Umów się na spotkanie: +48 535 202 564

Umów się na spotkanie: +48 535 202 564

Zasada poufności i integralności

Autor: Marcin Soczko — w kategorii Blog — 31 sierpnia 2021

31

sie
2021

Kontynuując rozpoczęty przed miesiącem wątek, dotyczący podstawowych zasad przetwarzania danych osobowych (art. 5 RODO), na łamach niniejszego artykułu omówiona zostanie kolejna z nich – zasada „integralność i poufność”.

Czym jest zasada integralności i poufności?

Art. 5 ust. 1 lit. f RODO stanowi, że — „Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)”. Przepis ten formułuje jeden z podstawowych i najważniejszych obowiązków nakładanych na administratorów danych, tj. dokonania analizy ryzyka właściwej dla charakteru przetwarzanych danych, aby osiągnąć odpowiedni poziom ich ochrony.

Zapewnienie bezpieczeństwa przetwarzanych danych osobowych może wydawać się sporym wyzwaniem, głównie z uwagi na brak zdefiniowanych w przepisach prawa konkretnych wymagań, co do środków zabezpieczających. Dlatego niejaką trudność może stanowić wybranie i wdrożenie tych właściwych środków technicznych lub organizacyjnych, za pomocą których zapewniony zostanie odpowiedni stopień integralności i poufności danych osobowych.

Pomocnych wskazówek w przepisach RODO doszukać się można w art. 32 RODO. W artykule tym wymieniono czynniki, które powinny determinować wybór środków zabezpieczających, tj. charakter, kontekst, cele przetwarzania oraz ewentualne naruszenia praw i wolności osób fizycznych. Ponadto na początku wspomnianego artykułu wymieniono przykłady środków ochrony, są to: pseudonimizacja i szyfrowanie danych osobowych (art. 32 ust. 1 lit. a RODO). Dalej wskazano już tylko ogólne wymagania, które jednak doprecyzowują podstawową zasadę z art. 5 RODO. Są to:

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Na czym polega integralność i poufność przetwarzania danych osobowych?

Zacznijmy najpierw od zdefiniowania pojęć: integralności oraz poufności przetwarzania danych osobowych.

Integralność przetwarzania danych osobowych stanowi atrybut bezpieczeństwa informacji, który ma gwarantować, że przetwarzane dane ulegną wyłącznie autoryzowanej (zgodnie z planem i przeznaczeniem) modyfikacji. Integralność danych polega więc na zachowaniu ich spójności, dokładności i wiarygodności, a także takim ich zabezpieczeniu aby nie zostały dodane, usunięte i zmienione w sposób nieautoryzowany.

Z kolei poufność danych zapewniać ma, że przetwarzane dane będą chronione przed nieuprawnionym dostępem, tj. przed ujawnianiem lub udostępnianiem nieuprawnionym osobom lub innym podmiotom.

Zapewnianie poufności obejmuje wykluczenie dostępu zarówno dla osób spoza organizacji, jak i tych wewnątrz niej. Nie każdy pracownik musi mieć dostęp do wszystkich informacji i danych osobowych – powinna obowiązywać „zasada wiedzy koniecznej”.

Analiza ryzyka a zasada integralności i poufności.

Temat analizy ryzyka przetwarzania danych osobowych w kontekście spełniania wymagań przepisów RODO powinien być rozpatrywany z trzech różnych perspektyw:

  • ryzyko dla praw i wolności osób, których dane dotyczą;

  • ryzyko odpowiedzialności za wywiązywanie się z wymagań przepisów RODO;

  • ryzyko dla ochrony danych osobowych.

Pierwszą grupę stanowią zagrożenia dla praw i wolności (w tym prawa do prywatności) osób, których dane dotyczą, np. zagrożenia związane z profilowaniem osób, brakiem realizacji prawa do usunięcia danych  lub wycofania zgody na przetwarzanie, czy niespełnieniem obowiązku informacyjnego.

Drugi obszar obejmuje ryzyko konsekwencji braku realizacji lub błędnego wywiązywania się z obowiązków określonych w przepisach RODO. Na poziom ryzyka w tym przypadku będzie miał wpływ przede wszystkim stopień naruszeń wymagań określonych w przepisach RODO oraz ich potencjalny wpływ na osoby, których dane dotyczą.

