Blog

Jak sprawić, by RODO było ułatwieniem?

2018-03-09

PPNT - eksperci radzą w sprawie RODO

Jak się przygotować do RODO, czyli nowych regulacji w zakresie ochrony danych osobowych? Najlepiej tak, aby wilk był syty (przepisy są przestrzegane) i owca cała (przedsiębiorca nadal sprawnie działa i nie bankrutuje).

W poprzednim wpisie omówiłem dobre strony RODO. Teraz zachęcam do zapoznania się z konkretnymi podpowiedziami rozwiązań dla przedsiębiorców.

Przejdźmy do analizy ryzyka, które przedsiębiorca w myśl nowych przepisów musi przygotować: jak się do niego zabrać? W tym miejscu nie ma uniwersalnej recepty, która sprawdzi się w każdej firmie. Jeżeli miałbym pokusić się o przygotowanie formularza, który może być wykorzystany po drobnych modyfikacjach w większości firm, zaproponowałbym, aby w pierwszej kolejności przeprowadzić pełną inwentaryzację zbiorów przetwarzanych danych osobowych (co nie powinno być problemem, bo zgodnie z obecnymi przepisami, każda firma taki zbiór musi mieć albo w biurku ABI’ego, albo zgłoszony do GIODO). Następnie dla każdego zbioru, należy zidentyfikować jego właściciela oraz rozpisać wszystkie środki techniczne, służące, do jego przetwarzania, nie zapominając przy tym o zbiorach przetwarzanych w postaci fizycznych dokumentów (częstym błędem jest ograniczenie się do ochrony informacji przetwarzanych i przechowywanych w formie elektronicznej). Kolejnym krokiem jest identyfikacja ryzyk występujących dla danego zbioru i danego środka technicznego. Ten etap wymaga największej wiedzy technicznej i znajomości przedsiębiorstwa, bo ryzyka mogą mieć najróżniejszy charakter, a im więcej ich zidentyfikujemy, tym łatwiej będzie nam obronić się podczas ewentualnej kontroli. Ryzykiem może być, np. brak regularnych przeglądów polityki firewalla, ale może nim też być sprzątanie pomieszczeń, w których są przetwarzane informacje po godzinach pracy i bez nadzoru odpowiedzialnego za te dane personelu. Dla wskazanych ryzyk łatwo jest wprowadzić odpowiednie działania eliminujące bądź redukujące ryzyko, np. zawarcie umowy z firmą zewnętrzną kontrolującą w zdefiniowanych interwałach czasowych naszą konfigurację czy też przechowywanie dokumentów w szafach zabezpieczonych odpowiednim jakościowo zamkiem. Czy jednak na każde ryzyko, które zidentyfikujemy musimy znaleźć rozwiązanie? Nie! Z pewnością podczas analizy wykażemy szereg ryzyk, które owszem występują, jednak ich prawdopodobieństwo wystąpienia jak i jego ewentualne konsekwencje są na tyle niskie, a jednocześnie środki niezbędne do jego redukcji na tyle wysokie, że świadomie podejmujemy decyzję, iż ryzyko akceptujemy. Ważne, żeby ten proces był udokumentowany, a ewentualna akceptacja ryzyka odpowiednio uzasadniona. Wracając do przykładu mojego zakładu fryzjerskiego. Jego szef przeprowadził analizę ryzyka, która wykazała, że zeszyt zawierające dane osobowe jest zostawiany w miejscu ogólnodostępnym dla klientów, a fryzjerzy podczas pracy nie są w stanie go pilnować. Jednocześnie musi znajdować się w pobliżu telefonu stacjonarnego, aby osoba prowadząca rozmowę z klientem mogła zanotować umówioną wizytę jeszcze w jej trakcie. Właścicielem ryzyka jest szef zakładu fryzjerskiego, środkiem technicznym zeszyt. Właściciel określił, że ryzyko kradzieży zeszytu jest wysokie, a skutki dla firmy poważne (poza karą za utratę danych osobowych również przekazanie danych naszych klientów konkurencji). W tej sytuacji z analizy ryzyka wynika, że nie może ono zostać zaakceptowane. Zostaje nam zatem eliminacja bądź redukcja ryzyka. Pierwsze rozwiązanie może być wdrożone poprzez zakup komputera stacjonarnego, zabezpieczonego hasłem, z elektronicznym kalendarzem dla każdego fryzjera. Kosztowne, ale problem rozwiązuje. Właściciel zdecydował jednak, że pod biurkiem z telefonem znajduje się szuflada, do której można założyć zamek, do którego klucz będzie miała każda osoba odbierająca telefon, a do której to zeszyt powinien być chowany. Ryzyko zostaje znacząco zredukowane, ale nie wyeliminowane (przecież ktoś może zapomnieć go schować lub zamknąć szufladę na klucz). Spadło jednak na tyle, że teraz z czystym sumieniem właściciel w analizie ryzyka może je zaakceptować. Proste prawda?

