Miesięcznik informatyków i menedżerów IT sektora publicznego

Jarosław Pudzianowski

Jak opracować skuteczną strategię ochrony danych osobowych

Obowiązek stosowania się do przepisów wprost wynikających z ogólnego rozporządzenia o ochronie danych osobowych zbliża się nieuchronnie. Nasuwa się przy tym pytanie, czy w zakresie bezpieczeństwa przetwarzania danych osobowych jest to rewolucja czy też ewolucja.

Obecnie obowiązująca ustawa o ochronie danych osobowych (uodo) w art. 36 wskazuje, że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Odpowiednikiem tego artykułu w ogólnym rozporządzeniu o ochronie danych osobowych (rodo) jest art. 24 pkt 1, który stanowi o konieczności wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych uwzględniających charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Na tej podstawie można jednoznacznie stwierdzić, że zachowanie bezpieczeństwa przetwarzanych danych osobowych zarówno na podstawie uodo, jak i rodo wymusza wdrożenie zabezpieczeń adekwatnych do przetwarzanych danych. Różnica jednak polega na tym, że do tej pory mieliśmy wskazane rodzaj i zakres zabezpieczeń, a od 25 maja 2018 r. administrator danych będzie musiał je dobierać na podstawie przeprowadzonej analizy ryzyka.

Zmierzyć się z ryzykiem

Zgodnie z dobrymi praktykami oraz opinią 14/EN WP 218 Grupy Roboczej art. 29 ds. ochrony danych zaleca się, by zarządzanie ryzykiem w ochronie danych osobowych zapewniało:

  • zidentyfikowanie operacji przetwarzania danych osobowych o wysokim ryzyku naruszenia praw lub wolności osób fizycznych;
  • oszacowanie ryzyka z punktu widzenia operacji przetwarzania, tzn. czy są one niezbędne oraz proporcjonalne w stosunku do celów przetwarzania;
  • oszacowanie ryzyka z punktu widzenia skutków urzeczywistnienia ryzyka naruszenia praw lub wolności osób fizycznych oraz prawdopodobieństwa ich wystąpienia;
  • postępowanie z ryzykiem w celu zredukowania ryzyka;
  • informowanie o ryzyku interesariuszy i konsultacje eksperckie;
  • monitorowanie i przegląd ryzyka oraz procesu zarządzania ryzykiem.

Kluczowe jest opracowanie skutecznej strategii ochrony danych, która na podstawie szacowania ryzyka pozwoli wprowadzić adekwatne zabezpieczenia. Tutaj z pomocą przychodzi nam norma ISO/IEC 29134:2017 – wytyczne dotyczące oceny wpływu na prywatność oraz seria norm z rodziny 27 000. Podstawą szacowania ryzyka według tej normy trochę inaczej niż w normie PN-ISO/IEC 27005:2014 jest analiza procesów zachodzących w organizacji. Jest wiele modeli związanych z procesami, jednak najprościej jest je podzielić na dwie grupy: procesy operacyjne, które bezpośrednio wynikają z celów organizacyjnych jednostki, np. obsługa interesantów, oraz wydawanie decyzji i procesów wspomagających, takich jak np. kadry, finanse, archiwum i informatyka. Na podstawie zidentyfikowanych procesów możemy zidentyfikować, jakie dane są przetwarzane, jaki jest ich zakres i rodzaj. Pozwoli to nam pogrupować te dane, tak aby możliwe było przypisanie im zagrożeń oraz podatności, których zaistnienie może doprowadzić do powstania naruszenia praw i wolności osób fizycznych. Posiadając wiedzę na temat procesów zachodzących w organizacji oraz zagrożeń i podatności wynikających z przetwarzania danych, będziemy w stanie określić prawdopodobieństwo, z jakim może dojść do ich zmaterializowania (patrz: tabela „Ocena prawdopodobieństwa wystąpienia zagrożenia”).

Sztuka szacowania

Zgodnie z prezentowaną metodyką ryzykiem jest iloczyn skutku naruszenia praw i wolności osób fizycznych i prawdopodobieństwa jego wystąpienia spowodowanego zmaterializowaniem się zagrożenia czy też podatności.

R = S P

R – Ocena powagi ryzyka naruszenia praw i wolności osób fizycznych
S – Ocena skutków naruszenia praw i wolności osób fizycznych
P – Ocena prawdopodobieństwa urzeczywistnienia się zagrożenia

Ocenę skutków można określić wg skali zaprezentowanej w tabeli „Skala poziomu skutków”. Warto przy tym zauważyć, że przepisy rodo zawierają również ich katalog. Znajdziemy tam takie skutki, jak: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, strata finansowa czy też naruszenie dobrego imienia.

[...]

Autor od ponad 20 lat zajmuje się informatyką śledczą, bezpieczeństwem informacji, ochroną danych osobowych, ochroną informacji niejawnych, zarządzaniem kryzysowym i ciągłością działania. Jest pełnomocnikiem Dyrektora do spraw Zarządzania Bezpieczeństwem Informacji w Centrum Systemów Informacyjnych Ochrony Zdrowia, praktykiem w zakresie szacowania ryzyka w bezpieczeństwie informacji, współautorem rekomendacji CSIOZ dot. bezpiecznego przetwarzania dokumentacji medycznej w postaci elektronicznej oraz kodeksu branżowego w ochronie zdrowia.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej