Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



29.12.2022

Nowe funkcje od Oracle

W aplikacjach CX, SCM, EPM i HCM Fusion Cloud firmy Oracle pojawiło się wiele nowych...
29.12.2022

Inteligentne sygnały

Nowa usługa Vectra MDR zapewnia wsparcie ekspertów w zakresie bezpieczeństwa...
29.12.2022

Wieloetapowa analiza treści

Firma WithSecure wprowadziła nową warstwę ochrony w swojej opartej na chmurze platformie...
29.12.2022

Kontrola aplikacji

Fortinet zaprezentował nowe funkcje systemu FortiSASE: bezpieczny prywatny dostęp (Secure...
29.12.2022

Zgodnie z przepisami

Nowe rozwiązanie do zarządzania danymi firmy Commvault, oferowane w formie usługi,...
29.12.2022

Większa elastyczność w...

Schneider Electric ogłosił wprowadzenie na rynek urządzenia zasilającego APC NetShelter...
29.12.2022

Firewall nowej generacji

Fortinet zaprezentował nową rodzinę zapór sieciowych nowej generacji (NGFW) – FortiGate...
29.12.2022

Nowy przełącznik źródeł...

Vertiv przedstawił nową rodzinę przełączników źródeł zasilania Vertiv Geist RTS, które...
29.12.2022

Routery VPN Omada

TP-Link poszerza portfolio routerów VPN o dwa nowe urządzenia. ER7212PC to urządzenie 3 w...

Systemy informatyczne a wymagania rodo

Data publikacji: 04-11-2022 Autor: Tomasz Cygan

Minęły cztery lata od wejścia w życie ogólnego rozporządzenia o ochronie danych. Czy wszyscy jednak wiedzą, co kryje się pod mocno hasłowym oświadczeniem, że „system informatyczny spełnia wymagania rodo”? Warto to ustalić, a przede wszystkim stosować w praktyce.

 

Gdy w 2018 r. zbliżał się dzień wejścia w życie przepisów rodo, wiele podmiotów starało się wykazać za pomocą wspomnianego oświadczenia (zgodnie z zasadą rozliczalności określoną w art. 5 ust. 2 rodo), że spełniają wymagania określone w przepisach rozporządzenia. W szczególności dotyczyło to relacji z dostawcami rozwiązań informatycznych sprowadzonymi do roli podmiotów przetwarzających (procesorów). Co ważne, w wielu przypadkach odebrane w 2018 r. oświadczenie dostawcy stanowi jedyny ślad działań zmierzających do oceny podmiotu przetwarzającego oraz stosowanych przez niego rozwiązań.

 

> Najważniejsze przepisy

 

Mimo swego ogólnego brzmienia oświadczenie, że system informatyczny spełnia wymagania rodo, miało wskazywać na spełnienie obowiązków określonych przede wszystkim w następujących artykułach:


Art. 28 ust. 1 rodo
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

 

Art. 28 ust. 3 rodo

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: […] c) podejmuje wszelkie środki wymagane na mocy art. 32; […] f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36.

 

Art. 25 ust. 1 rodo

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

 

Art. 25 ust. 2 rodo

Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

 

> Decyzja PUODO

 

Nie ulega jednak wątpliwości, że samo oświadczenie o spełnianiu wymagań wynikających z rodo bez szczegółowej i okresowo ponawianej weryfikacji, czy są one spełniane, to rozwiązanie niewystarczające. Co więcej, art. 32 ust. 1 lit. d rodo, który wskazuje na konieczność regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, dostarcza argumentów, że poprzestawanie na odebraniu oświadczenia od dostawcy jest niewystarczające. Wręcz przeciwnie – bezpieczeństwo przetwarzania wymaga oceny regularnej i bardziej szczegółowej.

 

Rekordowa kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO) wskazuje na praktyczne znaczenie weryfikacji podmiotu przetwarzającego oraz podejmowanych przez niego działań. Warto przypomnieć, że PUODO w decyzji z dnia 28 stycznia 2022 r., nakładającej karę na administratora (Fortum) oraz podmiot przetwarzający (PiKA), wskazał w pkt 1 swojej decyzji, że naruszenie przez administratora dotyczyło art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rodo. Z kolei podmiot przetwarzający zgodnie z pkt 2 decyzji naruszył art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 lit. c i f rodo. W związku z tym przypomnijmy, że:

 

  • art. 5 ust. 1 lit. f rodo ustanawia zasadę poufności i integralności danych;
  • art. 24 ust. 1 rodo nakazuje wdrożenie odpowiednich środków organizacyjnych i technicznych;
  • art. 25 ust. 1 rodo nakazuje uwzględnianie ochrony danych w fazie projektowania;
  • art. 28 ust. 1 rodo nakłada na administratora obowiązek oceny podmiotu przetwarzającego;
  • art. 32 ust. 1 rodo zobowiązuje administratora i podmiot przetwarzający do zapewnienia bezpieczeństwa przetwarzania;
  • art. 32 ust. 2 rodo nakazuje uwzględnianie ryzyka związanego z przetwarzaniem danych osobowych;
  • art. 28 ust. 3 lit. c i f rodo nakłada określone obowiązki na podmiot przetwarzający.