Wreszcie trzeci obszar – ryzyko dla bezpieczeństwa danych, które może być zarządzane w oparciu o funkcjonujące standardy, np. normę PN-EN ISO/IEC 27005. W tym obszarze znajdują się ryzyka dotyczące atrybutów bezpieczeństwa informacji w tym poufności i integralności. Przykładami zagrożeń w tym obszarze są: ujawnienie danych w wyniku wysłania danych na błędny adres odbiorcy (utrata poufności) oraz dokonanie zmiany hasła dostępu do konta użytkownika bez jego wiedzy i zgody (utrata integralności).

Jak zapewnić przestrzeganie zasady poufności i integralności?

Trudno w tym krótkim artykule wymienić wszystkie możliwe środki służące zapewnieniu bezpieczeństwa informacji. W dbaniu o poufność i integralność na pewno kluczowe będą systemy kontroli dostępu. Zarówno w obszarze bezpieczeństwa fizycznego, jak i teleinformatycznego. Dodatkowo konieczne jest opracowanie odpowiednich procedur przechowywania (dla zapewnienia integralności) i przekazywania (zapewniające poufność) danych osobowych, wspieranych odpowiednimi środkami technicznymi.

Zdolność do ciągłego zapewnienia poufności i integralności, a tym samym zgodność z zasadą „integralność i poufność” może zostać osiągnięta tylko poprzez ciągłe doskonalenie systemu ochrony danych osobowych.

Regularne audyty zapewnią wykrywanie podatności i obszarów wymagających ulepszeń, a dzięki testowaniu stosowanych środków ochrony sprawdzona zostanie ich skuteczność lub mogą zostać wykryte nowe bezpieczeństwa, w tym krytyczne błędy konfiguracyjne.

Ciągła potrzeba uszczelniania systemu ochrony wynika ze zmian zachodzących zarówno wewnątrz organizacji (wdrażanie nowych usług, stosowanie nowych technologii etc.) jak i po za nią (powstawanie nowych technik ataków, które mogą zostać wykorzystane przez cyberprzestępców).

W tym miejscu pragniemy przypomnieć i zachęcić do (ponownej) lektury Vademecum ABI cz. 2, w którym temat zapewnienia bezpieczeństwa danych osobowych został przeanalizowany dogłębnie z punktu widzenia wymagań RODO w odniesieniu do standardów wskazanych w normach ISO z serii 27000. Warto także przypomnieć sobie jak wymagania dotyczące bezpieczeństwa danych ujęte były w przepisach obowiązujących przed RODO.

komentarze 2

  • Renata 24 września, 2021

    Szczególnie udana definicja integralności, bez tego drażniącego przykładu z dopisywaniem liter przez pracownika.

    Odpowiedz

    • Marcin Soczko 27 września, 2021

      Dziękujemy za miłą opinię 🙂

      Odpowiedz

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.

Ustawienia Prywatności

Zdecyduj, które ciasteczka chcesz włączyć Możesz zmienić ustawienia w dowolnym momencie. Pamiętaj, że ograniczenie ciasteczek może zablokować korzystanie z niektórych funkcji. Aby uzyskać informacje na temat usuwania plików cookie, skorzystaj z funkcji pomocy w swojej przeglądarce. Dowiedz się więcej o używanych przez nas plikach cookie.

Wyrażając zgodę na wykorzystywanie plików cookies w celach analitycznych musisz mieć świadomość, że informacje dot. Twoich sesji przeglądania (np. czas spędzony na odwiedzonych podstronach) oraz identyfikatory usługi Google Analytics będą przekazywane na serwery Google znajdujące się w USA. W związku z brakiem zastosowania przez Google stosownych zabezpieczeń w/w dane mogą zostać udostępnione służbom USA na ich żądanie.

