Inspektor Ochrony Danych – Konsultant ds. bezpieczeństwa

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Blog — 31 sierpnia 2020

31

Sie
2020

Organizacja wyznaczając na Inspektora Ochrony Danych osobę kompetentną, zyskuje specjalistę, który wesprze ją w wielu obszarach.

Po pierwsze, otrzyma ona wsparcie merytoryczne w zakresie przetwarzania danych osobowych w zgodzie z obowiązującymi przepisami prawa. Po drugie, Inspektor Ochrony Danych wesprze organizację w zewnętrznej komunikacji dotyczącej przetwarzania i ochrony danych osobowych, np. w zakresie realizacji praw osób, których dane dotyczą, czy w zakresie komunikacji z instytucjami publicznymi, w tym z organem nadzorczym. Po trzecie, osoba wyznaczona do pełnienia funkcji Inspektora Ochrony Danych doradzi w zakresie organizacji bezpiecznego przetwarzania danych osobowych oraz będzie monitorować stosowanie środków ochrony, w zakresie swoich zadań i kompetencji.

Jeżeli Inspektor Ochrony Danych będzie realizował sumiennie swoje zadania, to bez wątpienia może pomóc organizacji uniknąć wysokich kar za naruszenia przepisów o ochronie danych osobowych.

Każdy z wyżej wymienionych obszarów działania Inspektora Ochrony Danych jest istotny. Jednakże zwłaszcza obszar bezpieczeństwa może mieć krytyczny wpływ na prawa i wolności osób fizycznych. Skutki niewłaściwej ochrony danych osobowych lub jej zupełnego braku mogą bezpośrednio odczuć osoby, których dane są przetwarzane. Konsekwencje naruszeń ochrony danych mogą prowadzić np. do:

  • dyskryminacji
  • kradzieży tożsamości
  • nadużyć finansowych
  • strat finansowych
  • naruszenia dobrego imienia
  • czy nawet do utraty zdrowia lub życia

Pamiętaj Inspektor Ochrony Danych nie musi być pracownikiem organizacji, w której będzie pełnić swoją funkcję. Organizacja może wyznaczyć na IOD osobę z zewnątrz w formie outsourcingu. Co więcej, w pewnych sytuacjach grupa przedsiębiorstw może wyznaczyć jednego Inspektora Ochrony Danych, który będzie pełnił swoje zadania dla całej grupy.

W niniejszym artykule przedstawiono oraz pokrótce omówiono obszary bezpieczeństwa, które powinny zostać zbadane przez Inspektora Ochrony Danych. IOD powinien podnosić swoje kompetencje w obszarze bezpieczeństwa informacji, zwłaszcza jeśli jest jedyną osobą w organizacji, która ma uprawnienia i zakres obowiązków pozwalający choćby na doraźne zajęcie się tematem.

Celem artykułu jest pokazanie Inspektorom jakie zagadnienia w danym obszarze warto jest rozpoznać, aby mieć świadomość poziomu bezpieczeństwa w organizacji.


Kontrola dostępu do systemów IT

Inspektor Ochrony Danych oceniając bezpieczeństwo danych powinien przyjrzeć się kwestiom związanym z dostępem do systemów informatycznych. IOD powinien zweryfikować jak organizacja zapewnia kontrolę dostępu do systemów informatycznych.

Inspektor Ochrony Danych powinien sprawdzić jak wygląda proces przyznawania uprawnień, tj. ocenić czy:

