Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
GDPR – nowa regulacja o ochronie danych osobowych – o co chodzi?
Zaczynamy kilkuczęściowy cykl na sekuraku dotyczący nowych europejskich wymogów dotyczących danych osobowych (GDPR). Tym razem stawka jest spora bo maksymalne kary za złamanie GDPR zostały ustalone na dziesiątki milionów euro (czy nawet więcej). Czas do wdrożenia nowych wymogów w swojej firmie: maj 2018r.
Z cyklu artykułów dowiesz się:
- Czym jest regulacja GDPR
- Zrozumieć najistotniejsze definicje powiązane z regulacją
- Poznać najważniejsze wyzwania jakie czekają przetwarzających dane osobowe po wejściu w życie regulacji
Wielojęzykową treść regulacji można znaleźć na stronach Eur-Lex: http://eur-lex.europa.eu/eli/reg/2016/679/oj
Regulacja ta ma obowiązywać formalnie wszelkie podmioty przetwarzające, przechowujące oraz przesyłające informacje uznane za spełniające kryteria danych osobowych od dnia 25 maja 2018r. W związku z powyższym, podmioty objęte zakresem obowiązywania nowego prawa europejskiego mają obecnie nieco ponad rok na dostosowanie się do jego wymagań.
Warto także nadmienić, iż GDPR ma charakter regulacji, co w praktyce oznacza, odmiennie od dyrektyw unijnych, że kraje członkowskie EU nie muszą tworzyć własnego prawa w tym obszarze; aczkolwiek członkowie „Europejskiego Obszaru Gospodarczego” EEU (and. The European Economic Area) będą zobligowani do jednolitego dostosowania swoich lokalnych regulacji celem wypełniania postanowień i wymagań prezentowanych przez GDPR.
Regulacja ta pozostawia przestrzeń do wdrożenie spójnych przepisów lokalnych, które muszą zachowywać pełną spójność z GDPR. Bazując na informacjach, jakie można znaleźć na stronach Ministerstwa Cyfryzacji, prowadzone są obecnie prace i konsultacje nad wdrożeniem do „krajowej przestrzeni prawnej” wymagań prezentowanych przez regulacje GDPR. Niesyty nie ma na chwilę obecną dostępnych konkretnych informacji jakie przepisy ulegną zmianie i kiedy zostaną zaprezentowane.
Postawą do powstania ujednoliconej regulacji unijnej jest zaobserwowana w ostatnich latach coraz częstsza konieczność wymiany informacji o charakterze danych personalnych pomiędzy krajami Unii Europejskiej, a także poza nią. Dodatkowo niebagatelnego znaczenia nabiera fakt, iż dane personalne są coraz częściej gromadzone zarówno przez podmioty publiczne jak i prywatne. Cele gromadzenia tego rodzaju informacji są skrajnie różne, od konieczności wypełnienia wymagań prawnych, do szeroko zakrojonego profilowania preferencji konsumenckich. Wszystko to sprawia zauważalną konieczność wdrożenia stosownych regulacji prawnych nadążających za postępem technologicznym w dziedzinie teleinformatyki.
Definicja danych osobowych – „key to the kingdom”
Jako dane osobowe rozumiemy wszystkie informacje które mogą posłużyć do bezpośredniego lub pośredniego zidentyfikowania danej osoby. W świetle zmian wniesionych przez GDPR, także informacje dotyczące: identyfikatora sieciowego, adresu IP, czy też zmiennych przechowywanych w formie ciasteczek (ang. „cookies”), zostały uznane również jako dane osobowe.
Definicję rozszerzają także: informacje powiązane z wizerunkiem (tj. zdjęcia), numery telefonów, metadane profilujące zachowania i preferencje użytkowników, a także dane lokalizacyjne – pozwalające określić miejsce przebywania danej osoby lub śledzić jej przemieszczanie.
Należy także pamiętać o konieczności ochrony szczegółowych informacji powiązanych z daną osobą, zwłaszcza wówczas, gdy zawierają one informacje uznane w przez GDPR za tzw. „dane wrażliwe” tj: informacje dotyczące stanu zdrowia, przekonań politycznych, religijnych i światopoglądowych, orientacji seksualnej, ujawniające pochodzenie rasowe lub etniczne, przynależność do związków zawodowych, dane genetyczne, dane biometryczne wykorzystywane do jednoznacznego zidentyfikowania osoby fizycznej.