 

W trakcie postępowania ustalono między innymi, że podmiot przetwarzający posiadał procedury i polityki w zakresie wprowadzania zmian w systemach informatycznych. Ich analiza wykazała, że dokumenty „nie zawierają jednak szczegółowych zapisów dotyczących sposobu dokonywania zmian w systemach informatycznych służących do przetwarzania danych osobowych, np. konieczności utworzenia środowiska testowego czy odpowiedniego zabezpieczenia rzeczywistych danych klientów administratora, w przypadku ich wykorzystania do testowania wprowadzanych zmian, czy też zasad kontroli poprawności realizacji poszczególnych etapów projektu. Natomiast przedstawione wydruki z systemu […] są w rzeczywistości zleceniami wykonania poszczególnych czynności. Na ich podstawie niemożliwe jest potwierdzenie, że wdrażane zmiany realizowane były według określonych z góry zasad zapewniających bezpieczeństwo danych osobowych. W ocenie Prezesa UODO ewidencjonowanie realizowanych na rzecz kontrahentów Podmiotu Przetwarzającego prac w wewnętrznych systemach wspomagania zarządzania projektami nie może być uznane za wystarczający środek zapewniający bezpieczeństwo przetwarzania danych osobowych, gdyż poszczególne etapy realizacji zmian nie są wystarczająco udokumentowane. Prowadzić to może do dowolności wyboru stosowanych rozwiązań, czy, jak w przedmiotowej sprawie, niezdefiniowania wszystkich wymaganych zabezpieczeń, co w konsekwencji doprowadziło do naruszenia ochrony danych osobowych”.

 

Z kolei w przypadku administratora ustalono, że wprawdzie posiadał podpisane umowy, które obejmowały także procedurę wdrażania zmian w systemie. Nie została ona jednak zastosowana – podmiot przetwarzający nie przedstawił administratorowi „koncepcji zmian ani projektów funkcjonalnych i technicznych”. Co więcej w procesie projektowania i wdrażania zmian administrator został pominięty: „praktyka obszaru IT Administratora (oparta o […]), dla wprowadzanych wdrożeń zakłada konieczność zaangażowania w takie konsultacje także inżyniera systemowego aplikacji, który propozycje akceptuje w ramach swoich uprawnień albo kieruje do sprawdzenia do odpowiednich wewnętrznych służb IT. Jak wskazała Fortum w swych wyjaśnieniach, przynajmniej dla zabezpieczenia interesów Administratora i Podmiotu Przetwarzającego powinno się zatwierdzić plan prac, przedstawiony w ramach wdrożenia, a następnie postępować według niego, doprowadzając do zatwierdzenia testów akceptacyjnych. Dopiero po ich zatwierdzeniu przez inżyniera systemowego jakakolwiek modyfikacja może być wprowadzana produkcyjnie, a tym samym udostępniona dla pracowników Administratora”.

 

Administratora obciąża przede wszystkim brak nadzoru nad wdrożeniem w zakresie zgodności ze standardami oraz obowiązującymi umowami, w tym zawartą umową powierzenia, co narusza postanowienia art. 24, art. 25 oraz art. 32 rodo, ale także art. 28 ust. 1 rodo w zakresie, w którym rolą administratora jest wybór podmiotu przetwarzającego gwarantującego zgodność przetwarzania powierzonych danych zgodnie z wymaganiami rodo.

 

> Konieczność testowania


Problemem (po raz kolejny, jak wskazuje analiza wydanych do tej pory decyzji PUODO) okazała się także realizacja wymagań określonych w art. 32 ust. 1 lit. d rodo, który dotyczy regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. W tym przypadku PUODO przypomniał, że: „Wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. W konsekwencji nie można zgodzić się ze stwierdzeniem Fortum, że testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych nie zapobiegłoby naruszeniu w tym przypadku, ponieważ takiej ocenie powinny podlegać nie tylko środki techniczne, ale również organizacyjne, czyli wdrożone przez Administratora procedury dotyczące przetwarzania danych osobowych, w tym procedury dokonywania zmian w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych. Regularna ocena ww. procedury, stosownie do wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby Administratorowi na weryfikację, czy taka procedura jest skuteczna, tzn. czy zapewnia, że podejmowane są właściwe działania w celu zapewnienia ochrony danych osobowych w trakcie procesu dokonywania zmian w systemie informatycznym, czy jest w ogóle przestrzegana przez osoby odpowiedzialne za przeprowadzenie tych zmian, a także wychwycić ewentualne w niej braki.

 

[...]

 

Autor jest adwokatem, inspektorem ochrony danych, wykładowcą i publicystą. Posiada certyfikat Approved Whistleblowing Officer.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"