  • uprawnienia są nadawane osobom, które wcześniej zobowiązały się zachowania w tajemnicy informacji oraz środków ochrony do których uzyskają dostęp w czasie realizowania zleconych zadań,
  • osoby odpowiedzialne za przyznawanie uprawnień otrzymują wiarygodne i niezaprzeczalne wytyczne, co do zakresu przyznawanych uprawnień,
  • stosowane sposoby uwierzytelnienia są adekwatne do celu, np. czy w przypadku użytkowników posiadających uprawnienia administratorskie zastosowano uwierzytelnienie dwuskładnikowe,
  • wykonywane są przeglądy uprawnień – rotacja na stanowiskach pracy jest źródłem ryzyka występowania nieprawidłowości w tym obszarze,
  • sposób przekazywania danych służących do logowania (login i hasło) odbywa się bezpiecznymi i różnymi kanałami komunikacyjnymi,
  • użytkownicy są zobligowani do zmiany pierwszych, tymczasowych haseł,
  • konta użytkowników są blokowane po kilku nieudanych próbach logowania,
  • wprowadzane znaki haseł są ukrywane.

Bezpieczeństwo fizyczne i środowiskowe

W tym obszarze Inspektor Ochrony Danych powinien oceniać bezpieczeństwo przez pryzmat zagrożeń fizycznych (np. włamanie, nieautoryzowany dostęp do dokumentów lub kradzież nośnika danych) oraz zagrożeń środowiskowych (np. pożar, powódź lub zalanie, czy zagrożenia przegrzania infrastruktury na skutek nieodpowiednich warunków).

Inspektor Ochrony Danych w szczególności powinien zwrócić uwagę na najbardziej newralgiczne miejsca w obszarze przetwarzania organizacji, takie jak serwerownia, miejsce przechowywania dokumentacji np. pracowniczej oraz wszelkie inne obszary, w których znajdują są dane ważne z punktu widzenia biznesu lub związane z realizacją poszczególnych obowiązków wynikających z przepisów prawa (np. miejsce przechowywania dokumentów księgowych). W zależności od lokalizacji organizacji, infrastruktury i obszarów przetwarzania danych zagrożenia z obszaru bezpieczeństwa fizycznego i środowiskowego dla ochrony danych osobowych mogą być różne. Inspektor Ochrony Danych w szczególności powinien zwrócić uwagę na:

  • fizyczne granice obszaru przetwarzania – IOD powinien sprawdzić, czy pomieszczenia są wyposażone w bariery, których autoryzowane przekroczenie wymaga uwierzytelnienia (np. przy pomocy odpowiednio zaprogramowanej karty dostępu), natomiast nieautoryzowane – wzbudzi alarm lub przynajmniej nie pozostanie niezauważone;
  • nadzór osób trzecich (np. gości) – IOD powinien zweryfikować, czy tożsamość osób z zewnątrz jest w stosowny sposób uwierzytelniana (np. poprzez prowadzenie tzw. księgi gości, w której odnotowywane są daty i godziny wejścia i wyjścia gości, cel wizyty oraz nr dokumentu tożsamości lub podpis);
  • politykę używania identyfikatorów – IOD powinien sprawdzać, czy pracownicy zobowiązani do noszenia w widocznym miejscu identyfikatorów, pozwalających na jednoznaczne potwierdzenie autoryzacji (lub jej braku) przebywania w danej strefie, rzeczywiście je noszą;
  • przeglądy praw dostępu –  IOD powinien zweryfikować, czy przeglądy praw dostępu do obszarów szczególnie chronionych wykonywane są regularnie oraz czy dokonywana jest  niezwłoczna aktualizacja uprawnień po zmianach kadrowych;
  • lokalizację urządzeń sieciowych, w tym urządzeń wielofunkcyjnych – IOD powinien sprawdzić czy zapewniona jest właściwa ochrona ważnych urządzeń sieciowych oraz czy drukarki sieciowe nie są ulokowane w strefach, do których dostęp mogą mieć osoby postronne;
  • ochronę przed zagrożeniami zewnętrznymi i środowiskowymi, np. ochrona ppoż.;
  • czy prace techniczne (np. zlecone podmiotom zewnętrznym, których przedstawiciele nie będą mieli stosowanych upoważnień) są wykonywane pod stałym nadzorem;
  • miejsca fizycznego odbioru nośników informacji (np. dokumentacji) oraz ich przekazywania poza obszar organizacji;
  • fizyczne zabezpieczenie sprzętu – IOD powinien zweryfikować, czy organizacja wewnętrznie uregulowała zabezpieczenie sprzętu przed potencjalnie niebezpiecznymi sytuacjami, np. podłączaniem prywatnych urządzeń mobilnych, czy spożywaniem posiłków i napojów w serwerowni
  • wykonywane konserwacje – IOD powinien sprawdzić regularność wykonywanych przeglądów systemów wspomagających, zapewniających zasilanie, łączność lub inne mediach oraz czy kluczowe urządzenia są wyposażone w czujniki alarmowe, a także czy w razie ich awarii organizacja posiada urządzenia zastępcze;
  • zabezpieczenie okablowania – IOD powinien sprawdzić prawidłowość ukrycia okablowania oraz rozdzielenie kabli zasilających od komunikacyjnych;
  • wynoszenie nośników informacji poza obszar przetwarzania – czy podlega to autoryzacji oraz czy są one odpowiednio zabezpieczone;
  • na stosowane przez pracowników praktyki obchodzenia się ze sprzętem oraz z danymi osobowymi. IOD powinien sprawdzać, czy personel przed opuszczeniem stanowiska pracy odpowiednio zabezpiecza urządzenie, np. blokują stację roboczą, czy wylogowuje się z usług / poza obszarem przetwarzania nie pozostawia urządzeń bez opieki / przestrzega zasad polityki czystego biurka i czystego ekranu.