W świetle GDPR aspekty powiązane z definicjami „danych osobowych” i „wrażliwych danych osobowych” ulegają pewnemu doprecyzowaniu (Art.9). Zrozumienie, czasami bardzo „subtelnych” różnic, pomiędzy tymi dwoma kategoriami danych może mieć kluczowe znaczenie i wpłynąć na dobór stosowanych środków zabezpieczających.
Bazując na doświadczeniach pracy ze zbiorami danych osobowych można powiedzieć wprost, zdefiniowanie kryteriów klasyfikacji informacji oraz doprecyzowanie konkretnego ich charakteru nie jest rzeczą prostą. Stąd konieczność przeprowadzenia prac przeglądowych w systemach przetwarzania i danych osobowych w świetle wymagań nowej regulacji. Dane osobowe, niejednokrotnie rozproszone i nieskonsolidowane, w myśl nowej regulacji muszą nabrać charakteru zbiorów uporządkowanych. Administratorzy takich zbiorów muszą posiadać możliwość ich jednoznacznej lokalizacji, wglądu, dokonywania modyfikacji, wykonywania transferów oraz, co ważne, możliwość bezpowrotnego usuwania wskazanych danych osobowych – co w szczegółach definiuje tzw. prawo do „bycia zapomnianym” (o czym w dalszej części cyklu). Wszystko to w heterogenicznym środowisku współczesnych technologii teleinformatycznych (tj. rozwiązania chmurowe orz „BigData”) może stać się ogromnym wyzwaniem dla osób odpowiedzialnych za zbiory danych osobowych. Wprowadzenie stosownych zmian proceduralnych i technologicznych, pozwalających nadążyć za wymaganiami GDPR, może także pociągać za sobą konieczność znaczących inwestycji oraz zaangażowania znaczących zasobów ludzkich.
Jaka jest moja rola w ochronie danych osobowych? – Who Am I ? – „Administrator” vs. „Przetwarzający”
Regulacja GDPR definiuje dwie podstawowe role w zakresie przetwarzania i ochrony informacji o charakterze danych osobowych, są nimi: Administrator danych (ang. Data controler) oraz Podmiot przetwarzający (ang. Data processor).
Administrator danych definiowany jest jako podmiot odpowiedzialny (rozliczany) w świetle prawa za przetwarzanie, przechowywanie, przesyłanie powierzonych mu danych osobowych. Podmiot przetwarzający natomiast może zostać powołany przez administratora danych do wykonywania funkcji w zakresie operacji na danych osobowych będących w gestii administratora. Istotne jest to, iż GDPR w jasny sposób wskazuje potrzebę formalnego określenia odpowiedzialności po stronie przetwarzającego przez administratora danych osobowych, który takie przetwarzanie zleca. Dodatkowo w myśl artykułu 81 GDPR, „administrator danych” jest zobligowany do stosownego („dostarczającego wystraczające gwarancje bezpieczeństwa”) doboru „przetwarzających dane”.
Post.Ogólne.81: Aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania….
Dodatkowo zlecenie przetwarzania powinno być regulowane stosowną umową.
Post.Ogólne.81: „Przetwarzanie przez podmiot przetwarzający powinno być regulowane umową lub innym instrumentem prawnym, które podlegają prawu Unii lub prawu państwa członkowskiego, wiążą podmiot przetwarzający z administratorem, określają przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą, oraz które powinny uwzględniać konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą….
Bazując na powyższym, w niezaprzeczalnym interesie administratora danych, będzie zadbanie o posiadanie odpowiednich regulacji formalnych (zweryfikowanych od strony techniczno-proceduralnej jak i prawnej) w zakresie granic systemów przetwarzania danych osobowych. W przypadku stwierdzenia nieprawidłowości lub wykrycia potencjalnego naruszenia, tylko na bazie prawidłowo skonstruowanej umowy administrator będzie mógł dochodzić swoich praw, jak również udowodnić, że dopełnił „należytej staranności” w zakresie swych obowiązków. Pamiętajmy, jak istotne jest to w kontekście wysokich kar.
