Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.10.2019

Skalowalna infrastruktura

Red Hat OpenStack Platform 15
25.10.2019

Cienki klient 2.0

Windows Virtual Desktop
25.10.2019

Nowy sprzęt Microsoftu

Rodzina Surface się powiększa
24.10.2019

Serwery ARM

Oracle stawia na Ampere Computing
24.10.2019

Wszechstronny i elegancki

Dell XPS 15
10.10.2019

CYBERSEC EXPO - największe w...

Bezpieczeństwo cyfrowe nie jest problemem dotyczącym jedynie działów IT. Obecnie stanowi...
30.09.2019

Nowości w wirtualizacji

VMware World 2019
30.09.2019

Bezpieczeństwo mobile-first

Android 10

Dług technologiczny w bezpieczeństwie danych osobowych

Data publikacji: 24-10-2019 Autor: Tomasz Cygan

Droga na skróty to częsta przypadłość działów IT. Z jej przejawami można się spotkać w sferze programistycznej, a także odpowiedzialnej za bezpieczeństwo systemów informatycznych czy za zapewnianie ciągłości działania systemów. Powstały dług technologiczny naraża organizacje na ryzyko utraty danych lub dostępów, a zwłaszcza poniesienia nagłych i czasem znaczących wydatków finansowych.

 

Próbę zdefiniowania pojęcia „dług technologiczny” można oprzeć na fragmencie zaczerpniętym z felietonu Jana Rychtera opublikowanego w grudniu 2010 r. w miesięczniku „Proseed”: „Dług technologiczny zaciągamy, gdy budujemy technologię na skróty, wiedząc, że będzie trzeba w przyszłości do tego miejsca wrócić i wykonać pracę jeszcze raz. Gdy dotyczy to pojedynczych funkcji w kodzie, dług jest niewielki. Gdy jednak mówimy o decyzjach architekturalnych, może być olbrzymi i pociągać za sobą konieczność przerabiania kiedyś całych systemów”.

Innymi słowy, dług technologiczny powstaje najczęściej, gdy człowiek się spieszy lub nie posiada odpowiednich zasobów finansowych lub sprzętowych do prawidłowego przeprowadzenia projektu. Ma to zwykle miejsce, gdy koniec wieńczący dzieło przybiera postać rozwiązania prowizorycznego, które zazwyczaj jest najtrwalsze. „Zazwyczaj” nie oznacza jednak, że zawsze. Wówczas pojawia się dług, który wymaga natychmiastowej spłaty bez oglądania się na czas i koszty.

> PRZECIWDZIAŁAĆ POWSTANIU DŁUGU TECHNOLOGICZNEGO

Klasycznym przykładem długu technologicznego jest brak bieżącej aktualizacji systemów (vide Windows XP zainstalowany w strategicznych obszarach działania organizacji) czy brak realizacji procedur wykonywania lub, co częstsze, testowania kopii zapasowych. W związku z prawdopodobnymi skutkami takich działań powstaje pytanie, czy organizacja może przeciwdziałać powstaniu długu technologicznego. W wielu sytuacjach formą takiego zapobiegania jest po prostu realizacja obowiązków wynikających z przepisów prawa.

Niewątpliwie jednym z rozwiązań jest przestrzeganie procedur regulujących pewne obszary działania organizacji. Wymaga to jednak czasem dużej samodyscypliny. Dużo łatwiej pilnować pewnych obszarów działania organizacji, gdy za nieprzestrzeganie określonych obowiązków grożą wysokie administracyjne kary pieniężne nakładane przez państwowe organy nadzorcze. W związku z tym do zarządzania długiem technologicznym można wykorzystać niektóre przepisy rodo – przede wszystkim te, które nakładają na administratora planowanie działań, uwzględnianie w nich pewnych parametrów, a także doskonalenie procesów. Zwłaszcza że w polskim porządku prawnym brakuje aktów prawnych regulujących obowiązki i odpowiedzialność w zakresie zarządzania IT.

> PRIVACY BY DESIGN ORAZ PRIVACY BY DEFAULT

Zgodnie z treścią art. 25 rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) konieczne jest uwzględnianie ochrony danych osobowych w fazie projektowania oraz zapewnianie domyślnej ochrony danych. Administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania powinien uwzględniać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożeń wynikających z przetwarzania danych osobowych. W tym celu wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, np. minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą (privacy by design).

Ponadto administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie były przetwarzane wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. Oznacza to, że te środki zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych (privacy by default).

Wywiązywanie się z tych obowiązków można wykazać m.in. przez wprowadzenie zatwierdzonego mechanizmu certyfikacji określonego w art. 42 ogólnego rozporządzenia o ochronie danych.

> OCENA SKUTKÓW DLA OCHRONY DANYCH

Zgodnie z art. 35 rodo jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Co istotne, w przypadku zaistnienia potrzeby dokonania oceny skutków musi ona zostać wykonana przed rozpoczęciem przetwarzania danych osobowych.

Dla podobnych operacji przetwarzania danych wiążących się z tak wysokim ryzykiem można przeprowadzić pojedynczą ocenę. Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.

Ocena skutków dla ochrony danych jest wymagana w przypadku:

a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10;

c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych. Organ nadzorczy może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych.

 

[...] 

 

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"