Szyfrowanie danych - zabezpieczaj dane "odpowiednio"!

Szyfrowanie danych - zabezpieczaj dane "odpowiednio"!

Na koniec zeszłego roku nagłówki zawierające słowo „wyciek” zdominowała uczelnia SGGW (Szkoła Główna Gospodarstwa Wiejskiego w Warszawie), która była odmieniana przez wszystkie przypadki. Dlaczego? Jak się okazało, laptop jednego z pracowników SGGW został skradziony przez nieznanego sprawcę. Na dysku miały znajdować się dane osobowe tysięcy osób, ale jak się raczej doliczono, były to dane kilkunastu, kilkudziesięciu tysięcy osób.

              Pierwsze światło zarzutów zostało rzucone w stronę działu IT uczelni jako odpowiedzialnego m. in. za bezpieczne korzystanie z komputerów przenośnych. Szybko zweryfikowano, że niesłusznie, gdyż był to laptop prywatny, a więc kopiowanie na niego danych miało miejsce z pominięciem uczelnianych procedur. Pamiętajmy, że kradzież komputerów miała, ma i będzie miała miejsce. Jednak w takim przypadku zawsze pojawia się pytanie: „czy dane były zaszyfrowane?” I tutaj, niestety, odpowiedź była przecząca.

              Należy zauważyć, że rozpoczęcie stosowania Ogólnego rozporządzenia o ochronie danych (dalej: RODO) zmieniło podejście do stosowanych zabezpieczeń. Uchylone Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczny służące do przetwarzania danych osobowych przewidywało
np. hasło składające się z co najmniej 8 znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne, gdy rozporządzenie wymagało stosowania środków bezpieczeństwa na poziomie podwyższonym. RODO nakierowuje wybór zabezpieczeń w stronę Administratora (danych osobowych), i tak w art. 24 ust. 1 stanowi, że:

Uwzględniając charakter, zakres kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom
i uaktualniane.”

Dodać tutaj należy jeszcze art. 32 RODO:

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów
i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”

Żeby właściwie rozkodować powyższe normy, trzeba zauważyć, że to Administrator powinien wybrać jakie zabezpieczenia zastosować, ponieważ zna swoją organizację najlepiej (a potem być w stanie dowieść słuszności wyboru zgodnie z zasadą rozliczalności). Tego wyboru najlepiej dokonać w oparciu o przeprowadzoną analizę ryzyka, która wykaże m. in. newralgiczne punkty (aktywa/czynności na danych osobowych), które wymagają zastosowania podwyższonego poziomu zabezpieczeń. Katalog zabezpieczeń jest otwarty, ale prawodawca zdecydował się, by w szczególności wymienić szyfrowanie danych osobowych, więc tym bardziej powinien to być znak dla Administratorów, by zwrócić szczególną uwagę na to zabezpieczenie i wdrożyć je, gdy zachodzi taka potrzeba. Warto też pamiętać, że po wdrożeniu zabezpieczenia, powinno nastąpić jego monitorowanie poprzez regularnie testowanie, mierzenie i ocenianie. O tym elemencie często się zapomina.

              Zauważenie skali wycieku, wymaga wyliczenia rodzaju danych osobowych, które były przetwarzane (rzecz dotyczy prowadzonych postępowań rekrutacyjnych): imię (imiona) i nazwisko, nazwisko rodowe, imiona rodziców, płeć, narodowość, obywatelstwo, adres zamieszkania, PESEL, seria i numer dowodu osobistego/paszportu, nr telefonu komórkowego i stacjonarnego, ukończona szkoła średnia, miejscowość szkoły średniej, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega, zdjęcia kandydatów. Jest to relatywnie szeroki katalog danych osobowych, który bez większych problemów pozwala na zaciąganie zobowiązań w imieniu osób, których dane dotyczą, okradnięcie rachunków bankowych, uwierzytelnienie na infolinii czy wyrobienie duplikatu karty SIM.

              Co w tej sytuacji można zrobić? Najważniejszym krokiem jest złożenie wniosku o wyrobienie nowego dowodu osobistego (można to zrobić przez Internet). Następnymi mogą być zastrzeżenie dowodu w banku czy skorzystanie z usługi powiadomienia czy na wskazane dane nie został założony rachunek. Zaleca się również zmianę numeru telefonu, który jest podpięty do rachunku bankowego. To są działania, tylko i aż, minimalizujące wspomniane wcześniej ryzyka.

              Ze swojej strony chciałbym zwrócić uwagę, że w każdym takim przypadku zajmujemy się skutkiem, a nie przyczyną. Skoro wiemy, że nasze dane prawdopodobnie już w jakimś zakresie wyciekły, to należy zastanowić się nad tym jakie drogi otwierają konkretne dane osobowe. Gdyby katalog danych nie dawał takich możliwości albo byłyby one bardzo ograniczone, to nie istniałby taki popyt na ich wykradanie. A tak, dzisiaj za sprawą m. in. słabej weryfikacji tożsamości czy łatwości w zaciąganiu chociażby tzw. „chwilówek”, jest to proceder niezbyt skomplikowany, a więc atrakcyjny w oczach osób, które się nim zajmują.