Z praktycznego punktu widzenia ważne będzie zobligowanie przetwarzających informacje do posiadania odpowiednio usystematyzowanego podejścia do ochrony informacji, w sposób kompleksowy adresującego wszystkie możliwe obszary występowania ryzyka. Jednym z najbardziej popularnych, a jednoczenie skutecznych rozwiązań, jest wdrożenie „Systemu Zarządzania Bezpieczeństwem Informacji” opartego na standardzie ISO27001.
Pamiętać należy, że system taki powinien zostać poddany odpowiedniemu monitorowaniu, celem zachowania jego wysokiej skuteczności. Monitorowanie to może opierać się na „audytach drugiej strony”, podczas których to administrator danych audytuje przetwarzającego (oczywiście na mocy ustaleń stosownej umowy), lub na zewnętrznym poświadczeniu np. przez niezależne centrum certyfikacji. Praktyka operacyjna wskazuje, iż powinniśmy skłaniać się raczej ku pierwszemu ze wskazanych rozwiązań lub rozwiązań łączonych, gdzie bazujemy na zewnętrznym potwierdzeniu lecz wciąż rezerwujemy sobie bezpośrednie prawo do cyklicznej kontroli zgodności. Działanie takie ma na celu uniknięcie tzw. „papierowej zgodności” gdzie teoretycznie system zachowuje kompatybilność z wyznaczonym standardem, lecz w praktyce obserwuje się luki, które mogą skutkować zaistnieniem naruszenia.
Analizę konkretnych wymagań, które narzuca dla nas GDPR, rozpoczynamy w drugiej części tekstu.
–Maciej Pokorniecki.
Fajnie, że wzieliście ten temat na tapetę. Jest teraz mocno na topie w wielu firmach (a w wielu dopiero będzie, jak się zorientują- swoją drogą przy tego typu radykalnych zmianach prawa dotykającego większości podmiotów gospodarczych rząd powinien prowadzić jakieś działania a’la marketingowe).
Ciekawe byłoby Wasze spojrzenie na temat przetwarzania danych osobowych pracowników. Najczęściej w dyskusjach o przetwarzaniu danych osobowych koncentrujemy się na ochronie danych klientów (co ma oczywiście swoje uzasadnienie), ale często widać firmy, które w zakresie ochrony danych klientów są OK, a dane pracowników pozostawiają nie chronionymi.
Taki najprostszy case: Załóżmy, że mam w firmie AD. Otwieram biuro w Chinach. Stawiam tam kontroler domeny, żeby użytkownicy nie musieli się uwierzytelniać z kontrolerem w Polsce. A zatem dane osobowe pracowników (przecież nie tylko chińskiego OU, a cała struktura) są przesyłane do Chin. I tam przetwarzane. Muszę podpisywać umowę ze spółką córką w Chinach? Albo wdrażam firmowego „fejsbuka” który ma serwery w USA.
Dane kadrowe w Polsce trzyma się zdaje się 50 lat. Ale nie oznacza to przecież, że mogę trzymać tyle dane osobowe pracownika w innych systemach. Czy w takim razie ex pracownik ma prawo do bycia „zapomnianym”? Może zawnioskować o usunięcie swoich danych? Jeśli zostawię dane takiej osoby na wewnętrznej stronie www zawierającej spis telefonów, to łamię prawo?
Spoko, jak masz (macie) jakieś uwagi / prośby to plz o komentarze. Zamierzamy przygotować jeszcze kilka tekstów w temacie :)
Witam bardzo cenne obszary Poruszyłeś:
1. W GDPR nie udało mi się doszukać jasnego wskazania, że dane pracowników nie są nim objęte. Generalnie mówi się to o danych osób fizycznych – no a pracownik pracujący w standardowym modelu umowy o pracę czy umowy cywilno-prawnej taką „osobą” jest – postaram się zgłębić ten temat – dzięki za wskazówkę :-).
2. W odniesieniu do kasowania danych pracowników, czy też innych danych których dostępność w konkretnym przedziale czasu jest wymagana innymi regulacjami i przepisami zakładam że „prawo do bycia zapomnianym” nie obowiązuje – gdyż „Artykuł 17 Par. 3b” zwalnia z konieczności usunięcia danych gdy ich posiadanie jest niezbędne między innymi : „do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”. Tutaj pytaniem jest to czy posiadanie takiego spisu telefonów o którym Wspominasz jest argumentowane przez jakiś wymóg prawny.
