RODO

EuroDB sposobem na RODO. Czyli o rozporządzeniu i szyfrowaniu danych

Większość firm w Polsce dysponuje i przetwarza różne dane osobowe. W zależności od rodzaju i rozmiaru przedsiębiorstwa, ich ilość może mieścić się w zakresie od kilku kartek A4 do wielu terabajtów na dyskach twardych. Nie istnieje jednak jedna ustawa lub rozporządzenie, które kompleksowo określałoby wytyczne co do przechowywania i ochrony tych danych w firmach czy instytucjach. Stąd właśnie prace Ministerstwa Cyfryzacji nad dostosowaniem polskiego prawa do unijnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Jak więc dostosować swoje systemy do rozporządzenia? EuroLinux wychodzi naprzeciw.

Większość firm w Polsce dysponuje i przetwarza różne dane osobowe. W zależności od rodzaju i rozmiaru przedsiębiorstwa, ich ilość może mieścić się w zakresie od kilku kartek A4 do wielu terabajtów na dyskach twardych. Nie istnieje jednak jedna ustawa lub rozporządzenie, które kompleksowo określałoby wytyczne co do przechowywania i ochrony tych danych w firmach czy instytucjach. Stąd właśnie prace Ministerstwa Cyfryzacji nad dostosowaniem polskiego prawa do unijnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Jak więc dostosować swoje systemy do rozporządzenia? EuroLinux wychodzi naprzeciw.

Wszelkie kwestie związane z RODO wywołują wśród przedsiębiorstw przetwarzających dane osobowe duże zainteresowanie, ale także obawy. Są one spowodowane niejasnościami związanymi z niezbyt precyzyjnymi wytycznymi unijnego rozporządzenia, ale przede wszystkim z obecnym brakiem polskich regulacji.

Co to jest RODO i kogo dotyczy?

Rozporządzenie o Ochronie Danych Osobowych (RODO) czy też „GDPR” to unijne rozporządzenie w kwestii ochrony przetwarzanych danych osób fizycznych, które zacznie obowiązywać 25 maja 2018 roku. Będzie dotyczyć wszystkich, którzy przetwarzają dane osobowe na terytorium Unii Europejskiej. Jeżeli więc sprzedajemy produkty czy usługi albo przetwarzamy dane w związku z prowadzeniem dowolnej działalności na terenie Unii, będziemy musieli dostosować się do przepisów rozporządzenia.

Przede wszystkim wraz z wprowadzeniem RODO zniesiony zostanie obowiązek rejestracji zbiorów danych osobowych w GIODO. Jako administratorzy danych zyskamy większe swobody, ale i zostaniemy obarczeni większą odpowiedzialnością. Od maja 2018 będziemy musieli przeanalizować, jakie ryzyko dla prywatności konkretnych osób niesie ze sobą przetwarzanie ich danych. Ponadto zobowiązani będziemy do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność z wytycznymi RODO. Rozporządzenie nie wskazuje jednak konkretnie, jakie środki należy wdrożyć, ani jak przechowywać dane. Mówi jedynie o tym, że trzeba zapewnić „właściwy sposób ich zabezpieczenia”.

Zatem wszelkie procedury i sposoby zabezpieczania tych danych będziemy ustalać sami, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych (art. 24 ust. 1). Należy także pamiętać o tym, że powinniśmy umieć wykazać, że podjęte środki rzeczywiście były „odpowiednie”. Dobrze jest więc między innymi posiadać tego namacalny dowód w postaci odpowiedniego systemu zabezpieczającego dane.

Powyższe zasady stanowią największą zmianę czekającą przedsiębiorców po 25 maja 2018 roku. Nowe podejście do ochrony danych osobowych jest bowiem przeciwieństwem do obecnie obowiązujących przepisów. Wskazują one, jak osiągnąć bezpieczeństwo danych osobowych. W nowym proaktywnym podejściu będziemy musieli wykazać się wiedzą i umiejętnościami budowania efektywnych procedur. Ewidentnie kończy się era, w której nowe zasady uzasadnia się, że „przepis tak każe”.

Odpowiednie zabezpieczenie

Przepisy prawne najczęściej nie nadążają za szybko rozwijającą się technologią. Dlatego też nowe rozporządzenie ma za zadanie dostosować zasady ochrony danych osobowych do dzisiejszych realiów. Stąd właśnie niekonkretna forma znajdujących się w nim zapisów. Zatem, żeby dokument mógł pozostać dłużej aktualny, zawiera ogólne wytyczne. Nie wskazuje konkretnych minimalnych wymagań sprzętowych czy organizacyjnych, tylko mówi o konieczności uwzględniania ryzyka i podjęcia odpowiednik środków zabezpieczających w każdej sytuacji przetwarzania danych. Muszą one być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (art. 5 ust. 1 lit. f). Produkty firmy EuroLinux są częściową odpowiedzią na te potrzeby.

