Jak sprostać GDPR/RODO? Dostosowanie organizacji do zarządzania danymi osobowymi

gdpr euro

RODO czyli Rozporządzenie o Ochronie Danych Osobowych (ang. General Data Protection Regulation) to uchwalona 27 kwietnia 2016 r. licząca 99 artykułów regulacja unijna stawiająca nowe wymagania wobec systemów IT. „Nowe wymagania” to w tym wypadku oczywiście eufemizm. Dla ich spełnienia wszystkie systemy informatyczne i procesy biznesowe przetwarzające dane osobowe będą musiały zostać poddane istotnym zmianom, nieprzewidzianym w momencie powstawania systemów IT, czy budowania modelu biznesowego. Dostosowanie będzie czaso- i kosztochłonne. Na szczęście legislatorzy określili czas wejścia przepisów w życie na 25 maja 2018. To niestety już niedługo, zostało mniej niż rok. Badania sugerują wręcz, że większość podmiotów podlegających regulacjom RODO jeszcze nie podjęła prac dostosowawczych. Zatem zegar tyka. Co można zrobić? Jak ograniczyć koszty? Jak przekuć konieczność w mocną stronę organizacji? Na te pytania postaramy się udzielić odpowiedzi w tym artykule.

Najistotniejsze regulacje

Zagadnienie ochrony danych osobowych jest już nam znane w postaci pozycji Administratora Bezpieczeństwa Informacji. Dotkliwe wycieki danych często dotyczące dziesiątek czy setek tysięcy osób sprawiły, że uznano, iż ochrona danych nie jest wystarczająco skuteczna. W świecie cyfrowej gospodarki, którą stymulować ma m.in. dyrektywa w sprawie usług płatniczych w ramach rynku wewnętrznego (PSD2) sytuacja komplikuje się dodatkowo.

W tym nowym wspaniałym świecie cyfrowym ma od teraz obowiązywać następujących 6 zasad głównych (art. 5):

  • zgodność z prawem, rzetelność i przejrzystość
  • ograniczenie celu – novum
  • minimalizacja danych – novum
  • prawidłowość
  • ograniczenie przechowywania – novum
  • integralność i poufność

Regulacja dotyczyć będzie wszelkich organizacji w tym świadczących darmowe usługi z dowolnego miejsca na ziemi, o ile przetwarzają dane osobowe obywateli Unii Europejskiej. Firmy amerykańskie już kalkulują koszty regulacji.

Aby zapewnić realizację tych zasad rozporządzenie wprowadza następujące rozwiązania szczegółowe:

Art. 35. Ocena skutków dla ochrony danych. Dla szczególnych kategorii przetwarzania: automatycznego, wielkoskalowego w tym dla profilowania osób fizycznych rodzącego skutki dotyczące ich statusu niezbędne jest wykonanie oceny skutków dla ochrony danych; ocena opiera się na analizie ryzyka (art. 39).

Art. 7(2). Zgoda na przetwarzanie wymaga jasnego określenia zakresu zgody oraz możliwości wycofania zgody.

Art. 17. Prawo do usunięcia (prawo do bycia zapomnianym) przysługuje, po zakończeniu okresu niezbędnego dla celu przetwarzania, a także kiedy dane były przetwarzane bezprawnie .

Art. 25. Projektowanie systemów informatycznych musi uwzględniać przestrzeganie zasad ochrony danych (data protection by design) w postaci np. pseudonimizacji/minimalizacji oraz domyślnej ochrony (ograniczenie dostępu do danych do minmum osób niezbędnych dla realizacji celu przetwarzania).

Art. 30. Rejestracja czynności przetwarzania danych

Art. 32. Bezpieczeństwo przetwarzania obejmuje stosownie do oceny ryzyka: pseudonimizację, szyfrowanie, integralność, dostępność, trwałość i odtwarzalność.

Art. 33-34. Powiadamianie organów nadzorczych o naruszeniu zasad przetwarzania danych (w ciągu 72 godzin od odkrycia) jest niezbędne w każdym wypadku, gdy w grę wchodzi ryzyko naruszenia praw i wolności osoby fizycznej. Podobnie niezbędne jest powiadomienie osoby fizycznej, której dane osobowe zostały przetwarzane niezgodnie z regulacją o ile ryzyko dla jej praw i wolności jest wysokie.

Wyzwania

Optymalizacja czasu wdrożenia
Głównym wyzwaniem jest niedługi czas pozostały do wdrożenia (w dniu publikacji 315 dni)

Możliwe zmiany w interpretacji przepisów szczegółowych
Wiele zapisów wymagać będzie jeszcze wykładni, co do szczegółowego rozumienia poszczególnych zapisów. Ewentualne rozwiązanie musi uwzględniać to ryzyko i zapewniać elastyczność.

Inwentaryzacja wszystkich zbiorów danych osobowych i sposobu ich przetwarzania i przekazywania
W większych organizacjach, szczególnie tych budowanych przez wiele lat i posiadających oddziały terenowe i departamenty o dużej samodzielności posiada często kilkaset różnych systemów informatycznych i zbiorów danych papierowych. Ich właściwe rozpoznanie może być pracochłonne. Identyfikacja danych powielanych była już wcześniej elementem projektów Master Data Management. Biorąc pod uwagę fakt, że w większości przypadków projekty te nie zostały skutecznie ukończone, wyzwanie w nowej formie powraca.

Modyfikacja sprawdzonych procesów biznesowych i dokumentów
Przedsiębiorstwa wypracowały, czasem kosztem wielu lat ciągłego doskonalenia, swoje procesy biznesowe obsługi klientów budując z nich swój wyróżnik konkurencyjny. Teraz czas na ich ponowne przejrzenie i weryfikację w celu dostosowania do regulacji. Minimalizacja danych, szczególne regulacje dotyczące profilowania osób, bezpieczne przekazywanie danych są tu kluczowymi problemami.

