Analiza ryzyka i zagrożeń kontekście ochrony danych osobowych

W Internecie coraz głośniej jest o rozporządzeniu o ochronie danych (potocznie zwanym RODO lub GDPR – General Data Protection Regulation). Rozporządzenia ma wejść w życie pod koniec maja 2018 roku. Czasu na jego wdrożenie jest niezbyt dużo, tym bardziej, że w rozporządzeniu tym czytamy w artykule 32 (podaję za https://sekurak.pl/gdpr-nowe-wymagania-dla-ochrony-danych-osobowych-idzie-zaglada/):

(…) administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający (…) ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ponadto w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 w artykule 29 zostało zapisane (http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=EN ):

2. W odniesieniu do zautomatyzowanego przetwarzania każde państwo członkowskie zapewnia, by po ocenie ryzyka administrator lub podmiot przetwarzający wdrożyli środki, które:
a) uniemożliwią osobom nieuprawnionym dostęp do sprzętu używanego do przetwarzania (kontrola dostępu do sprzętu);
b) zapobiegną nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych (kontrola nośników danych);
c) zapobiegną nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych (kontrola przechowywania);
d) zapobiegną korzystaniu z systemów zautomatyzowanego przetwarzania przez osoby nieuprawnione, używające sprzętu do przesyłu danych (kontrola użytkowników);
e) zapewniają, że osoby uprawnione do korzystania z systemu zautomatyzowanego przetwarzania będą mieć dostęp wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem (kontrola dostępu do danych);
f) pozwolą zweryfikować i ustalić podmioty, którym dane osobowe zostały lub mogą zostać przesłane lub udostępnione za pomocą sprzętu do przesyłu danych (kontrola przesyłu danych);
g) pozwolą następczo zweryfikować i stwierdzić, które dane osobowe zostały wprowadzone do systemów zautomatyzowanego przetwarzania, kiedy i przez kogo (kontrola wprowadzania danych);
h) zapobiegną nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia nośników danych (kontrola transportu);
i) zapewniają, że w razie awarii można będzie przywrócić zainstalowane systemy (odzyskiwanie);
j) zapewniają działanie funkcji systemu, zgłaszanie występujących w nich błędów (niezawodność) oraz odporność przechowywanych danych na uszkodzenia powodowane błędnym działaniem systemu (integralność).

Jak widać z powyższego na administratorze lub podmiocie przetwarzającym ciąży spora odpowiedzialność. Można się do tego przygotować. Na stronach https://www.cyberlaw.pl/biznes/rodo-co-zmienia/ czytamy:

Przygotuj się już teraz do RODO

Dokonaj analizy klauzul zgód (sprawdź czy są zgodne z RODO),
Sprawdź czy obowiązek informacyjny względem podmiotu danych możesz już teraz odpowiednio uzupełnić i przygotuj sobie dokument, który będzie wysyłany do podmiotów danych (informację pozwalającą na uznanie, że obowiązek informacyjny jest spełniony),
Dokonaj rewizji procesów przetwarzania z uwzględnieniem DPIA i każdy nowy proces uwzględniaj już z dokonaniem oceny skutków, w tym zastosowaniem Privacy by design i by default,
Uporządkuj umowy powierzenia i rozpocznij proces przeglądania ich zgodności oraz renegocjowania zmian jeżeli są potrzebne zgodnie z RODO,
Przygotuj się na obowiązek notyfikacyjny i uporządkowanie wewnętrznego procesu związanego z obsługą incydentu i zgłoszeniem zarówno do organu nadzorczego jak i w razie potrzeby do podmiotu/ów danych, których prawa zostaną naruszone,
Sprawdź dokładnie jakie obowiązki nakłada RODO.

Analizując powyższe wydaje się, że kluczowa jest analiza ryzyka i zagrożeń kontekście ochrony danych osobowych. Analizę ryzyka i zagrożeń można zrobić poprzez modelowanie zagrożeń i zastosowanie przykładowo SDL (The Security Development Lifecycle). Jednym z części SDL jest analiza ryzyka. Celem analizy ryzyka, jest wykazanie elementów, które powinny być w szczególny sposób chronione oraz wymienienie potencjalnych zagrożenia uporządkowanych według stopnia ryzyka. Analiza ryzyka może także zawierać listę środków łagodzących te zagrożenia. W konsekwencji powstaje lista, która określa listę środków jakie zostały lub powinny zostać wdrożone.

O analizie ryzyka bazującej na SDL pisałem w następujących tekstach

Oczywiście każda firma jest inna. Trzeba opisane modele i drzewa zagrożeń dostosować do specyfiki firmy. Środki łagodzące też będą inne dla każdej z organizacji. Wysiłek włożony w przygotowanie modeli zagrożeń powinien jednak się opłacić w momencie ponownego przeglądu, o którym wspomina rozporządzenie. Powodzenia 🙂

Reklama

Cookie	Duration	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_KTQCNY3H6Y	2 years	This cookie is installed by Google Analytics.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Przygotuj się już teraz do RODO

1 komentarz dla “Analiza ryzyka i zagrożeń kontekście ochrony danych osobowych”