Rodo w systemach informatycznych – poznaj wymogi
Nowe przepisy o ochronie danych osobowych przyjęte przez Parlament Europejski w 2016 roku i obowiązujące od 25 maja 2018 roku to całkiem spore zamieszanie dla niejednego przedsiębiorcy. Co prawda prawnicy kompleksowo wspierają swoich klientów w dostosowaniu wymogów formalnych do nowych przepisów, jednak nie wszyscy orientują się w zagadnieniach, które dotyczą spraw bardziej technicznych. Temat rodo wymagania techniczne wzbudza w nich pewne dylematy i wątpliwości. Nie potrafią do końca odnaleźć się w tej kwestii. Jakie są wobec tego wymogi względem rodo w systemach informatycznych?
Trudno mówić tu o konkretnych wymogach
Przyglądając się uważnie nowej ustawie, można dojść do wniosku, że nie zawiera ona konkretnych wymogów technicznych. Rozporządzenie to określa jedynie ogólne przesłanki, które dotyczą bezpieczeństwa infrastruktury. Warto w takim razie udzielić kilku wskazówek, jak odnaleźć się w tym wszystkim, gdyż niejeden przedsiębiorca takich informacji wciąż poszukuje.
Rodo w systemach informatycznych – poznaj wymogi
O jakich wobec tego ogólnych wymaganiach mowa? Wskazuje na nie przede wszystkim Artykuł 32 RODO, w którym mowa o tym, że administrator danych osobowych musi wdrażać odpowiednie środki techniczne, tak by w ten właśnie sposób zabezpieczyć je w możliwie najwyższym stopniu.
Mowa tu o takich rozwiązaniach jak przede wszystkim:
- szyfrowanie wszystkich danych osobowych,
- zdolność ciągłego zapewniania poufności, integralności, dostępności i odporności systemów, a także przetwarzania usług,
- umiejętność sprawnego przywrócenia dostępu do danych osobowych, a także dostępu do nich również w czasie incydentu fizycznego czy technicznego,
- systematyczna kontrola skuteczności środków technicznych, które mają zapewnić bezpieczeństwo przetwarzania.
To natomiast nie wszystko, ponieważ ustawa wyraźnie wskazuje też na to, że dokonując oceny czy stopień bezpieczeństwa jest już na odpowiednim poziomie, powinno się przede wszystkim uwzględnić ryzyko dotyczące przypadkowego bądź celowego zniszczenia, utraty czy modyfikacji danych osobowych.
Co zrobić, by mieć pewność, że poziom bezpieczeństwa na próby dostępu do danych jest wystarczający?
Zawsze są jakieś obawy, że może jednak wszelkie zastosowane działania nie są do końca wystarczające, aby ten dostęp do danych niewłaściwym osobom całkowicie uniemożliwić. W związku z tym zaleca się regularne przeprowadzanie czynności kontrolnych i konfiguracyjnych. Jedną z nich jest na pewno weryfikacja reguł zapory internetowej, co ma ochronić przed uzyskaniem nieautoryzowanego dostępu do usług. Poza tym wymaga się uszczelnienia komunikacji wychodzącej, co ma również ograniczyć wyciek danych osobowych.
Ważne jest również to, aby skonfigurować reguły monitorowania, a także raportowania połączeń inicjowanych z sieci zarówno wewnętrznej, jak i zewnętrznej. Ponadto należy w odpowiedni sposób skonfigurować takie usługi jak poczta smtp/pop3/imap, FTP, www pod względem przesyłanych i przetwarzanych danych za pomocą nieszyfrowanych kanałów. Kolejna czynność to wdrożenie rozwiązań, które mają na celu automatyczną aktualizację oprogramowania systemowego i użytkowego. Inne wdrożenia mają dotyczyć rozwiązań do scentralizowanego zarządzania uprawnieniami czy zarządzania i monitorowania sesji zdalnych. Dodatkowo wymaga się również wdrożenia systemów backupu, które umożliwiają automatyczną weryfikację poszczególnych zadań, a nawet raportowanie.
Czym może grozić niedopilnowanie i tym samym wyciek danych?
Niepoprawne zabezpieczenie może prowadzić do poważnych incydentów, które związane są z naruszeniem bezpieczeństwa danych osobowych. Gdyby więc przedsiębiorca miał kontrolę z Urzędu Ochrony lub audytu wewnętrznego, wytłumaczenie się z niedopilnowania byłoby kompletnie niemożliwe. Jeżeli okaże się, że istnieje duże ryzyko naruszenia praw i wolności osób, których dane przedsiębiorca ten przetwarza, jest on zmuszony do powiadomienia Urzędu o tym incydencie. Warto wobec tego pomyśleć o skutecznej ochronie znacznie wcześniej, aby uniknąć związanych z tym problemów.
Jakie są w ogóle szczególne kategorie danych osobowych?
Do szczególnych kategorii danych osobowych należą te, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne i światopoglądowe, przynależność do związków zawodowych, dane genetyczne czy dane biometryczne mające na celu zidentyfikowania osoby fizycznej. Zaliczyć do nich należy również dane dotyczące zdrowia, seksualności oraz orientacji seksualnej.
Kiedy można przetwarzać szczególne kategorie danych osobowych?
Zgodnie z nową ustawą administrator systemów informatycznych rodo ma prawo przetwarzać szczególne kategorie danych osobowych tylko w określonych przypadkach. Na przykład, kiedy osoba, których dane dotyczą, udzieli na to zgody. Trzeba pamiętać o tym, że zgoda ta nie może zostać wyrażona poprzez akceptację regulaminu. Poza tym administrator może przetwarzać dane osobowe upublicznione przez osobę, której one dotyczą. Kiedy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej czy medycyny pracy, do oceny zdolności pracownika do pracy czy diagnozy medycznej, wówczas administrator również może tymi danymi zarządzać. Administrator może przetwarzać dane osobowe, kiedy ich przetwarzanie jest konieczne do wypełnienia obowiązków i wykonywania szczególnych praw przez osobę, której te dane dotyczą.
Jak zwiększyć bezpieczeństwo danych w systemach informatycznych?
System informatyczny jest bezpieczny, kiedy użytkownik może na nim przez cały czas polegać, a do tego wszystkie znajdujące się na dysku programy działają zgodnie ze swoją specyfikacją. Jeżeli wprowadzone do systemu dane są w nim cały czas w niezmienionej formie i nikt obcy nie ma do nich dostępu, nie zostaną przez nikogo odczytane ani też opublikowane, to wówczas można mówić, że system jest bezpieczny. W tym celu zaleca się stosowanie haseł i specjalistycznego oprogramowania, które będzie je skutecznie chroniło.
Podsumowanie
Bezpieczeństwo danych osobowych zawsze było ważną sprawą. Jednak dziś, kiedy obowiązuje RODO, przestrzeganie zasad uwzględnionych w nowej ustawie staje się jeszcze ważniejsze. Nawet usuwanie danych z systemów informatycznych powinno przebiegać w odpowiedni sposób. Jeżeli ktoś wciąż miewa wątpliwości czy w zakresie RODO postępuje dobrze, czy źle, powinien skontaktować się z firmą, która na co dzień specjalizuje się we wdrażaniu zasady rozporządzenia EU, dbając o bezpieczeństwo danych.