BLOG

Dowiedz się co jest naprawdę ważne.

Projektowanie systemów.

przez

Szybkie know-how dotyczące wdrażania nowego systemu informatycznego w organizacji, tak aby zapewnić jego zgodność z RODO i polskimi przepisami prawa.

Wdrażając nowy system przetwarzający dane osobowe administrator danych osobowych (ADO), musi pamiętać o konieczności uwzględniania zasad privacy by design i privacy by default już na etapie projektowania rozwiązania.

Wymogi te podyktowane są w artykule 25 RODO, co w związku z artykułem 5 rozporządzenia daje wyraźne wskazówki ADO na co ma on zwrócić szczególną uwagę już na poziomie R&D.

Ustawodawca oczekuje od ADO by projektowanie nowego systemu informatycznego odbywało się od razu ze świadomością potencjalnych zagrożeń, a jego podejście było aktywnym wyszukiwaniem wektorów potencjalnego ataku, przypisywaniem tym zagadnieniom odpowiedniej wagi czy ocenie prawdopodobieństwa ich wystąpienia. Podyktowane jest to tym by rozwiązania ustawodawcze pełniły funkcję prewencyjną, a nie reakcyjną, gdyż ostateczna wersja rozwiązania ma być bezpieczna zarówno dla użytkownika, którego dane są przetwarzane jak i przedsiębiorcy. Zatem przed wdrożeniem systemu należy ustalić przede wszystkim cel istnienia systemu oraz niezbędny zakres przetwarzania danych (ograniczony cel, minimalizacja). Należy także pamiętać, o fakcie, że zakres danych osobowych jakie możemy przetwarzać w systemie informatycznym jest określony przepisami prawa (np. przepisami prawa pracy). Po określeniu celu przetwarzania danych w systemie, zakresu niezbędnych danych lub określonych przepisami prawa, koniecznym jest zweryfikowanie podstawy prawnej przetwarzania danych, opierając swoje rozważania na art. 6 lub/i 9 RODO w zależności od rodzaju przetwarzanych danych. Pamiętać należy o tym, że dane mogą być przetwarzane tylko przez organiczny czas. Bazowanie na zgodzie, też jest tym rygorem objęte, gdyż jak podmiot wycofa swoją zgodę należy niezwłocznie usunąć. Poza zgodą ADO posiada też inne podstawy prawne, które definiują czas przetwarzania danych. Najlepszym rozwiązaniem może być możliwość odznaczania wskazanych zakresów danych w taki sposób, by po upływie określonego czasu informować pracownika o przedawnieniu się jakieś informacji i zmusić pracownika do weryfikacji czy wskazana dana ma jeszcze jakąś inną możliwą podstawę prawną przetwarzania.

Podczas działań biznesowych może wyniknąć sytuacja w której zebrane dane mogą być przesyłane do państw trzecich.

System musi mieć możliwość odznaczenia:

  • kto wprowadził i edytował dane;
  • kiedy nastąpiła edycja oraz co zostało zmienione;
  • komu i przez kogo zostały wskazane dane przesłane.

Oczywiście rozwiązania takie nie muszą być widoczne dla użytkowników. Ważnym jest jednak by to zostało uwiecznione np. w logach do których ASI ma dostęp i w ten sposób zrealizuje zasadę rozliczalności dostępu do danych.

Wielką siłą RODO jest brak określenia właściwego sposobu spełnienia tych założeń, a właśnie wskazanie celu jaki administrator ma osiągnąć, co daje administratorowi wolną rękę przy określaniu poziomu zabezpieczeń rozwiązania dając mu możliwość edycji stosowanych zabezpieczeń zgodnie z opracowaną analizą ryzyka dla systemu lub procesu (privacy impact assesstment). Działania ADO muszą jednak skupiać się na zapewnieniu ochrony praw i wolności podmiotu przetwarzanych danych. Pamiętać należy, że to co może być dziś najlepszym zabezpieczeniem dostępnym na rynku, już jutro może zostać złamane, dlatego Administrator stale musi monitorować jak działa system i utrzymywać nad nim kontrolę oraz podejmować działania mające na celu utrzymanie wysokiego poziomu bezpieczeństwa. Najlepszym rozwiązaniem będzie zastosowanie się do cyklu Deminga (planuj-wykonaj-sprawdź-popraw). Stosowanie się do wyżej wskazanego cyklu nie dotyczy wyłącznie bezpieczeństwa, a całego systemu przetwarzającego dane. Cykl ten koreluje to z zasadą kompleksowego bezpieczeństwa, która dotyczy całego życia rozwiązania oraz z zasadą pełnej funkcjonalności, która bezpieczeństwo danych uwzględnia już przed pierwszym ich zebraniu.

Nie można mówić jednak o bezpieczeństwie jako nienaruszalności raz zebranych danych, gdyż administratora dotyczą też takie zagadnienia jak czas retencji zebranych danych oraz prawo użytkownika do wglądu, edycji czy przesłania zebranych danych innemu administratorowi. Dlatego baza która wytwarza się podczas pracy z systemem musi być poddawana regularnym przeglądom, które mają na celu weryfikację czy użytkownik ma możliwość realizacji swoich praw, w tym z zasady ograniczonego czasu przetwarzania.

Podczas projektowania jakiegoś rozwiązania należy pamiętać też o tym, że dostęp do danych powinien być ograniczony. Rozwiązaniem tego problemu mogą być różne poziomy dostępności do przetwarzanych w nich danych. Wspomnieć też należy o tym, że raz przyznane uprawnienia nie są przyznawane na zawsze. Administrator Systemu Informatycznego (ASI) musi sprawować nadzór nad tym kto i kiedy ma dostęp do danych. Z tego powodu koniecznym może okazać się prowadzenie rejestru, w którym zebrane będą informacje o tym jacy pracownicy mają nadane dostępy do jakich zasobów wraz z informacją o tym kiedy jakiś dostęp został nadany, edytowany czy usunięty. Rozwiązanie takie razem z informacjami odkładanymi w logach o tym kto, kiedy i co edytował w bazie będzie realizować zasadę rozliczalności dostępu do danych osobowych.

Jak widać wprowadzanie nowych systemów do użytku w organizacji to duże zadanie stojące zarówno przed ADO jak i IOD oraz ASI, jednak jego realizacja może podnieść wydajność przedsiębiorstwa, zwiększyć jego innowacyjność. Należy jednak pamiętać, że każde wdrożenie systemu informatycznego w którym znajdować się będą dane osobowe musi się odbywać z poszanowaniem prywatności osób których dane są przetwarzane.