Zasada poufności i integralności

Autor: Marcin Soczko — w kategorii Blog — 31 sierpnia 2021

31

sie
2021

Kontynuując rozpoczęty przed miesiącem wątek, dotyczący podstawowych zasad przetwarzania danych osobowych (art. 5 RODO), na łamach niniejszego artykułu omówiona zostanie kolejna z nich – zasada „integralność i poufność”.

Czym jest zasada integralności i poufności?

Art. 5 ust. 1 lit. f RODO stanowi, że — „Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)”. Przepis ten formułuje jeden z podstawowych i najważniejszych obowiązków nakładanych na administratorów danych, tj. dokonania analizy ryzyka właściwej dla charakteru przetwarzanych danych, aby osiągnąć odpowiedni poziom ich ochrony.

Zapewnienie bezpieczeństwa przetwarzanych danych osobowych może wydawać się sporym wyzwaniem, głównie z uwagi na brak zdefiniowanych w przepisach prawa konkretnych wymagań, co do środków zabezpieczających. Dlatego niejaką trudność może stanowić wybranie i wdrożenie tych właściwych środków technicznych lub organizacyjnych, za pomocą których zapewniony zostanie odpowiedni stopień integralności i poufności danych osobowych.

Pomocnych wskazówek w przepisach RODO doszukać się można w art. 32 RODO. W artykule tym wymieniono czynniki, które powinny determinować wybór środków zabezpieczających, tj. charakter, kontekst, cele przetwarzania oraz ewentualne naruszenia praw i wolności osób fizycznych. Ponadto na początku wspomnianego artykułu wymieniono przykłady środków ochrony, są to: pseudonimizacja i szyfrowanie danych osobowych (art. 32 ust. 1 lit. a RODO). Dalej wskazano już tylko ogólne wymagania, które jednak doprecyzowują podstawową zasadę z art. 5 RODO. Są to:

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Na czym polega integralność i poufność przetwarzania danych osobowych?

Zacznijmy najpierw od zdefiniowania pojęć: integralności oraz poufności przetwarzania danych osobowych.

Integralność przetwarzania danych osobowych stanowi atrybut bezpieczeństwa informacji, który ma gwarantować, że przetwarzane dane ulegną wyłącznie autoryzowanej (zgodnie z planem i przeznaczeniem) modyfikacji. Integralność danych polega więc na zachowaniu ich spójności, dokładności i wiarygodności, a także takim ich zabezpieczeniu aby nie zostały dodane, usunięte i zmienione w sposób nieautoryzowany.

Z kolei poufność danych zapewniać ma, że przetwarzane dane będą chronione przed nieuprawnionym dostępem, tj. przed ujawnianiem lub udostępnianiem nieuprawnionym osobom lub innym podmiotom.

Zapewnianie poufności obejmuje wykluczenie dostępu zarówno dla osób spoza organizacji, jak i tych wewnątrz niej. Nie każdy pracownik musi mieć dostęp do wszystkich informacji i danych osobowych – powinna obowiązywać „zasada wiedzy koniecznej”.

Analiza ryzyka a zasada integralności i poufności.

Temat analizy ryzyka przetwarzania danych osobowych w kontekście spełniania wymagań przepisów RODO powinien być rozpatrywany z trzech różnych perspektyw:

  • ryzyko dla praw i wolności osób, których dane dotyczą;

  • ryzyko odpowiedzialności za wywiązywanie się z wymagań przepisów RODO;

  • ryzyko dla ochrony danych osobowych.

Pierwszą grupę stanowią zagrożenia dla praw i wolności (w tym prawa do prywatności) osób, których dane dotyczą, np. zagrożenia związane z profilowaniem osób, brakiem realizacji prawa do usunięcia danych  lub wycofania zgody na przetwarzanie, czy niespełnieniem obowiązku informacyjnego.

Drugi obszar obejmuje ryzyko konsekwencji braku realizacji lub błędnego wywiązywania się z obowiązków określonych w przepisach RODO. Na poziom ryzyka w tym przypadku będzie miał wpływ przede wszystkim stopień naruszeń wymagań określonych w przepisach RODO oraz ich potencjalny wpływ na osoby, których dane dotyczą.

Wreszcie trzeci obszar – ryzyko dla bezpieczeństwa danych, które może być zarządzane w oparciu o funkcjonujące standardy, np. normę PN-EN ISO/IEC 27005. W tym obszarze znajdują się ryzyka dotyczące atrybutów bezpieczeństwa informacji w tym poufności i integralności. Przykładami zagrożeń w tym obszarze są: ujawnienie danych w wyniku wysłania danych na błędny adres odbiorcy (utrata poufności) oraz dokonanie zmiany hasła dostępu do konta użytkownika bez jego wiedzy i zgody (utrata integralności).

Jak zapewnić przestrzeganie zasady poufności i integralności?

Trudno w tym krótkim artykule wymienić wszystkie możliwe środki służące zapewnieniu bezpieczeństwa informacji. W dbaniu o poufność i integralność na pewno kluczowe będą systemy kontroli dostępu. Zarówno w obszarze bezpieczeństwa fizycznego, jak i teleinformatycznego. Dodatkowo konieczne jest opracowanie odpowiednich procedur przechowywania (dla zapewnienia integralności) i przekazywania (zapewniające poufność) danych osobowych, wspieranych odpowiednimi środkami technicznymi.

Zdolność do ciągłego zapewnienia poufności i integralności, a tym samym zgodność z zasadą „integralność i poufność” może zostać osiągnięta tylko poprzez ciągłe doskonalenie systemu ochrony danych osobowych.

Regularne audyty zapewnią wykrywanie podatności i obszarów wymagających ulepszeń, a dzięki testowaniu stosowanych środków ochrony sprawdzona zostanie ich skuteczność lub mogą zostać wykryte nowe bezpieczeństwa, w tym krytyczne błędy konfiguracyjne.

Ciągła potrzeba uszczelniania systemu ochrony wynika ze zmian zachodzących zarówno wewnątrz organizacji (wdrażanie nowych usług, stosowanie nowych technologii etc.) jak i po za nią (powstawanie nowych technik ataków, które mogą zostać wykorzystane przez cyberprzestępców).

W tym miejscu pragniemy przypomnieć i zachęcić do (ponownej) lektury Vademecum ABI cz. 2, w którym temat zapewnienia bezpieczeństwa danych osobowych został przeanalizowany dogłębnie z punktu widzenia wymagań RODO w odniesieniu do standardów wskazanych w normach ISO z serii 27000. Warto także przypomnieć sobie jak wymagania dotyczące bezpieczeństwa danych ujęte były w przepisach obowiązujących przed RODO.

komentarze 2

  • Renata 24 września, 2021

    Szczególnie udana definicja integralności, bez tego drażniącego przykładu z dopisywaniem liter przez pracownika.

    Odpowiedz
    • Marcin Soczko 27 września, 2021

      Dziękujemy za miłą opinię 🙂

      Odpowiedz

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.