Za pomocą suwaka można włączać i wyłączać różne typy plików ciasteczek:

Ta strona będzie:

  • Zasadnicze: zapamiętaj ustawienie uprawnień do plików cookie
  • Zasadnicze: zezwalaj na pliki cookie sesji
  • Niezbędne: zbieraj informacje, które wprowadzasz do formularza kontaktowego, biuletynu i innych formularzy na wszystkich stronach

Ta strona internetowa nie będzie:

  • Funkcjonalność: zapamiętaj ustawienia mediów społecznościowych
  • Funkcjonalność: zapamiętaj wybrany region i kraj
  • Analytics: śledź odwiedzane strony i podejmowane interakcje
  • Analytics: śledź swoją lokalizację i region w oparciu o Twój numer IP
  • Analytics: śledź czas spędzony na każdej stronie
  • Analytics: zwiększ jakość danych funkcji statystycznych
  • Reklama: dostosuj informacje i reklamy do swoich zainteresowań na podstawie np. treści, którą odwiedziłeś wcześniej

Ta strona będzie:

  • Zasadnicze: zapamiętaj ustawienie uprawnień do plików cookie
  • Zasadnicze: zezwalaj na pliki cookie sesji
  • Niezbędne: zbieraj informacje, które wprowadzasz do formularza kontaktowego, biuletynu i innych formularzy na wszystkich stronach
  • Zasadnicze: Zapamiętaj wybraną wersję językową
  • Funkcjonalność: zapamiętaj ustawienia mediów społecznościowych
  • Funkcjonalność: zapamiętaj wybrany region i kraj

Ta strona internetowa nie będzie:

  • Analytics: śledź odwiedzane strony i podejmowane interakcje
  • Analytics: śledź swoją lokalizację i region w oparciu o Twój numer IP
  • Analytics: śledź czas spędzony na każdej stronie
  • Analytics: zwiększ jakość danych funkcji statystycznych
  • Reklama: dostosuj informacje i reklamy do swoich zainteresowań na podstawie np. treści, którą odwiedziłeś wcześniej

Ta strona będzie:

  • Zasadnicze: zapamiętaj ustawienie uprawnień do plików cookie
  • Zasadnicze: zezwalaj na pliki cookie sesji
  • Niezbędne: zbieraj informacje, które wprowadzasz do formularza kontaktowego, biuletynu i innych formularzy na wszystkich stronach
  • Funkcjonalność: zapamiętaj ustawienia mediów społecznościowych
  • Funkcjonalność: zapamiętaj wybrany region i kraj
  • Analytics: śledź odwiedzane strony i podejmowane interakcje
  • Analytics: śledź swoją lokalizację i region w oparciu o Twój numer IP
  • Analytics: śledź czas spędzony na każdej stronie
  • Analytics: zwiększ jakość danych funkcji statystycznych

Ta strona internetowa nie będzie:

  • Zapamiętaj swoje dane logowania
  • Reklama: wykorzystuj informacje do dostosowanej reklamy ze stronami trzecimi
  • Reklama: pozwalaj łączyć się z serwisami społecznościowymi
  • Reklama: zidentyfikuj urządzenie, z którego korzystasz

Ta strona będzie:

  • Zasadnicze: zapamiętaj ustawienie uprawnień do plików cookie
  • Zasadnicze: zezwalaj na pliki cookie sesji
  • Niezbędne: zbieraj informacje, które wprowadzasz do formularza kontaktowego, biuletynu i innych formularzy na wszystkich stronach
  • Zasadnicze: zapamiętaj wybraną wersję językową
  • Funkcjonalność: zapamiętaj ustawienia mediów społecznościowych
  • Funkcjonalność: zapamiętaj wybrany region i kraj
  • Analytics: śledź odwiedzane strony i podejmowane interakcje
  • Analytics: śledź swoją lokalizację i region w oparciu o Twój numer IP
  • Analytics: śledź czas spędzony na każdej stronie
  • Analytics: zwiększ jakość danych funkcji statystycznych
  • Reklama: wykorzystuj informacje do dostosowanej reklamy ze stronami trzecimi
  • Reklama: pozwalaj łączyć się z serwisami społecznościowymi
  • Reklama: identyfikacja urządzenia, z którego korzystasz

Ta strona internetowa nie będzie:

  • Zapamiętaj dane logowania
Zapisz i zamknij