Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


14.05.2019

Bezpłatna konferencja OSEC...

Jako patron medialny serdecznie zapraszamy na bezpłatną konferencję OSEC Forum 2019, któa...
23.04.2019

Optymalizacja zużycia chmury

HPE GreenLake Hybrid Cloud
23.04.2019

Zarządzanie wydajnością

VMware vRealize Operations 7.5
19.04.2019

Technologie open source

SUSECON 2019
19.04.2019

Wyjątkowo małe

OKI seria C800
19.04.2019

Łatwy montaż

Rittal AX i KX
18.04.2019

Technologie wideo

Avaya IX Collaboration Unit
18.04.2019

Krótki rzut

Optoma W318STe i X318STe
18.04.2019

Do mobilnej pracy

Jabra Evolve 65e

Bezpieczeństwo danych po wdrożeniu RODO

Data publikacji: 29-08-2018 Autor: Tomasz Cygan

Minęły trzy miesiące od dnia, w którym miało się zmienić wszystko lub prawie wszystko, jeśli chodzi o ochronę danych osobowych. Co ciekawe, okazało się, że wiele problemów można rozpatrywać wspólnie dla sporej grupy administratorów, przy czym nie ma znaczenia, czym dany administrator się zajmuje ani jakie dane przetwarza. Decydujące jest, z jakich korzysta rozwiązań i narzędzi do przetwarzania danych osobowych.

25  maja 2018 roku rozpoczął się okres stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. rodo, i każdy użytkownik internetu przekonał się, że najważniejszą sprawą „w świecie rodo” jest klauzula informacyjna.

Przychodziły one w dziesiątkach maili, wyświetlały się przy prawie każdej wizycie na stronie internetowej. Na niektórych stronach internetowych zresztą komunikaty związane z rodo zostały ustawione na stałe. W wydaniu medialnym rodo zaczęło być przedstawiane czasem w krzywym zwierciadle – jako puenta opowieści o zamknięciu cmentarza czy wątpliwościach co do sposobu wyczytywania uczniów (po nazwisku czy lepiej po numerze). Czasem też jako zagrożenie opisywanie kroplówek numerem zamiast nazwiskiem i ryzyko mogące z tego zdarzenia wynikać lub odmawianie informacji o miejscu przebywania dzieci po wypadkach. W tym wszystkim umknęło jednak, że rodo dla wielu organizacji stało się okazją do przejrzenia i doskonalenia rozwiązań z zakresu bezpieczeństwa. Dla wielu z nich rodo wcale nie było niezbędne, jako argument do wdrożenia lub aktualizacji rozwiązań z zakresu bezpieczeństwa IT, natomiast, jak się okazało, rodo, a przede wszystkim wysokość kar pieniężnych były katalizatorem dla zmian. Co istotne, duże znaczenie w tych procesach odgrywała analiza ryzyka związana z przetwarzaniem danych osobowych, która, choć nie jest zagadnieniem nowym, dała namacalny argument dla poszukiwania i doskonalenia systemów bezpieczeństwa, zarówno w zakresie danych przetwarzanych w formie papierowej, jak dla tych w systemach informatycznych.

> POZORNE POCZUCIE BEZPIECZEŃSTWA

Rozpocznę jednak od sytuacji anegdotycznej, której niedawno byłem świadkiem. Dotyczyła ona znanej każdemu, niemalże wyświechtanej „zasady czystego biurka”. Otóż podczas któregoś ze spotkań usłyszałem „twórcze” jej rozwinięcie. Polegało ono na tym, że po zakończonej pracy wszystkie dokumenty są sprzątane ze stanowiska pracy, tak aby osoba postronna nie miała dostępu do danych osobowych oraz innych strategicznych informacji biznesowych. Uprzątnięcie tych dokumentów polegało na tym, że były one przekładane na… parapet. Formalnie zasada czystego biurka była więc realizowana, faktycznie jednak sprowadzała się ona do tworzenia pozorów bezpieczeństwa. Nasze rozważania będą się jednak koncentrowały wokół zagadnień związanych z bezpieczeństwem IT, ale oglądanych oczami prawnika.

Pierwsza uwaga dotyczy występowania, a niekiedy krzyżowania się dwóch podejść do bezpieczeństwa IT. Pierwsze z nich nazwać można bezpieczeństwem intuicyjnym – w organizacji będą występowały jasne i oczywiste zasady bezpieczeństwa, jednak niewiele osób będzie wiedziało, dlaczego należy je stosować. Przykładem może być uzasadnienie stosowania haseł jako środka chroniącego dane przed nieuprawnionym dostępem do stacji roboczej, podczas gdy jego obejście często nie sprawi większych trudności. Dotyczy to zarówno zapisywania haseł na karteczkach typu post-it, niskiej świadomości użytkowników dotyczącej zagrożeń oraz całej gamy prostych sposobów technicznych pozwalających obejść hasło dostępowe do Windows (choćby wyjęcie dysku z jednego komputera i włożenie go do innego komputera). Zdarza się, że hasło do Windowsa utożsamia się z szyfrowaniem danych. Wspomniane drugie podejście do bezpieczeństwa IT można by nazwać bezpieczeństwem formalnym. Bardzo ważny element, pod warunkiem że proces wdrożenia procedur i instrukcji nie kończy się z chwilą ich opublikowania, a później, nie dość że nikt z owych procedur i załączników do nich nie korzysta, to jeszcze nawet nie pamięta, że w ogóle obowiązują one w organizacji. W kontekście rodo za takie podejście można słono zapłacić – zgodnie z art. 33 ust. 5 rodo administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania niniejszego artykułu. Z kolei zgodnie z art. 5 ust. 2 rodo administrator jest odpowiedzialny za przestrzeganie przepisów zasad przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie (tzw. rozliczalność).

 

Co ciekawe, gros wspólnych ryzyk dotyczy stosowania konkretnych urządzeń – w szczególności komputerów przenośnych, telefonów typu smartfon czy urządzeń wielofunkcyjnych. Dotyczy to zarówno sposobu ich wykorzystania, jak i umiejscowienia.

[...]

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"