Na podstawie doświadczeń związanych z wdrażaniem RODO oraz pełnieniem funkcji Inspektora Ochrony Danych możemy wskazać najbardziej popularne błędy popełniane w tym obszarze bezpieczeństwa:

  • brak prowadzenia ewidencji gości, w tym osób wykonujących prace serwisowe w serwerowni, np. urządzeń infrastruktury IT;
  • przechowywanie dokumentacji w szafkach niezamykanych na klucz w sytuacji, w których dostęp do pomieszczenia mogą mieć osoby trzecie, np. serwis sprzątający po godzinach pracy;
  • brak środków gaśniczych w serwerowni;
  • brak fizycznych zabezpieczeń serwerowni – np. zlokalizowanie serwerowni na parterze w pomieszczeniu z oknem, przy braku krat okiennych;
  • posługiwanie się kartami dostępu, na których widnieją dane identyfikacyjne firmy i pracownika;
  • brak zabezpieczeń przed przegrzaniem serwerów, np. brak czujników temperatury lub odpowiednich klimatyzatorów (np. odnotowywano przypadki wyłączenia się klimatyzacji przy wyjątkowo niskich temperaturach powietrza atmosferycznego zimą);
  • ulokowanie urządzeń wielofunkcyjnych w ciągach komunikacyjnych, do których dostęp mogą mieć osoby postronne;
  • brak monitoringu wizyjnego kluczowych obszarów organizacji.

Ochrona przed szkodliwym oprogramowaniem (Malware)

Inspektor Ochrony Danych powinien być świadomy zagrożeń wynikających z ewentualnej infekcji szkodliwym oprogramowaniem. Oprogramowanie typu Malware to poważne zagrożenie, które może prowadzić nawet do sparaliżowania działalności organizacji, np. w wyniku infekcji oprogramowaniem Ransomware, które szyfruje wszystkie dane organizacji (ostatni głośny przypadek ataku Ransomware to infekcja oprogramowania Garmin, która spowodowała brak możliwości korzystania z usług przez użytkowników przez blisko 4 dni).