3. GDPR nakazuje, aby kraj docelowy gdzie będą przetwarzane dane osobowe pozwalał na egzekwowanie zaleceń GDPR i to administrator będzie za to odpowiedzialny. Także jeśli będziemy chcieli przetransferować informację do kraju gdzie np. nie da się wdrożyć zabezpieczeń kryptograficznych które formalnie wymagamy – (bo rząd nie pozwala), będzie to niewywiązanie się tego wymagania.
4. Dodatkowo dochodzą wymagania i limitacje związane z „exportem” danych, może być tak, że jako swoisty akt wykonawczy do GDPR zostanie powołany dokument limitujący transfer danych osobowych do konkretnych krajów, a do innych będzie on regulowany przez dodatkowe zestawy wymagań. Takim przykładem może być „EU-US Privacy Shield”: http://europa.eu/rapid/press-release_IP-16-216_en.htm cyt: “The new EU-US Privacy Shield will protect the fundamental rights of Europeans when their personal data is transferred to U.S. companies. For the first time ever, the United States has given the EU binding assurances that the access of public authorities for national security purposes will be subject to clear limitations, safeguards and oversight mechanisms.”
Temat transferów nie jest łatwy, postaramy się też do niego odnieść w dalszych częściach cyklu.
„Warto także nadmienić, iż GDPR ma charakter regulacji, co w praktyce oznacza, odmiennie od dyrektyw unijnych, że kraje członkowskie EU nie muszą tworzyć własnego prawa w tym obszarze;” – „regulation” jest tłumaczone na język polski (dość niefortunnie) jako „rozporządzenie”, regulacją byłby każdy akt prawa unijnego :)
Fajne, ale – IMO – na razie mało praktycznie. Jeśli którymś artykule w tym cyklu będą realne kejsy, byłoby naprawdę super.
Ta pierwsza część powyżej to zajawka, masz linka też do drugiej części (bardziej praktycznej) na końcu tekstu. Kolejne części będą szły w praktykę :)
Czekam cierpliwie. Jakieś FAQ przewidziane?
„wnioskowanie o usunięcie swoich danych” – fajnie brzmi, ale jak to będzie realizowane w praktyce?
Podywagujmy więc:
mamy dane osobowe, które są przetwarzane, przesyłane, składowane i backupowane – to ostatnie właśnie budzi mój niepokój. Bo dane mogą być archiwizowane na wiele sposobów (np. nadal używa się taśm i streamerów).
Jeśli ktoś zawnioskuje o usunięcie tych danych, to dane te powinny być zamazane albo przynajmniej zanonimizowane także na tych taśmach i na wszelakich innych kopiach. Znacie kogoś kto tak robił? Ja nie…
Co z kopiami na dyskach optycznych? Wiem że to mało profesjonalne ale ludzie też tak robią backupy.
Jest problem, bo dane jednego delikwenta są do zamazania ale dysk ma już zamkniętą sesję i nie można go ruszyć. Zostaje skopiować dane z niego, usunąć te które są do usunięcia i nagrać nowy. Już widzę jak admin pali takie płytki…
Czyli mamy przepis który bardzo trudno będzie wyegzekwować w praktyce!
No jeden z banków zdaje się został zmuszony przez sąd do takiego kasowania danych w archiwach. W praktyce oznacza to moim zdaniem, że systemy przetwarzające DO należy projektować w taki sposób, aby umożliwić realizację tego wymogu. Czyli będą baaaaardzo kosztowne w utrzymaniu. W dodatku nie jest możliwe w miarę sensowne dostosowanie obecnie używanych systemów i procesów. Nowi gracze będą z tym OK, istniejące firmy dostaną po du*ie.
A jak to zrealizować w systemach typu big data, logach, bazach o nieustrukturyzowanych danych, itd.? Na gruncie obecnych przepisów możnaby machnąć ręką na takie wymagania i w razie czego wziąć na klatę karę. Ale jak kara może wynieść kilka procent globalnego przychodu, albo kilka mln euro (pierwsze dotkliwe dla większych, drugie dla mniejszych), to już takie ryzyko jest nie do zaakceptowania. A jak jeszcze ktoś mądry inaczej uznał, że dane typu IP należy traktować jako DO, to już w ogóle.
