Blog PSI Polska

10 rzeczy, które musisz sprawdzić w związku z RODO

30.01.2018 - Zarządzanie projektami IT, Zarządzanie produkcją, Zarządzanie magazynem, Zarządzanie energią

Systemy PSI a RODO

Nowe regulacje związane z ochroną danych osobowych, które są stopniowo wdrażane w Unii Europejskiej, budzą coraz większe emocje w kontekście bezpieczeństwa użytkowanych systemów informatycznych.

Nowe regulacje związane z ochroną danych osobowych (RODO / GPDR)

Nowe Rozporządzenie o Ochronie Danych Osobowych (RODO, ang. GPDR - General Data Protection Regulation) wchodzi w życie 25 maja 2018 roku i niesie ze sobą nowe wyzwania.

Obowiązek natychmiastowego raportowania naruszeń ochrony danych, konieczność stworzenia systemu ich ochrony, czy działające na wyobraźnię zarządów kary (do 4% EBIT) powodują, iż dostawcy systemów informatycznych dla wszystkich branż gospodarki nawet potencjalnie związanych z danymi osobowymi odbierają liczne zapytania w tym zakresie.

 

RODO 10 rzeczy, które musisz sprawdzić

1. Kto jest odpowiedzialny za przetwarzanie danych osobowych?

Absolutnie najważniejszą kwestią jest ustalenie, jaki podmiot odpowiada za przetwarzanie danych osobowych w organizacji. Jest to kluczowe, ponieważ wszelkie wnioski, pytania i problemy będą w pierwszej kolejności trafiały do tej osoby lub podmiotu. Oczywiście, na podmiocie tym ciąży także odpowiedzialność formalna – to on będzie adresatem ewentualnych skarg i on będzie też musiał komunikować się z GIODO w tym zakresie. W praktyce istnieją dwie możliwości:

•    Organizacja sama przetwarza dane osobowe,
•    Dane osobowe są przetwarzane przez inną organizację na podstawie tzw. umowy powierzenia.


W pierwszym przypadku, należy zadbać o należytą organizację tego przetwarzania, do której odnoszą się nasze kolejne porady. W drugim przypadku, organizacja powinna stworzyć prosty (ale kompletny) szablon umowy powierzenia danych dobrze zabezpieczający jej interesy.

2. Czy kompetencje są skupione w jednym miejscu?

Jeśli organizacja nasza przetwarza dane osobowe, wszystkie kompetencje niezbędne do ich ochrony należy skupić w jednych rękach – RODO wprowadza tutaj pojęcie Inspektora Danych Osobowych (w aktualnie jeszcze obowiązującej wersji Ustawy stanowisko to zwane jest Administratorem Bezpieczeństwa Informacji). Oczywiście nie oznacza to, że osoba taka musi być „alfą i omegą”, czyli ekspertem od bezpieczeństwa informatycznego i kancelarią prawną w jednym. Musi jednak mieć możliwość wdrożenia niezbędnych zmian – zarówno formalnych, jak i technicznych – w organizacji. Dobrą praktyką jest, jeśli osoba taka jest jednocześnie odpowiedzialna za inne procedury, takie jak np. zarządzanie jakością czy ogólnie rozumianym bezpieczeństwem informacji (czyli nie tylko danych osobowych). Dzięki takiemu podziałowi kompetencji możliwe jest bezbolesne wplecenie dodatkowych regulacji związanych z ochroną danych osobowych w ogólne procesy organizacji.

3. Jakie dane osobowe przetwarzasz i gdzie są zgromadzone?

Podstawowym pytaniem, które należy sobie zadać przy wdrażaniu systemowej ochrony danych osobowych jest: jakie właściwie dane przetwarzamy? RODO wprowadza tutaj bardzo pomocne pojęcie czynności przetwarzania. Ważne jest tutaj, aby czynność przetwarzania rozumieć biznesowo, a nie w powiązaniu z konkretnymi nośnikami, na których przetwarzane dane mogą się znajdować. Czynnością przetwarzania danych osobowych jest na przykład wysyłka newslettera do potencjalnych klientów czy wsparcie wdrożenia systemu SCADA. Baza danych, system CRM, czy SCADA tylko jedną z lokalizacji, gdzie dane się znajdują, dlatego też, definiowania czynności przetwarzania danych nie zaczynamy od systemów, a od obszarów działalności naszej organizacji.

4. Kto jest właścicielem danych osobowych?

Kiedy już nasze czynności przetwarzania są ustalone, możemy przejść do ustalenia osób odpowiedzialnych za ich wykonywanie w porozumieniu z Inspektorem Danych Osobowych. Ma to znaczenie zwłaszcza w przypadku zabezpieczeń technicznych, ponieważ Inspektor może zlecić wdrożenie dodatkowych funkcjonalności (np. zakup firewalla czy oprogramowania antywirusowego) właściwych dla technologii, za pomocą której przechowywane są dane wykorzystywane w danej czynności. Dodatkowo, właściciel powinien dbać o monitorowanie listy osób uprawnionych do dostępu do danych w ramach czynności, także w porozumieniu z Inspektorem Danych Osobowych.