Innymi rodzajami szkodliwego oprogramowania, o których istnieniu Inspektor Ochrony Danych powinien wiedzieć to:

  • oprogramowanie, które stwarza tylne wejście do systemu (tzw. Backdoor). W skutek instalacji takiego oprogramowania atakujący omijają wszelkiego typu zabezpieczenia i mogą przejąć kontrolę nad systemem, co skutkować może np. wyciekiem danych;
  • oprogramowanie szpiegujące, które rejestruje przetwarzane dane bez wiedzy użytkownika;
  • oprogramowanie typu exploit – oprogramowanie posiadające pewne luki, które umożliwiają wprowadzanie nieautoryzowanych zmian lub które mogą zostać wykorzystywane do włamania do komputera ofiary;
  • oprogramowanie rejestrujące naciskane w urządzeniu klawisze (z ang. keyloggers) – oprogramowanie umożliwia odczytywanie i zapisywanie wszystkich naciśniętych klawiszów użytkownika. Ten rodzaj oprogramowania przyczynia się do wycieku poufnych danych np. danych służących do logowania.

Aby, ocenić funkcjonujący w organizacji poziom ochrony przed szkodliwym oprogramowaniem Inspektor Ochrony Danych powinien sprawdzić:

  • czy wszystkie urządzenia za pośrednictwem, których przetwarzane są dane osobowe są chronione oprogramowaniem antywirusowym;
  • czy zapewnione jest, że wykorzystywane oprogramowanie antywirusowe jest na bieżąco aktualizowane i nie może zostać dezaktywowane przez użytkownika;
  • czy użytkownicy posiadają uprawnienia do instalowania oprogramowania we własnym zakresie;
  • czy organizacja stosuje mechanizmy zmniejszające ryzyko odwiedzania potencjalnie niebezpiecznych witryn internetowych (np. blokowanie przeglądania witryn określonych jako zabronione lub monitorowanie aktywności użytkowników w sieci);
  • poziom świadomości personelu nt. zagrożeń związanych ze szkodliwym oprogramowaniem;
  • czy odseparowano środowiska szczególnie wrażliwe od sieci publicznych.

Ciągłość działania

Odpowiednie zabezpieczenie organizacji przed utratą ciągłości działania pozwoli uniknąć chaosu w przypadku wystąpienia sytuacji kryzysowej i pomoże sprawnie odzyskać akceptowalny poziomu działalności organizacji.

W tym obszarze zadaniem Inspektora Ochrony Danych jest dokonanie oceny, czy:

  • opracowano plany ciągłości działania;
  • czy organizacja jest zabezpieczona przed:
    • utratą zasilania –  tj. czy posiada generatory prądu lub zasilacze awaryjne (tzw. UPS), jeśli jest to niezbędne,
    • utratą dostępu do Internetu – tj. czy posiada zapasowe łącze, które zostanie użyte w przypadku awarii głównego,
    • awarią kluczowych elementów infrastruktury (posiadanie zapasowych urządzeń)

Więcej na temat korzyści z posiadania planu ciągłości działania oraz dobrych praktyk w ich opracowywaniu przeczytać można w naszym artykule.

Kopie zapasowe

O utratę danych nie jest trudno. Awarie sprzętu, ataki cyberprzestępców, utrata bądź kradzież komputera służbowego  wszystkie te zagrożenia mogą prowadzić do sytuacji, w których organizacja utraci przetwarzane dane. Na co dzień, często o tym zapominamy, ale wystarczy chwila, aby stracić wszystkie firmowe dane, w tym dane osobowe – co zgodnie z definicją określoną w przepisach RODO będzie stanowić naruszenie ochrony danych osobowych.

Kopie zapasowe to kolejny obszar bezpieczeństwa, który powinien zostać zweryfikowany przez Inspektora Ochrony Danych. IOD powinien ustalić, m. in. czy:

  • zakres danych, które podlegają duplikacji jest wystarczający;
  • częstotliwość wykonywanych kopii zapasowych jest odpowiednia;
  • wykonywane kopie zapasowe są przechowywane w bezpiecznym miejscu i przez odpowiedni okres;
  • kopie zapasowe są właściwie oznaczane;
  • zużyte nośniki kopii zapasowych są w sposób właściwy likwidowane.