Optymalizacja kosztu modyfikacji systemów informatycznych (nowe technologie)
Systemy informatyczne z punktu widzenia możliwości dostosowania do regulacji dzielą się grubsza na 3 grupy:

  • już zgodne (lub będące w trakcie dostosowywania przez producenta w ramach aktualizacji) lub potencjalnie zgodne np. po dostosowaniu mechanizmów już posiadanych (logowanie itp.),
  • łatwo modyfikowalne (poprzez drobne prace kastomizacyjne),
  • wymagające dużych nakładów dla modyfikacji.

Poziom trudności zależy w dużej mierze od technologii i architektury.
Rozwiązania umożliwiające ograniczenie zmian poprzez przeniesienie rejestracji przetwarzania danych poza systemy objęte wdrożeniem zapewniłoby większą kontrolę nad kosztami dostosowania.

Uzupełnienie funkcjonalności systemów informatycznych typu legacy
Wiele systemów informatycznych pracuje nadal mimo, że okres gwarancji i wsparcia pogwarancyjnego już minął, producent już nie istnieje lub utracił kompetencje. Jakakolwiek modyfikacja takiego systemu może być bardzo kosztowna lub wprost niemożliwa. Rozwiązanie umożliwiające uniknięcie modyfikacji takich systemów byłaby bardzo wskazana.

Trójkąt założeń

  • Ograniczenie czasu oczekiwania na korzyść
  • Ograniczenie kosztów
  • Ograniczenie ryzyka operacyjnego

Model

Rozwiązanie zapewniające dostosowanie systemów informatycyjnych i procesów biznesowych musi zaadresować minimalny model koncepcyjny danych. Węzłem centralnym modelu jest jednostkowy cel przetwarzania, na który wyraził zgodę podmiot (osoba fizyczna), wszystko w kontekście procesu biznesowego, wymaganych przez niego danych oraz ludzi w nim uczestniczących. Proces musi zapewniać minimalizację ekspozycji danych osobowych poprzez: ograniczenie danych do niezbędnego minimum oraz ograniczenie liczby osób je przetwarzających.

GDPR

Proces wdrożenia

GDPR

Elementy rozwiązania

Elementy rozwiązania

Elementy rozwiązania

Wykorzystanie analizy danych maszynowych i technik data science
Największe obowiązki wynikające z regulacji spoczywać będą na organizacjach przetwarzających tysiące i miliony rekordów danych osobowych. Zapewnienie compliance wymaga zastosowania technik analizy masowych danych maszynowych. Otwarte platformy analityczne oferują tu największe korzyści zapewniając elastyczność – z jednej strony wobec często dość złożonej topografii danych w organizacji, z drugiej wobec potencjalnych zmian w interpretacji przepisów.

Minimalizacja zakresu modyfikacji w zastanych systemach informacyjnych
Elementem rozwiązania proponowanego przez Linux Polska jest maksymalizacja wykorzystania danych powstających w trakcie przetwarzania danych bez ingerencji w struktury danych i procesy systemów poddanych kontroli. Wykorzystywane są w tym celu techniki analizy danych maszynowych z wykorzystaniem monitoringu wywołań, ew. wzbogacania reaktywności systemów poprzez drobne uzupełnienia kodu – w zależności od architektury i technologii systemów.

Kokpit zgodności
Istotnym elementem dla Inspektora Danych Osobowych i innych odpowiedzialnych osób jest możliwość szybkiego wglądu w stan zgodności z regulacją. Bieżąca reewaluacja ryzyka na podstawie danych z kokpitu to istotna wartość dodana rozwiązania.

Raporty niezgodności
Raporty niezgodności to element niezbędny dla komunikacji wewnętrznej – w celu rozpoznania „gorących punktów” w procesach biznesowych, gdzie najczęściej dochodzi do incydentów przeciwko regulacjom i w dalszym etapie ich analizy. Z drugiej strony jest to materiał podstawowy dla współpracy z organami nadzoru nad realizacją Rozporządzenia.

Alarmy niezgodności
W określonych przypadkach wymagających natychmiastowej reakcji osoby odpowiedzialne za ochronę danych otrzymają komunikat niezwłocznie po wystąpieniu zdarzenia/zdarzeń wskazujących na prawdopodobieństwo wykroczenie przeciwko rozporządzeniu.

Analiza incydentów
Na postawie raportów oraz danych uzupełniających możliwe jest ustalenia przyczyn incydentu techniką analizy przyczyn źródłowych (RCA). Dla pogłębienia analizy punkty w procesach biznesowych i wspieracjących je systemach, gdzie zidentyfikowano przyczyny incydentów poddane zostaną analizie typów błędów oraz ich skutków (FMEA). Analiza ta poprzez podejście oparte na ryzyku wskaże na kluczowe elementy poprawy procesów. Elementem niezbędnym analizy jest też decyzja, co do konieczności podjęcia kroków związanych z powiadomieniem organów nadzorczych oraz osoby fizycznej, której dane dotyczą.

Powiązanie z SIEM
Wyciek danych osobowych, bądź też inne działania naruszające przepisy rozporządzenia stanowią element szeroko pojętego bezpieczeństwa informatycznego. Naturalną konsekwencją jest powiązanie rozwiązania wspomagającego GDPR z systemami SIEM.
Rozwiązanie oferowane przez Linux Polska oferuje taką integrację.

Więcej szczegółów na temat rozwiązań informatycznych wspierających GDPR w następnych artykułach.

Tags

top