              Niedługo po tym jak się dowiedzieliśmy o kradzieży, znaleziono sprawców. Okazało się, że działali wyłącznie dla zysku poprzez szybkie pozbywanie się skradzionego sprzętu np. w lombardzie. A przecież wiemy, że znajdujące się dane na laptopie były warte o wiele więcej. To po raz kolejny dowodzi, że dane osobowe są dzisiaj walutą.

              W tej historii z jednej strony ukazuje się zwodnicze podejście na zasadzie, że nic złego się nie wydarzy (choć praca na prywatnym komputerze nie jest kontrolowanym środowiskiem), to z drugiej strony trzeba zauważyć, że uczelnia nie zamiotła sprawy pod dywan. Incydenty i naruszenia się zdarzają i zdecydowanie uczciwiej jest wziąć za nie odpowiedzialność niż tłumaczyć się dlaczego zostały one przemilczane (pod warunkiem, że się o nich dowiedzieliśmy). Co więcej, taka reakcja jest obowiązkiem Administratora, a w stosownych przypadkach należy poinformować również Urząd Ochrony Danych Osobowych, a gdy ryzyko naruszenia praw i wolności osób jest wysokie, także osoby, których dane dotyczą.

              Odpowiednie zabezpieczanie danych osobowych może dzisiaj stanowić kapitał. Gdy dochodzi do takiego naruszenia ochrony danych osobowych (zwłaszcza medialnego), organizacja może bardzo ucierpieć wizerunkowo. Warto więc dbać, by osoba (np. klient) miała poczucie, że jej dane będą bezpiecznie przechowywane.

              Rynek dostarcza dzisiaj wiele rozwiązań w zakresie szyfrowania danych (również bezpłatnych). Niekorzystanie z nich, może okazać się poważnym błędem.

 

Autor: Patryk Makowski, Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.

Upoważnienia do przetwarzania danych osobowych - praktyczne wskazówki dla sądów powszechnych.

Upoważnienia do przetwarzania danych osobowych - praktyczne wskazówki dla sądów powszechnych.

Omawiając temat RODO, nie sposób nie zapytać o upoważnienia do przetwarzania danych osobowych. Do 25 maja 2018 roku (wejście w życie RODO) kwestię tę regulował art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, który w bardzo wyraźny sposób wskazywał obowiązek nadawania upoważnień przez Administratora Danych Osobowych. Co się zmieniło 25 maja 2018?

Zgodnie z art. 29 RODO Administrator decyduje o tym, kogo dopuścić do przetwarzania danych osobowych, jednak treść tego przepisu nie określa w jednoznaczny sposób obowiązku nadawania upoważnień do przetwarzania danych osobowych. W art. 29 RODO wskazano, że każda osoba działająca z upoważnienia Administratora i mająca dostęp do danych przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Jak wygląda to w praktyce?

Co to oznacza dla sądów?

To zależy – zależy od tego o jakich grupach pracowników oraz o jakim rodzaju danych osobowych mówimy. Zależności te są przedstawione w poniższej tabeli:

Kolejną kwestią do rozważenia jest kwestia tego, kto podpisuje konkretne upoważnienie do przetwarzania danych osobowych. Jaka jest odpowiedź? Niestety – to zależy. Jest to związane z tym, iż od dnia 6 lutego 2019 roku została znowelizowana ustawa Prawo o ustroju sądów powszechnych i w sądach obecnie mamy trzech Administratorów Danych Osobowych (ADO): Sąd, Prezesa Sądu i Dyrektora Sądu. Wiemy już komu należy wydać upoważnienie do przetwarzania danych. W związku z tym przykładowo zobaczmy kto powinien je podpisać:

Podsumowując zawarte w tym artykule rozważania dotyczące nadawania upoważnień do przetwarzania danych osobowych należy wskazać na cztery najważniejsze kroki w tym procesie:

  1. Należy ustalić, czy dana osoba będzie miała jakikolwiek dostęp do danych osobowych „papierowych” lub w systemie informatycznym.
  2. Należy ustalić czy czasem dostęp do danych osobowych, tak jak np. w przypadku sędziów, nie wynika z „mocy prawa” – jeżeli nie, wówczas należy nadać upoważnienie do przetwarzania danych.
  3. Należy ustalić, w oparciu o ustawę Prawo o ustroju sądów powszechnych, kto jest Administratorem danych osobowych – należy wziąć pod uwagę nie stanowisko pracownika, a rodzaj danych, które pracownik będzie przetwarzał.
  4. Należy przygotować odpowiednie upoważnienie i przekazać do podpisu właściwemu Administratorowi Danych. W praktyce, w przypadku np. pracowników kadr, którzy przetwarzają dane osobowe pracowników, dla których zwierzchnikiem służbowych jest Prezes Sądu oraz pracowników, dla których zwierzchnikiem służbowych jest Dyrektor Sądu, dobrym rozwiązaniem jest wydanie 1 upoważnienia podpisanego przez obu Administratorów.

Autor: Monika Kowalik, Inspektor Ochrony Danych w sądach, Kierownik Projektu w CompNet Sp. z o.o.