Urządzenia mobilne

Obecnie do najpopularniejszych urządzeń mobilnych należą laptopy, tablety, czy smartphony. IOD powinien pamiętać, iż z korzystaniem z tego rodzaju urządzeń wiąże się ryzyko. Po pierwsze urządzenia te są przenośne, a więc mogą być wynoszone poza zabezpieczony obszar przetwarzania danych, do innego środowiska, które często jest niezaufane, a wręcz niebezpieczne (np. hotel czy kawiarnia). Również w trakcie przemieszczania się może dojść do niepożądanych sytuacji, np. pracownik może zostawić urządzenie w taksówce (obsługiwaliśmy taki przypadek u jednego z naszych klientów) lub może dojść do kradzieży urządzenia, np. komputer może zostać skradziony z przedniego siedzenia pojazdu pracownika, który zatrzymał się na czerwonym świetle (podobny przypadek spowodował naruszenie w jednej z uczelni wyższych, o którym zrobiło się ostatnio całkiem głośno). Po drugie, urządzenia przenośne (gdy już zostaną przetransportowane do miejsca docelowego) są wykorzystywane do pracy zdalnej, zwykle wymagającej połączenia z infrastrukturą organizacji, a niewłaściwe zabezpieczenie telepracy stanowi spore zagrożenie dla ochrony danych osobowych.

W tym obszarze Inspektor Ochrony Danych pełniąc swoje zadania powinien m. in. zweryfikować:

  • zasadność wynoszenia urządzeń mobilnych poza wyznaczony obszar przetwarzania;
  • czy w urządzeniach mobilnych zastosowano mechanizmy zapewniające kontrolę dostępu (np. hasła, czy kody PIN);
  • sposób organizacji pracy zdalnej (np. czy jednostka łączy się z infrastrukturą za pośrednictwem połączenia VPN);
  • czy nośniki urządzeń, w których pamięci przechowywane są dane osobowe są zaszyfrowane;
  • czy wykonywane są kopie zapasowe danych przechowywanych na lokalnych nośnikach urządzeń mobilnych;
  • czy organizacja ma możliwość namierzania lokalizacji miejsca, w którym znajduje się urządzenie;
  • czy organizacja posiada mechanizm zdalnego czyszczenia pamięci urządzenia;
  • czy organizacja narzuca polityki zabezpieczeń, które nie mogą być wyłączane samodzielnie przez użytkowników.

Postępowanie z nośnikami

Nośniki danych, czyli aktywa umożliwiające zapisanie informacji oraz późniejsze ich odczytanie. Definicja ta utożsamiana jest głównie z obszarem IT, jednakże błędem nie będzie uznanie dokumentu papierowego jako nośnika danych, gdyż wypełnia on tę definicję– pozwala na utrwalenie informacji, a następnie na ich późniejszy odczyt. Nośniki danych, podobnie jak urządzenia mobilne, generują duże ryzyko dla ochrony danych przede wszystkim ze względu na ich mobilność oraz prostotę użycia.

Dlatego Inspektor Ochrony Danychpowinien bliżej przyjrzeć się sposobom postępowania z nośnikami. Podczas swojej analizy powinien w szczególności zweryfikować:

  • stosowaną w organizacji politykę korzystania z tego rodzaju urządzeń;
  • potrzeby pracowników korzystania z zewnętrznych pamięci (być może większość z nich wcale nie musi z nich korzystać);
  • czy personel korzysta wyłącznie ze służbowych nośników danych;
  • czy wynoszone poza obszar przetwarzania danych elektroniczne nośniki pamięci są szyfrowane;
  • czy przed podłączeniem pamięci zewnętrznej używanej w niezaufanym środowisku, następuje weryfikacja urządzenia w celu wykluczenia zainfekowania szkodliwym oprogramowaniem;
  • czy ograniczono kopiowanie danych na nośniki wymienne oraz czy jest to monitorowane;
  • czy nośniki opuszczające obszar przetwarzania danych są rejestrowane;
  • czy sprawowany jest nadzór nad likwidacją niepotrzebnych nośników danych;
  • czy nośniki są przechowywane w bezpiecznym środowisku (w zależności od rodzaju nośnika);
  • czy wobec ważnych dokumentów przesyłanych pocztą tradycyjną stosuje się dodatkowe zabezpieczenia;
  • czy pełniony jest nadzór nad bezpieczeństwem danych opuszczających obszar przetwarzania.

