Wymogi dla systemów informatycznych przetwarzających dane osobowe
Niewiele ponad dwa tygodnie pozostały nam do wejścia w życie nowych przepisów o ochronie danych osobowych. Przyjęte przez Parlament Europejski w kwietniu 2016 r. Ogólne Rozporządzenie o Ochronie Danych zwane u nas Rozporządzeniem o Ochronie Danych Osobowych (RODO) zacznie obowiązywać z dniem 25 maja 2018 roku.
Prawnicy aktywnie wspierają swoich klientów w dostosowaniu wymogów formalnych do nowych przepisów. Przygotowanie odpowiednich wzorów klauzul informacyjnych, pytań o zgody na przetwarzanie danych osobowych oraz umów powierzenia bądź udostępnienia danych to jednak nie wszystko. Istotne bowiem jest, aby wraz z działaniami formalno-prawnymi dostosować do nowych realiów infrastrukturę techniczną. I tutaj często pojawia się pytanie, na które prawnicy nie potrafią odpowiedzieć: „jakie wymogi musi spełniać infrastruktura IT, aby uznać ją za zgodną z zapisami RODO”? Problem ten wynika z faktu, iż w przeciwieństwie do „starej” Ustawy o Ochronie Danych Osobowych nowe regulacje nie wskazują konkretnych wymogów technicznych. W całym Rozporządzeniu pojawiają się jedynie ogólne przesłanki dotyczące bezpieczeństwa infrastruktury. Jak się zatem do nich dostosować? Postaramy się pomóc Państwu znaleźć odpowiedź na to pytanie.
Jakie zatem są te ogólne wymagania? Najwięcej na ten temat mówi Artykuł 32 RODO, w którym określono, iż administrator danych osobowych wdraża odpowiednie środki techniczne aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku. Zwraca się m.in. uwagę na rozwiązania takie jak:
- Szyfrowanie danych osobowych
- Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
- Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
- Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzania
Artykuł 32 mówi również, iż oceniając, czy stopień bezpieczeństwa jest odpowiedni uwzględnić się powinno w szczególności ryzyko związane z przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub dostępem do danych osobowych.
Ponadto w Rozporządzeniu podkreśla się w znaczący sposób wymóg rozliczalności. Jakie zatem działania możemy podjąć aby upewnić się, że poziom bezpieczeństwa oraz odporności na próby nieautoryzowanego dostępu do danych jest wystarczający? Bazować możemy tutaj na dobrych praktykach i na wytycznych, które zawarte były m.in. w aktach wykonawczych do dotychczasowej Ustawy o Ochronie Danych Osobowych. Do podstawowych czynności kontrolnych i konfiguracyjnych, które zaleca się przeprowadzić należą na pewno:
- Weryfikacja reguł zapory internetowej pod kątem możliwości uzyskania nieautoryzowanego dostępu do usług,
- Uszczelnienie komunikacji wychodzącej w celu ograniczenia wycieków danych
- Konfiguracja reguł monitorowania i raportowania połączeń inicjowanych z sieci wewnętrznej i zewnętrznej,
- Weryfikacja konfiguracji usług typu poczta smtp/pop3/imap, FTP, WWW pod kątem przesyłania danych uwierzytelniających przy użyciu nieszyfrowanych kanałów,
- Wdrożenie rozwiązań do automatycznej aktualizacji oprogramowania systemowego i użytkowego,
- Wdrożenie rozwiązań do scentralizowanego zarządzania uprawnieniami,
- Wdrożenie rozwiązań do zarządzania i monitorowania sesji zdalnych (np. nawiązywanych przez zewnętrzne firmy serwisowe),
- Wdrożenie systemów backupu pozwalających na automatczną weryfikację zadań i raportowanie.
Brak któregokolwiek z wymienionych działań prowadzić może w konsekwencji do poważnych incydentów związanych z naruszeniem bezpieczeństwa danych osobowych. W przypadku kontroli ze strony Urzędu Ochrony Danych Osobowych lub audytu wewnętrznego trudno na pewno byłoby się wytłumaczyć z zaniechania powyższych działań. Warto też pamiętać, iż zgodnie z nowymi wymogami każdy incydent bezpieczeństwa zgłaszać powinniśmy w ciągu 72 godzin do Urzędu Ochrony Danych Osobowych, co w konsekwencji skutkować może kontrolą. W przypadku zaistnienia poważnego ryzyka naruszenia praw i wolności osób, których dane przetwarzamy zobligowani jesteśmy również do powiadomienia ich o tym incydencie. Warto zatem zawczasu zatroszczyć się o podstawowe kwestie bezpieczeństwa.
RODO na pewno nie jest rewolucją. Opisane w rozporządzeniu zasady znane są jako dobre praktyki od dawna. Opierają się na nich m.in. normy ISO z rodziny 27000 związane z zarządzaniem bezpieczeństwem informacji. Przygotowanie się do nowych przepisów jest więc dobrą okazją do podniesienia ogólnego poziomu bezpieczeństwa swojej organizacji.