W takich przypadkach, półśrodkiem jest zrobienie szyfrowanego backupu. Pół biedy jeśli 1 plik = 1 dana osobowa, wtedy jako „zamazanie” danych można by uważać zamazanie hasła/klucza trzymanego w osobnym pojedynczym archiwum. Ale to przypadek mało prawdopodobny.
Częściej spotykamy całe bazy danych. W tym przypadku jest to już dodatkowa praca, bo trzeba by szyfrować każdą krotkę w tabeli osobno. Stare bazy danych, niechronione w ten sposób, trzeba by teraz przebudować i dodać do nich szyfrowanie. Już to widzę jak stare kilku-kilkunastoletnie bazy są przebudowywane… Kto za to zapłaci? Czarno to widzę!
Czy nie macie wrażenia, że te nowe regulacje nakładają obowiązki praktycznie nie do spełnienia dla małej, jednoosobowej firmy, która np. prowadzi sklep internetowy na sofcie FLOSS, postawiony na serwerze w swojej firmie, nie zatrudnia na stałe żadnych ludzi od IT, nie dzieli się z nikim DO swoich klientów ? A jednocześnie „wielcy” (google,FB,itp), którzy zasysają od ludzi wszystko co się da (wprost przez własne usługi i pośrednio przez wtyczki na obcych stronach) profilują ludzi, sprzedają to dalej, oni będą w zasadzie nie do ruszenia.
Mamy. Dlatego nie odpuścimy i w miarę możliwości, będziemy nękać MC w sprawie projektu ustawy.
Dokładnie tylko dobrze przygotowany grunt prawny pod GDPR daje szansę na doprecyzowanie ogólników jakich jest dość sporo w treści tej regulacji.
BTW: MC organizuje 3 lutego spotkanie w sprawie konsultacji z przedsiębiorcami na temat GDPR. Tutaj trochę szczegółów: https://mc.gov.pl/aktualnosci/zaproszenie-dla-przedsiebiorcow-spotkanie-dotyczace-reformy-prawa-ochrony-danych
Może uda się komuś z Was dostać na nie, piszą o bardzo ograniczonej liczbie miejsc: „pierwsze 60 zgłoszonych osób”.
Jeśli ktoś dostąpił by przyjemności uczestnictwa w tym spotkaniu będziemy wdzięczni za podzielenie się obserwacjami.
A może zwrócić się o dodatkowe konsultacje z uwagi na ograniczoną liczbę miejsc, zasugerować większą grupę lub inną akcję polegającą na zebraniu konkretnych zapytań, zagadnień i w oparciu o nie organizować kolejne spotkania? 60 osób to dość skromnie, zważywszy także miejsce spotkania…
o ile się orientuje to jest dla firm >250 osób
http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&qid=1485967322577&from=en
pkt (13)
obowiązek rejestracji faktu przetwarzania, ale nie przestrzeganie całości :)
Też się zastanawiam, w jakim zakresie to ma działać. Kiedy mówimy o przetwarzaniu danych osobowych i kiedy to już są dane osobowe i trzeba się nimi 'troskliwie’ zajmować, a kiedy jeszcze nie? Czy baza danych np kontrahentów, gdzie występują jednoosobowe DG z imienia i nazwiska to już są dane osobowe? Czy korespondencja wymieniana z klientem, który w stopce ma imię i nazwisko + adres i telefon to też przypadkiem nie zbiór danych osobowych, które przetwarzamy w pewien sposób?
Temat niestety szeroki i mało precyzyjnie potraktowany wdg mnie – w sensie prawnym oczywiście.
Dzięki za to pytanie :-)
Jeśli chodzi o dane osób fizycznych prowadzących działalność gospodarczą to można powiedzieć, że jest długa historia… Natomiast, tak jak poniżej, w chwili obecnej zbiory takie są traktowane na równi ze zbiorami osób fizycznych nie prowadzących działalności gospodarczej.