5. Czy osoby mające dostęp do danych osobowych zostały przeszkolone?

Mając określone czynności przetwarzania danych osobowych oraz listę osób, które powinny być do nich upoważnione, Inspektor Danych Osobowych jest zobowiązany do przeprowadzenia szkolenia z ochrony danych osobowych. Zgodnie z obecnie obowiązującą ustawą (i nic nie wskazuje na to, aby miało się to zmienić), do przetwarzania danych osobowych należy dopuszczać wyłącznie przeszkolone uprzednio osoby. Szkolenie takie powinno być krótkie – maksymalnie godzinne i koncentrować się na praktycznych aspektach dostępu do danych osobowych, najlepiej w kontekście zbiorów, do których aktualnie szkolona grupa ma mieć dostęp.

6. Czy dostęp do danych osobowych jest wystarczająco chroniony?

W praktyce, zwłaszcza w większej organizacji, kluczową kwestią pozostaje faktyczne ograniczenie dostępu do danych osobowych do grupy uprawnionych osób. Sposoby wykonania takiego ograniczenia różnią się i zależą od technologii przetwarzania danych oraz profilu działalności organizacji. Dla danych „papierowych” spotykamy następujące praktyki:

•    Osobne pomieszczenia, w których przetwarzane są dane osobowe,
•    System kart dostępu,
•    Rolety w oknach (zwłaszcza w tzw. Mordorze i jego klonach w innych miastach),
•    Monitoring,
•    System klucza centralnego.

Również w systemach informatycznych dostępny jest cały wachlarz środków, jak na przykład:

•    Separacja sieci informatycznych (produkcja / biuro),
•    Automatyczne aktualizacje wszystkich systemów,
•    Imienne konta użytkowników,
•    Polityka haseł,
•    Firewalle (zarówno sprzętowe, jak i oparte na oprogramowaniu),
•    … i wiele innych.

Z uwagi na wielość dostępnych środków technicznych, dobrą praktyką jest utworzenie całościowego dokumentu (tzw. polityki bezpieczeństwa) i uszczegółowienie go dla pojedynczych zbiorów / rozwiązań technicznych. Polityka taka powinna być znana wszystkim pracownikom organizacji.

7. Czy jesteś przygotowany na zarządzanie incydentami?

Żaden system ochrony danych osobowych nie jest doskonały. Błędy ludzkie, katastrofy naturalne, czy działania przestępcze mogą spotkać nawet najlepiej przygotowaną i zabezpieczoną organizację. W przypadku takiego zdarzenia, zwanego incydentem, ważne jest, aby informacja o nim jak najszybciej trafiła do osób odpowiedzialnych za ochronę danych osobowych. Dodatkowo, RODO nakłada obowiązek meldowania tego rodzaju zdarzeń na zewnątrz organizacji, dlatego wszyscy pracownicy powinni zostać poinformowani, w jaki sposób taki incydent zgłosić. Do tego celu dobrze nadają się systemy zarządzania zadaniami (na przykład JIRA). Umożliwiają one dostosowanie formularza służącego do zgłoszenia incydentu, oraz zachowanie poufności wpisanej w nim treści.

8. Jak zarządzasz kopiami zapasowymi i tzw. disaster recovery?

Zbiory danych osobowych będą często stanowić jeden z kluczowych zasobów organizacji. W razie uszkodzenia lub zniszczenia nośnika zawierającego zbiór, organizacja musi zapewnić sposób odzyskania danych. Ma to szczególne znaczenie, kiedy dane te są na bieżąco przetwarzane w systemie informatycznym (na przykład WMS) i bez nich nie jest możliwe jego normalne działanie. W związku z tym, organizacja jest zobowiązana przygotować i wdrożyć politykę tworzenia kopii zapasowych nośników zawierających dane osobowe oraz cyklicznie weryfikować poprawność kopii. Nie należy też zapominać o przechowywaniu kopii w innym miejscu niż same zasoby (minimalizujemy ryzyko zniszczenia) oraz wymazywaniu kopii po upłynięciu zdefiniowanego czasu – przestarzałe kopie są przeważnie bezużyteczne, a na dodatek mogą się na nich znajdować dane, do których organizacja nie powinna mieć już dostępu.