Bezpieczeństwo komunikacji

W komunikacji pomiędzy urządzeniami wiele procesów odbywa się poza interfejsem użytkownika, co sprawia, że wielu z nich nie zdaje sobie sprawy z ich istnienia. Dobrym tego przykładem jest proces wysyłania wiadomości e-mail: użytkownik wprowadza dane odbiorcy, temat oraz treści wiadomości i klika wyślij. Cała reszta wykonywanych przez urządzenie czynności, w celu wysłania wiadomości e-mail odbywa się w różnych tzw. warstwach sieciowych – np. procesy nawiązywania kanałów transmisji, podział danych na segmenty, pakiety, czy ramki – wszystkie te czynności są niewidoczne z poziomu użytkownika i już od niego niezależne.

Dlatego wiele osób nie zdaje sobie sprawy z tego, że wiadomość e-mail, aby zostać wysłana jest dzielona i zamieniana na ciąg liczbowy, który następnie jest przesyłany do nadawcy przez urządzenia sieciowe. W pewnym momencie transmisja danych odbywa się po za kontrolą organizacji, a to niesie za sobą ryzyko, że wysłane dane gdzieś po drodze mogą zostać przechwycone, np. jeżeli cyberprzestępca wykonana atak „Man-in-the-Middle”, podszywając się pod jedno z urządzeń sieciowych znajdujących się na linii przesyłania danych.

Co więcej, wiadomość e-mail może być przechowywana w wielu miejscach (co najmniej czterech): pamięć komputera nadawcy, serwer pocztowy nadawcy lub serwer dostawcy Internetu, serwer pocztowy odbiorcy, pamięć komputera odbiorcy – co niekorzystnie wpływa na poziom ryzyka związanego z poufnością przesyłanych informacji.

Komunikacja pomiędzy urządzeniami odbywać się może przewodowo (np. za pośrednictwem przewodu sieciowego) lub bezprzewodowo (Wi-Fi, Bluetooth). Badając bezpieczeństwo komunikacji Inspektor Ochrony Danych powinien zwrócić uwagę na to, że zagrożenia dla ochrony danych będą różniły się w zależności od rodzaju wykorzystywanego medium transmisyjnego, wykorzystywanego urządzenia, wykorzystywanego oprogramowania oraz od stosowanych zabezpieczeń. Dla przykładu sieci Wi-Fi, są wygodne w użyciu, bo urządzenie, aby połączyć się z siecią nie wymaga fizycznego podłączenia. Jednakże podwyższony komfort użycia rodzi ryzyka, o których IOD nie powinien zapominać, np. ryzyku podsłuchiwania przesyłanych w ramach sieci danych. Powinien zweryfikować na jakim standardzie opiera się funkcjonowanie infrastruktury sieci Wi-Fi. Najlepiej, aby standard zapewniał, aby użytkownik miał możliwość weryfikacji punktu dostępowego, do którego się podłącza, następnie żeby mógł przesłać login i hasło w bezpieczny sposób i uzyskać indywidualny klucz do szyfrowania transmisji. Tak przygotowana infrastruktura chronić będzie przed ryzykiem instalacji fałszywego punktu dostępowego oraz ryzykiem odszyfrowania transmisji.