„W wyniku uchylenia z dniem 1 stycznia 2012 r. art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, który wyłączał dane osobowe zawarte w ewidencji działalności gospodarczej spod przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, ochronie przewidzianej w tej ustawie podlegają obecnie dane osób fizycznych bez względu na to czy osoby te prowadzą działalność gospodarczą, czy też nie.”
Podniesiony przez Ciebie problem w kontekście GDPR ma istotne znaczenie bo w treści rekomendacji nie ma rozróżniania osoba prowadząca działalność czy też nie, jest to doskonały przykład obszaru, który musi zostać zdefiniowany w naszej krajowej przestrzeni prawnej.
Co do baz kontrahentów (osób fizycznych), wszelakich danych zawartych w komunikacji itd. Jeśli, i to właśnie jest „języczek uwagi” :-), dane te pozwalają jednoznacznie zidentyfikować daną osobę są danymi osobowymi i podlegają ochronie.
Analizy i dywagacje na temat tego co to znaczy móc kogoś jednoznacznie zidentyfikować były przedmiotem wielu publikacji i rozważań. GDPR wprowadził dużą ilość rozszerzeń typów danych, które mogą służyć identyfikacji, najbardziej „interesujące” są te związane z IP, cookies, danymi wykorzystywanymi do profilowania. Także parametrów jakie należy brać pod uwagę wciąż przybywa :-(…
Pytanie zasadnicze jakie ja widzę, to jak daleko w tych właśnie „niskopoziomowych” (tj. definicja tego co jest daną osobą co nie) obszarach Polski regulator odejdzie od obecnych przepisów ODO. Wydaje mi się, że zmiana będzie polegała na rozszerzeniu obecnych definicji, a nie na ich całkowitej przebudowie.
Przeprowadziłem małą analizę powyższego wątku (w zakresie informacji o osobach fizycznych prowadzących działalność gospodarczą) i chciałem go uściślić/skorygować ponieważ nowelizacja ustawy o ochronie danych osobowych z dna 19 maja 2016r wprowadziła aktualizację, która wyłączyła częściowo zbiór danych CEIDG (Centralnej Ewidencji i Informacji o Działalności Gospodarczej) z zakresu wpływu Ustawy o ochronie danych osobowych. Natomiast nie są to wyłączenia bezwzględne. Polecam zapoznanie się z bardzo ciekawą publikacją w tym temacie:
http://blog-daneosobowe.pl/dane-osobowe-ceidg-nowelizacja-ustawy-o-swobodzie-dzialalnosci-gospodarczej/
Warto nadmienić także, jak wspominałem wcześniej, że GDPR nie wprowadza rozróżnienia w zakresie osób fizycznych prowadzących i nie prowadzących działalności. Zakładam, że obszar ten będzie przedmiotem specyficznych regulacji na poziomie naszego kraju.
Ja się boje jeszcze jednego zjawiska, które już przy dzisiejszych regulacjach zaczyna być niepokojące: z jednej strony przepisy dt. ochrony DO są masowo ignorowane przez najmniejsze firmy (z powodu kosztów, niewiedzy, nadmiernej złożoności itp.) a z drugiej strony rośnie armia firm-trolli, które spamują firmy ostrzeżeniami o (często tylko rzekomo) znalezionych naruszeniach zakończone niedwuznacznymi propozycjami zakupu usług/szkoleń/dokumentacji. Jeżeli dojdzie do takiego absurdu, że samo IP będzie uważane za dane osobowe to liczba potencjalnych celów dla takich trolli urośnie od razu o rząd wielkości.
Udało mi się natrafić na jedną z przymiarek do mapowania wymagań ISO27001 na GDPR:
http://www.iso27001security.com/ISO27k_GDPR_mapping_release_1.docx
Tego rodzaju mapowanie może okazać się niezwykle przydatne, gdyż może posłużyć jako klucz do określenia kierunków implementacji zabezpieczeń, zwłaszcza w organizacjach, które już wykazują jakiś poziom zgodności z ISO27001.
Konkluzja jaka mi się nasuwa po pierwszym przeglądzie tego dokumentu jest taka, że niestety pokazuje on w oczywisty sposób jak ogólnikowe na chwile obecną są zapisy w GDPR, i jak ciężko jest jednoznacznie pokryć je standaryzowanymi domenami zabezpieczeń ISO27. Cieszy jednak bardzo fakt, że już ktoś próbuje się zmierzyć z zadaniem mapowania kontrolek.