9. Czy stan ochrony danych osobowych podlega cyklicznym przeglądom?

Utrzymanie skutecznego systemu ochrony danych osobowych jest tak naprawdę większym wyzwaniem od jego pierwszego wdrożenia. Po początkowym entuzjazmie i dyscyplinie wkracza rutyna i znużenie, a uwaga pracowników spada. Pojawiają się też nowe wyzwania, które mogą nie pasować do założonych początkowo reguł. Dlatego też, obowiązkiem Inspektora Danych Osobowych jest coroczna kontrola stanu ochrony danych osobowych w organizacji. Kontrola taka powinna mieć formę audytu tj. rozmowy z osobami odpowiedzialnymi za poszczególne zbiory wraz z weryfikacją organizacyjnych i technicznych środków wdrożonych w danych przypadkach. Oczywiście, Inspektor powinien korzystać z pomocy specjalistów w razie braku konkretnych kompetencji. Wynikiem kontroli powinien być raport zawierający wszelkie odstępstwa od przyjętych zasad oraz środki zaradcze. Ważne jest przy tym, aby środki zaradcze były skierowane nie tylko do osób odpowiedzialnych za przetwarzanie danych osobowych, ale także do organizacji jako całości. Procesy ochrony danych osobowych muszą bowiem żyć i rozwijać się wraz z całą organizacją, dla której zostały stworzone.

10. Czy ochrona danych osobowych jest częścią większego systemu zarządzania bezpieczeństwem informacji?

Dane osobowe są tylko jednym z wielu rodzajów informacji, o których bezpieczeństwo należy dbać. Dane finansowe, szczegóły procesu produkcyjnego, czy topologia sieci energetycznych mogą mieć dla organizacji porównywalną wartość w sensie biznesowym z danymi osobowymi. Dlatego też przy okazji wdrażania praktyk i narzędzi związanych z ochroną danych osobowych warto zastanowić się, czy od razu nie zdecydować się na stworzenie w organizacji kompleksowego systemu zarządzania bezpieczeństwem informacji obejmującego swoim zakresem nie tylko dane osobowe. Takie rozwiązanie, choć wymaga znacząco więcej pracy, umożliwi całościowe spojrzenie na problematykę ochrony informacji w organizacji i doprowadzi do lepszej integracji procedur z nią związanych z codzienną działalnością.

Czy systemy PSI są zgodne z RODO?

Wszystkie systemy oferowane przez PSI spełniają wymogi rozporządzenia (RODO) i są dostosowane do zaleceń  nowych regulacji dotyczących systemów informatycznych w swojej domyślnej konfiguracji.

PSI Polska, jako część międzynarodowego koncernu, posiada System Zarządzania Bezpieczeństwem Informacji zgodny z ISO27001:2013. System ten znacznie wykracza ponad wymagania stawiane przez Ustawę o Ochronie Danych Osobowych, ponieważ obejmuje on swoim zakresem każdy rodzaj informacji przetwarzanych przez PSI.

Wojciech Buras, Quality Manager, PSI Polska Sp. z o.o.

Jak PSI wspiera Klientów w procesie dostosowania do RODO?

Aby odpowiedzieć na pytanie o sposób wsparcia Klientów przez PSI, przede wszystkim należy zaznaczyć, że system informatyczny jest tylko narzędziem, które można konfigurować, udostępniać, czy zmieniać.

Dlatego też, kluczowe jest tutaj szersze spojrzenie na "kulturę informatyczną" organizacji, w której dane oprogramowanie jest zainstalowane. Nawet najlepsze algorytmy szyfrujące nie pomogą, jeśli administrator trzyma hasła na karteczce przyklejonej do monitora. Pewne jest natomiast, że żaden z produktów oferowanych przez PSI nie łamie zaleceń GDPR dotyczących systemów informatycznych w swojej domyślnej konfiguracji.

W przypadku konieczności zmian konfiguracyjnych, PSI wspiera Klientów w odpowiednim zabezpieczeniu systemu przed dostępem osób niepowołanych oraz wyciekiem danych, pomagając organizacjom spełnić wymogi rozporządzenia w zakresie ochrony danych osobowych. Oferujemy także doradztwo w  dziedzinie tworzenia kopii zapasowych i utrzymania systemu w stanie wysokiej dostępności.

 

 

Wojciech Buras

Wojciech Buras

Quality Manager, PSI Polska Sp. z o.o.

Swoją karierę zawodową rozpoczął jako programista, ale jego obsesja na punkcie jakości doprowadziła go do obszaru Quality Management, za który obecnie odpowiada w PSI Polska. Wie, że dobry design i dobry kod mogą powstawać jedynie w środowisku gdzie zaufanie, prostota i transparentność są najważniejszymi wartościami. Dlatego stale ulepsza w PSI procesy tworzenia oprogramowania dla przemysłu. Lubi pracować z ludźmi, ale nie zapomina o swoich programistycznych korzeniach, prowadząc warsztaty Code Retreat.