Oceniając bezpieczeństwo komunikacji osoba pełniąca funkcję Inspektora Ochrony Danych powinna w szczególności zwrócić uwagę na:

  • stosowanie narzędzi blokujących dostęp do sieci lokalnej z zewnątrz, takich jak zapory sieciowe (ang. firewall), systemów wykrywania włamań (IDS) czy przeciwdziałania włamaniom (IPS) oraz monitorujących ruch w celu wykrywania anomalii, które mogą okazać się nadużyciami (np. narzędzia typu SIEM) lub wprost wykrywających i mogących zablokować kopiowanie określonych rodzajów danych (DLP);
  • określenie i przestrzeganie zasad autoryzacji oraz monitorowania dostępu do sieci (w tym bezprzewodowych) i poszczególnych usług;
  • stosowanie kanałów VPN lub szyfrowanie danych dla zachowania ich poufności przy przesyłaniu za pomocą sieci publicznej;
  • uwierzytelnianie użytkowników próbujących skorzystać z usług sieciowych;
  • separacja sieci dla ograniczenia wzajemnego wpływu poszczególnych systemów;

Kryptografia

Kryptografię (czyli mechanizmy szyfrujące dane) wykorzystuje się w celu zabezpieczenia danych przed niepowołanym dostępem. Obecnie kryptografia ma szerokie zastosowanie. Wykorzystuje się ją w celu zabezpieczenia nośników danych urządzeń mobilnych, bezpiecznego przechowywania danych umożliwiających prawidłowe uwierzytelnienie użytkowników (głównie haseł), zabezpieczenia komunikacji poczty e-mail czy danych przesyłanych za pośrednictwem aplikacji webowej. Analizując ten obszar bezpieczeństwa osoba pełniąca funkcję Inspektora Ochrony Danych powinna uwzględnić:

  • stosowanie szyfrowanego protokołu HTTPS przez witryny internetowe utrzymywane przez organizację;
  • wykorzystywanie technik kryptograficznych w procesie uwierzytelnienia użytkowników (funkcje haszujące hasła);
  • wykorzystywanie kryptografii dla zapewnienia integralności lub autentyczności udostępnianych danych, np. stosowanie podpisu cyfrowego;
  • szyfrowanie pamięci urządzeń mobilnych oraz elektronicznych nośników informacji.

Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych

Wprowadzane zmiany do funkcjonowania systemów informatycznych, ich rozbudowa, czy implementacja zupełnie nowych systemów może stanowić ryzyko dla ochrony danych osobowych. Zwrócono na to uwagę w przepisach RODO, określając w art. 24 zasadę „Privacy by design”. W tym obszarze Inspektor Ochrony Danych powinien w szczególności zweryfikować, czy w organizacji:

  • w celu ograniczenia ryzyka oddziela się środowiska rozwojowe i testowe od produkcyjnych;
  • przy planowaniu wprowadzenia zmian uwzględnia się ingerencję w prywatność osób, których dane są przetwarzane;
  • wszelkie zmiany są zarządzane i poddawane testom bezpieczeństwa;
  • systemy są monitorowane pod kątem stopnia wykorzystania zasobów;
  • zarządza się podatnościami (w tym monitoruje się aktualizację oprogramowania i instaluje się niezwłocznie wyłącznie aktualizacje podnoszące poziom bezpieczeństwa);
  • stosuje się bezpieczne praktyki programowania (w tym jego testowania i obsługi błędów);
  • pełniony jest nadzór nad wdrażanymi systemami (została wyznaczona osoba odpowiedzialna za ich bezpieczeństwo).