Jakie są Wasze opnie w tym temacie? Może ktoś natrafił na inne mapowanie, którym mógłby się podzielić?
Mapowanie jest znośne. Pobieżne, z racji ogólnikowości GDPR – tam, gdzie pojawiały się ogólniki, jest po prostu kontrolka „zgodność z przepisami” :) Natomiast dla zarz. ryzykiem, zdecydowanie odradzałabym odniesienie do kolejnych standardów (ISO 27005/31000). Dobrze sprawdza się w tym obszarze podejście OCTAVE https://resources.sei.cmu.edu/asset_files/TechnicalReport/2007_005_001_14885.pdf, czy też NIST 800-37 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r1.pdf
Polecam też nowy (01/2017) NISTIR 8062 – An Introduction to Privacy Engineering and Risk Management in Federal Systems
http://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8062.pdf
Warto również przejrzeć mniej popularny standard ISO 29100 – Privacy Framework (również wymieniony w wymienionej wyżej publikacji). To tak na dobry poczatek przygotowań do zgodności z GDPR :)
To ktoś je w ogóle chroni ? Po co i jak ?
Czy nie czas powiedzieć sobie prawdę ? Czy nie faktem jest że to
ogranicza wolny rynek i tworzy kastę oligarchów ?
Tak drodzy państwo, tak właśnie jest ! Ci którzy mówią wam że chronią jakiś wirtualny byt zwany danymi osobowymi jednocześnie reklamują możliwość brania kredytów „na dowód” w ich bankach !
To wolny rynek ? Oczywiście niczym mądrość frakcji Jaruzela w PRL-u
A czy regulację mogą dotyczyć małego człowieczka, który postanawia opublikować aplikację w Play store, backend i bazę danych trzyma gdzieś w wykupionym hostingu? Bazuję na własnych planach wypuszczenia aplikacji, która będzie gdzieś w bazie danych trzymać „lokalizację użytkowników” – czy dotyczyć będą mnie regulacje?
Witam, niestety mogą dotyczyć każdego, w opisanym przypadku „administrator danych” – czyli formalny podmiot odpowiedzialny za ową aplikację będzie objęty wymaganiami GDPR.
W przypadku aplikacji należy zwrócić uwagę na kilka kwestii:
1. GDPR dość „precyzyjnie” nakreśla role administratora i przetwarzającego, czyli jak masz hosting bazy w której trzymasz dane osobowe to umowa hostingowa powinna także adresować kwestie związane z ochroną danych osobowych. W chwili obecnej dość często spotyka się także odrębne umowy na zlecenie przetwarzania danych osobowych. Administrator danych osobowych jest (będzie) odpowiedzialny za sformalizowanie współpracy z przetwarzającym.
2. Jasne poinformowanie „klientów” używających aplikacji o celu przetwarzania, czasie przetwarzania, ewentualnych sytuacjach kiedy dane są przekazywane innym podmiotom, możliwość wglądu w dane, bezpłatnej aktualizacji tych danych lub możliwości zażądania ich usunięcia.
Polecam też ciekawy artykuł dotykający tej materii: https://portalodo.com/aplikacje-mobile-nowy-problem-w-dziedzinie-ochrony-danych-osobowych/
Dziękuję za odpowiedź i za artykuł. Prawdę mówiąc nie byłem tego wszystkiego świadom, ba – wręcz podchodziłem do tego bardzo luźno. Trzeba będzie jednak zweryfikować plany.
To tak z ciekawości pytanie z punktu zachaczonego wcześniej w komentarzach, jeśli chodzi o przesyłanie danych osobowych poza firmę. W większości wypadków takie dane są wysyłane mailem a o ile dobrze rozumiem nawet zabezpieczenie hasłem folderu z takimi danymi nie zwiększa bezpieczeństwa (nie szyfruje wiadomości). Jak taką komunikację z firmą zewnętrzną można uczynić bezpieczną zgodnie z nową regulacją?
