danych osobowych mogą nie być w pełni kontrolowane, co skutkuje nieuprawnionym dostępem do zasobów i naruszeniem bezpieczeństwa.


7. Czy zasady akceptowalnego wykorzystania sieci, systemu i zasobów fizycznych w organizacji są niejednoznaczne lub niejasno zdefiniowane? Gdy zasady akceptowalnego wykorzystania zasobów nie są jasno określone, mogą pojawić się zagrożenia bezpieczeństwa wynikające z niezrozumienia lub celowego niewłaściwego użycia systemu. Jasne zdefiniowanie zasad dotyczących sieci, systemu i zasobów fizycznych może zmniejszyć potencjalne ryzyko.


8. Czy pracownicy mogą przynosić włas­ny sprzęt i korzystać z niego w celu podłączenia się do systemów organizacji? Pracownicy używający prywatnych urządzeń w organizacji mogą zwiększyć ryzyko wycieku danych lub nieuprawnionego dostępu do systemu informatycznego, ponieważ urządzenia nie są zarządzane centralnie, mogą posiadać podatności pozwalające wprowadzać robaki lub wirusy do systemu.

 

9. Czy pracownicy mogą przetwarzać dane osobowe poza siedzibą organizacji? Przetwarzanie danych osobowych poza siedzibą organizacji oferuje dużą elastyczność, ale jednocześnie wprowadza dodatkowe ryzyka, związane zarówno z przesyłaniem informacji przez potencjalnie niezabezpieczone kanały sieciowe, np. otwarte sieci Wi-Fi, jak i nieautoryzowane wykorzystanie danych.

 

10. Czy można przetwarzać dane osobowe bez tworzenia dziennika logów (logi audytowe)? Brak odpowiednich mechanizmów logowania i monitorowania zdarzeń w systemie może zwiększyć celowe lub przypadkowe nadużycie przetwarzania danych osobowych.

 

C. Strony i osoby zaangażowane w przetwarzanie danych osobowych


11. Czy przetwarzanie danych osobowych jest wykonywane przez nieokreśloną liczbę pracowników? Gdy dostęp i dalsze przetwarzanie danych osobowych są dopuszczone dla dużej liczby pracowników, to zwiększa się możliwości nadużyć ze względu na czynnik ludzki. Jasne określenie, kto naprawdę potrzebuje dostępu do danych, i ograniczenie dostępu tylko do tych osób może przyczynić się do zwiększenia bezpieczeństwa danych osobowych.

 

12. Czy część przetwarzania danych jest wykonywana przez kontrahenta lub osobę trzecią (podmiot przetwarzający)? Gdy przetwarzanie jest wykonywane przez zewnętrznych kontrahentów, organizacja może częściowo utracić kontrolę nad danymi, co skutkuje dodatkowymi zagrożeniami powiązanymi z dostępem do danych organizacji. Dlatego ważne jest, aby organizacja wybrała kontrahentów, którzy mogą zaoferować wysoki poziom bezpieczeństwa, oraz powinna jasno określić cel, zakres i czynności przetwarzania, zachowując odpowiedni poziom kontroli.

 

13. Czy obowiązki stron przetwarzających są niejednoznaczne lub nie zostały jasno określone? Gdy strony nie są jasno poinformowane o swoich obowiązkach, wzrasta prawdopodobieństwo niewłaściwego wykorzystania danych, np. ich ujawnienia lub zniszczenia.

 

14. Czy osoby zaangażowane w przetwarzanie danych osobowych nie są zaznajomione z zasadami bezpieczeństwa danych? Gdy pracownicy nie są świadomi konieczności zastosowania środków bezpieczeństwa, mogą przypadkowo zagrozić przetwarzaniu danych w systemie informatycznym. Szkolenia w znacznym stopniu przyczyniają się do uświadomienia pracownikom ich obowiązków w zakresie ochrony danych i stosowania określonych środków bezpieczeństwa.

 

15. Czy osoby zaangażowane w proces przetwarzania danych nie dbają o bezpieczne przechowywanie lub niszczenie danych osobowych? Znaczna ilość naruszeń danych osobowych wynika z braku środków ochrony fizycznej i bezpiecznych procesów niszczenia danych. Dokumenty w formie papierowej stanowią często dane wejściowe lub wyjściowe systemu informacyjnego i mogą zawierać dane osobowe, więc powinny być również chronione przed nieuprawnionym ujawnieniem i ponownym wykorzystaniem.

 

[...]

 

Autorka jest ekspertem ochrony danych oraz doświadczonym DPO; pracuje w LexDigital jako Head of Innovation Technologies.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.