Ochrona danych w fazie projektowania i domyślna ochrona danych

Wprowadzenie zasad ochrony danych w fazie projektowania (privacy by design) oraz prywatności jako ustawienia domyślnego (privacy by defalut) sprawia, że musimy uwzględniać ochronę danych osobowych i prywatności w każdej fazie tworzenia i istnienia technologii, która obejmuje ich przetwarzanie. Zatem każdy projekt, który będzie zakładał możliwość przetwarzania danych, powinien standardowo opierać się na zasadach ochrony prywatności. Ponadto wszelkie tworzone systemy powinny wykorzystywać jak najmniej danych o użytkowniku. Administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych […] (art. 25 ust. 1).

Ocena skutków planowanych operacji

Jak już wspomnieliśmy, nowe rozporządzenie zdejmuje z nas obowiązek rejestrowania danych osobowych. Będziemy musieli natomiast ocenić, jakie skutki dla ochrony danych niosą ze sobą planowane operacje. Szczególnie trzeba będzie zwrócić uwagę na przetwarzanie danych przy użyciu nowych technologii, ponieważ niesie ono ze sobą wysokie prawdopodobieństwo naruszenia praw. Oceny skutków takiego przetwarzania powinniśmy dokonać jeszcze przed rozpoczęciem ich przetwarzania, czyli de facto, zanim je w ogóle otrzymamy. Niezwykle istotne jest zatem posiadanie technologii, która w znacznym stopniu zmniejszy prawdopodobieństwo wycieku danych, co mogłoby narazić firmy na kary finansowe.

Szyfrowanie danych dobrym wyjściem z sytuacji

Jedną z możliwości wyjścia naprzeciw wymogom RODO jest posiadanie systemów automatycznie szyfrujących posiadane dane. Szyfrowanie w znacznym stopniu poprawia bezpieczeństwo, a automatyzacja procesu ułatwia pracę administratorom. Takie funkcjonalności oferuje platforma bazodanowa EuroDB z silnikiem PostgreSQL. Wprawdzie sama baza PostgreSQL nie zapewnia możliwości szyfrowania danych, jednak rozszerzenia oferowane standardowo w platformie EuroDB już na to pozwalają. Narzędzie daje możliwość szyfrowania wybranych tabel, np. tych, które zawierają dane wrażliwe klientów. Dzięki takiemu sposobowi zabezpieczenia danych nawet w przypadku ewentualnego włamania haker lub inna nieuprawniona osoba nie będzie mogła odczytać, czyli wykorzystać skradzionych danych. Będą one co najwyżej zawierały „cyfrową sieczkę”. Będą więc najzwyczajniej bezużyteczne.

Kwestie techniczne szyfrowania danych w EuroDB szczegółowo zostały opisane w tym artykule.

Reasumując

Tematyka RODO nie jest nadzwyczaj skomplikowana. Budzi jednak pewne obawy. Być może niepotrzebnie. Brak regulacji krajowych i stosunkowo krótki czas do wejścia rozporządzenia z pewnością nie mityguje niepokoju. Z drugiej strony powierzenie większej odpowiedzialności związanej z przetwarzaniem danych osobowych w ręce administratorów ma swoje zalety i wady. Wadą jest oczywiście to, że za wszelkie nieprawidłowości grożą różnego rodzaju sankcje. Z kolei zdecydowaną zaletą jest to, że rozporządzenie nie narzuca odgórnie, jakich systemów i sposobów należy używać. Możemy więc wybrać rozwiązania, w tym oprogramowanie, które po pierwsze zapewnia wymagane bezpieczeństwo, a po drugie oferuje enterprise’ową stabilność i ogromną ilość użytecznych funkcji. Warto jeszcze przed 25 maja 2018 roku zwrócić uwagę na platformę bazodanową EuroDB, ponieważ poza swoimi innymi walorami, doskonale wpisuje się w tematykę i wymogi RODO, zapewniając właściwy sposób zabezpieczenia danych.

Autorzy

Artykuły na blogu są pisane przez osoby z zespołu EuroLinux. 80% treści zawdzięczamy naszym developerom, pozostałą część przygotowuje dział sprzedaży lub marketingu. Dokładamy starań, żeby treści były jak najlepsze merytorycznie i językowo, ale nie jesteśmy nieomylni. Jeśli zauważysz coś wartego poprawienia lub wyjaśnienia, będziemy wdzięczni za wiadomość.