Materia związana ze stosowaniem zabezpieczeń kryptograficznych dotyczących poczty elektronicznej – wykorzystywanej do przysłania danych osobowych jest dość skomplikowana. Wynika to z faktu, iż występuje duża ilość rozwiązań – komercyjnych i darmowych służących do szyfrowania poczty. Mamy do czynienia z produktami bazującymi na kryptografii symetrycznej i asymetrycznej. Przykładami konkretnych rozwiązań są: S/MIME: https://en.wikipedia.org/wiki/S/MIME, czy też PGP https://en.wikipedia.org/wiki/Pretty_Good_Privacy.
Polecam także bardzo ciekawy artykuł na sekurak.pl: https://sekurak.pl/szyfrowanie-poczty-w-thunderbird/
Szczerze mówiąc najprostszym rozwiązaniem jest użycie jakiejkolwiek odmiany „zipa” – wykonie kompresji i zabezpieczenie archiwum hasłem, następnie dostarczenie do odbiorcy hasła metodą „out-of-band” – czyli innym kanałem komunikacyjnym niż sama wiadomość np. sms. Nie jest to na pewno rozwiązanie idealne, wydajne i skalowalne, ale lepiej stosować je niż przesyłać wiadomości bez żadnego zabezpieczenia.
Dość istotną kwestią jaką musimy brać pod uwagę jest także charakter danych osobowych, jeśli danymi są: imię, nazwisko i nr. tel, mamy nieco większą swobodę wyboru, jeśli natomiast przesyłamy dane uznane za „wrażliwe” np. dane medyczne, wówczas powinnyśmy bazować na rozwiązanych certyfikowany.
Odnosząc się do GDPR dobór konkretnych rozwiązań zabezpieczających (w tym kryptograficznych) powinien bazować na „analizie ryzyka”, która też może być wykonywana na wiele sposobów – polecam bardzo ciekawą publikację: https://sekurak.pl/czym-jest-analiza-ryzyka-it-wprowadzenie/
Patrząc na aspekt szyfrowania z perspektywy ustawy o ochronie danych osobowych, GIODO nie wskazuje konkretnego rozwiązania, natomiast zaznacza, iż należy zastosować „odpowiednie środki kryptograficzne”. Myślę, że w przypadku GDPR materia ta będzie definiowana podobnie (na chwile obecną nie ma detalicznych wytycznych w tym zakresie).
Cytat ze strony GIODO (https://edugiodo.giodo.gov.pl/pluginfile.php/113/mod_resource/content/17/INF1/INF_R05.html#):
„Zgodnie z § 6 ust. 4 rozporządzenia wysoki poziom zabezpieczeń należy stosować w stosunku do komputera bądź sieci, które połączone są z siecią publiczną. Fakt zbierania danych przy użyciu poczty elektronicznej, która nie jest pocztą wewnętrzną funkcjonującą tylko w obrębie lokalnej sieci komputerowej, świadczy o tym, że sieć ta oraz podłączone do niej komputery, w tym ten, na którym odbierana jest poczta elektroniczna, połączone są z siecią publiczną. Komputer ten należy zatem zabezpieczyć na poziomie wysokim.
Należy również zaznaczyć, że ankiety osobowe, które mają być przesyłane pocztą elektroniczną, powinny być zabezpieczone przed ujawnieniem osobom nieuprawnionym – poprzez zastosowanie odpowiednich środków kryptograficznych.”
Fikcja. Patrząc na niepubliczne podmioty medyczne w naszym kraju, dostosowana do tych regulacji będzie zawrotna liczba 5% obecnie funkcjonujących. A pozostałe nie zrobią nic w tej kwestii.
Albo się dostosują, albo dostaną karę i wtedy:
– albo się dostosują
– albo zbankrutują.
Wybór należy do nich.
na stronie GIODO w aktualnościach jest ciekawa publikacja na temat inspektora danych osobowych i innych kwestii:
http://www.giodo.gov.pl/259/id_art/9760/j/pl/
Jak tylko przez nią przebrnę, to napiszę coś więcej.
na stronie GIODO w aktualnościach jest ciekawa publikacja na temat inspektora danych osobowych:
http://www.giodo.gov.pl/259/id_art/9760/j/pl/
Jak tylko przez nią przebrnę, to napiszę coś więcej.