Analiza ryzyka jest w mojej ocenie punktem wyjściowym do tego, aby firmę do RODO przygotować, jednak naturalnie RODO się do niej nie ogranicza. Wprowadza szereg nowych ról i obowiązków na przedsiębiorców, takich jak obowiązek zgłaszania naruszeń, konieczność udowodnienia przetwarzania informacji zgodnie z celem, ograniczenie zakresu przetwarzanych informacji wyłącznie do niezbędnych do realizacji celu, wyznaczenia Inspektora Ochrony Danych Osobowych, realizacji prawa do bycia zapomnianym, przekazywania i udostępniania danych na żądanie ich właściciela i wiele innych. RODO wprowadza też podział na administratora informacji i przetwarzającego. Administratorem zawsze pozostaje przedsiębiorca, któremu dane zostały powierzone przez ich właściciela i to on ponosi za nie odpowiedzialność. Część tej odpowiedzialności może zostać jednak przez niego scedowana na przetwarzającego, którym może być podwykonawca, np. zewnętrzne Data Center, któremu powierzamy przetwarzanie danych naszych klientów. Odpowiednio skonstruowana umowa z centrum danych przenosi na naszego usługodawcę szereg obowiązków, które bez outsourcingu spoczywałyby na nas. Większość obiektów Data Center posiada zarówno rozbudowane środki techniczne ochrony danych osobowych, które z uwagi na bardzo wysokie koszty są niedostępne dla większości przedsiębiorców ograniczających się wyłącznie do przetwarzania własnych danych i jak odpowiednio przygotowaną kadrę, pracującą wg ściśle określonych procedur. Połączenie odpowiednio przeprowadzonej analizy ryzyka z outsourcingiem przetwarzania powierzonych nam danych sprawia, że RODO przestaje być problemem, a zaczyna być ułatwieniem, dzięki zasadzie adekwatności zabezpieczeń. Osoby zainteresowane bliżej tym zagadnieniem, zapraszam do kontaktu z Data Center PPNT, gdzie chętnie pomożemy w znalezieniu optymalnego rozwiązania dla Państwa firmy.

Tomasz Łukaszewicz

Związany z branżą IT od zawsze. Pasjonat rozwiązań Cloud, specjalista w dziedzinie outsourcingu IT, bezpieczeństwa danych, sieci teleinformatycznych. Kierownik DataCenter Poznańskiego Parku Naukowo-Technologicznego. Absolwent Politechniki Poznańskiej, Uniwersytetu Ekonomicznego w Poznaniu oraz Wyższej Szkoły Bankowej. Dyplomowany z zakresu zastosowań informatyki w biznesie i administracji oraz zarządzania projektami IT wg metodologii PMI i metodyk zwinnych.

Współtwórca Zintegrowanego Systemu Zarządzania Usługami IT oraz Bezpieczeństwa Informacji w DataCenter PPNT, certyfikowanego przez TUV Nord. Dzięki jego zaangażowaniu i pracy, Datacenter PPNT, jako jedna z czterech serwerowni w Polsce, uzyskała certyfikat ISO 20000.  Pomyślnie przeprowadził także firmę przez audyt ISO 27001.

Na blogu chce się dzielić swoimi doświadczeniami z zakresu outsourcingu IT.

www.datacenterppnt.pl