Relacje z dostawcami

Inspektor Ochrony Danych powinien pamiętać, iż wraz z udziałem podmiotów zewnętrznych w procesach przetwarzania, wzrasta poziom ryzyka dla ochrony danych. IOD powinien, zgodnie z art. 28 RODO, uprzednio dokonać oceny, czy podmiot przetwarzający może zostać uznany za zaufany. A więc będzie można uznać, że podmiot ten daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych spełniających wymagania przepisów RODO. Inspektor Ochrony Danych, mając wątpliwości co do prawdziwości składanych przez podmiot przetwarzający zapewnień, powinien przeprowadzić inspekcję podmiotu przetwarzającego lub zlecić jej przeprowadzenie innej firmie zewnętrznej specjalizującej się w przeprowadzaniu audytów. IOD powinien zweryfikować, czy:

  • pełniony jest nadzór nad działaniami realizowanymi przez podmiot przetwarzający;
  • dostawcy zostali zobowiązani zapisami umownymi do działania w zgodzie ze standardami bezpieczeństwa;
  • przedstawiciele podmiotów zewnętrznych wkraczających do obszaru przetwarzania są zobowiązywani do zachowania w tajemnicy informacji, do których uzyskają dostęp, w tym zwłaszcza związanych ze środkami bezpieczeństwa.

Zarządzanie incydentami

O zarządzaniu incydentami, podobnie jak o dwóch poprzednich obszarach, w przepisach RODO znalazły się zapisy wprowadzające obowiązki, które nie powinny umknąć uwadze Inspektora Ochrony Danych. Art. 33 oraz 34 RODO regulują obowiązki, które powinny być realizowane przez organizacje przetwarzające dane osobowe (np. obowiązek zgłoszenia naruszenia ochrony danych, o którym więcej napisaliśmy tutaj). Inspektor Ochrony Danych powinien wiedzieć jaką rolę odgrywa zarządzanie incydentami w bezpieczeństwie informacji. Właściwe zarządzanie incydentami powinno zapewniać szybkie wykrycie naruszeń, sprawną ich obsługę oraz – poprzez odpowiednie dokumentowanie – dostarczać istotnych informacji, których wykorzystanie może pozwolić uniknąć podobnych sytuacji w przyszłości. Inspektor Ochrony Danych, weryfikując poprawność zarządzania incydentami w organizacji, powinien:

  • sprawdzić świadomość personelu w zakresie potrzeby zgłaszania zdarzeń potencjalnie niebezpiecznych;
  • zweryfikować prawidłowość wdrożonych procedur działania w zakresie zarządzania incydentami;
  • ocenić poprawność prowadzenia rejestrów incydentów;
  • dokonać analizy historii incydentów, w celu identyfikacji obszarów bezpieczeństwa wymagających udoskonaleń.

Podsumowanie

Powyżej przedstawiono oraz pokrótce omówiono obszary bezpieczeństwa, które powinny zostać zbadane lub być cyklicznie weryfikowane przez Inspektora Ochrony Danych. Jak widać działania jakie powinny zostać podjęte przez IOD w celu weryfikacji realizacji wymagań art. 32 RODO dotyczą szerokiego spektrum aspektów bezpieczeństwa.

Inspektor Ochrony Danych, aby realizować swoje zadania należycie, powinien być zaznajomiony z wymaganiami norm i standardów w dziedzinie bezpieczeństwa lub mieć wsparcie zespołu, który takie kompetencje posiada. Co więcej, powinni oni je nieustannie rozwijać tak, aby być na bieżąco z najnowszymi rozwiązaniami zapewniającymi ochronę danych oraz z aktualnymi zagrożeniami dla ich bezpieczeństwa.

Na koniec warto wspomnieć, iż Inspektor Ochrony Danych może w trakcie wykonywania czynności audytowych (niejako przy okazji) zdobyć inne informacje istotne dla realizacji poszczególnych obowiązków wynikających z przepisów RODO. Na przykład jeżeli organizacja monitoruje aktywność pracowników w sieci lub rejestruje geolokalizację służbowych urządzeń to Inspektor Ochrony Danych powinien zadbać, by pracownicy zostali właściwie poinformowani o realizowaniu przez organizację tego rodzaju przetwarzania i zostało ono właściwie opisane w Rejestrze czynności przetwarzania.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.