3. Jakie dane osobowe przetwarzasz i gdzie są zgromadzone?

Podstawowym pytaniem, które należy sobie zadać przy wdrażaniu systemowej ochrony danych osobowych jest: jakie właściwie dane przetwarzamy? RODO wprowadza tutaj bardzo pomocne pojęcie czynności przetwarzania. Ważne jest tutaj, aby czynność przetwarzania rozumieć biznesowo, a nie w powiązaniu z konkretnymi nośnikami, na których przetwarzane dane mogą się znajdować. Czynnością przetwarzania danych osobowych jest na przykład wysyłka newslettera do potencjalnych klientów czy wsparcie wdrożenia systemu SCADA. Baza danych, system CRM, czy SCADA tylko jedną z lokalizacji, gdzie dane się znajdują, dlatego też, definiowania czynności przetwarzania danych nie zaczynamy od systemów, a od obszarów działalności naszej organizacji.

4. Kto jest właścicielem danych osobowych?

Kiedy już nasze czynności przetwarzania są ustalone, możemy przejść do ustalenia osób odpowiedzialnych za ich wykonywanie w porozumieniu z Inspektorem Danych Osobowych. Ma to znaczenie zwłaszcza w przypadku zabezpieczeń technicznych, ponieważ Inspektor może zlecić wdrożenie dodatkowych funkcjonalności (np. zakup firewalla czy oprogramowania antywirusowego) właściwych dla technologii, za pomocą której przechowywane są dane wykorzystywane w danej czynności. Dodatkowo, właściciel powinien dbać o monitorowanie listy osób uprawnionych do dostępu do danych w ramach czynności, także w porozumieniu z Inspektorem Danych Osobowych.

5. Czy osoby mające dostęp do danych osobowych zostały przeszkolone?

Mając określone czynności przetwarzania danych osobowych oraz listę osób, które powinny być do nich upoważnione, Inspektor Danych Osobowych jest zobowiązany do przeprowadzenia szkolenia z ochrony danych osobowych. Zgodnie z obecnie obowiązującą ustawą (i nic nie wskazuje na to, aby miało się to zmienić), do przetwarzania danych osobowych należy dopuszczać wyłącznie przeszkolone uprzednio osoby. Szkolenie takie powinno być krótkie – maksymalnie godzinne i koncentrować się na praktycznych aspektach dostępu do danych osobowych, najlepiej w kontekście zbiorów, do których aktualnie szkolona grupa ma mieć dostęp.

6. Czy dostęp do danych osobowych jest wystarczająco chroniony?

W praktyce, zwłaszcza w większej organizacji, kluczową kwestią pozostaje faktyczne ograniczenie dostępu do danych osobowych do grupy uprawnionych osób. Sposoby wykonania takiego ograniczenia różnią się i zależą od technologii przetwarzania danych oraz profilu działalności organizacji. Dla danych „papierowych” spotykamy następujące praktyki:

•    Osobne pomieszczenia, w których przetwarzane są dane osobowe,
•    System kart dostępu,
•    Rolety w oknach (zwłaszcza w tzw. Mordorze i jego klonach w innych miastach),
•    Monitoring,
•    System klucza centralnego.

Również w systemach informatycznych dostępny jest cały wachlarz środków, jak na przykład:

•    Separacja sieci informatycznych (produkcja / biuro),
•    Automatyczne aktualizacje wszystkich systemów,
•    Imienne konta użytkowników,
•    Polityka haseł,
•    Firewalle (zarówno sprzętowe, jak i oparte na oprogramowaniu),
•    … i wiele innych.

Z uwagi na wielość dostępnych środków technicznych, dobrą praktyką jest utworzenie całościowego dokumentu (tzw. polityki bezpieczeństwa) i uszczegółowienie go dla pojedynczych zbiorów / rozwiązań technicznych. Polityka taka powinna być znana wszystkim pracownikom organizacji.

7. Czy jesteś przygotowany na zarządzanie incydentami?

Żaden system ochrony danych osobowych nie jest doskonały. Błędy ludzkie, katastrofy naturalne, czy działania przestępcze mogą spotkać nawet najlepiej przygotowaną i zabezpieczoną organizację. W przypadku takiego zdarzenia, zwanego incydentem, ważne jest, aby informacja o nim jak najszybciej trafiła do osób odpowiedzialnych za ochronę danych osobowych. Dodatkowo, RODO nakłada obowiązek meldowania tego rodzaju zdarzeń na zewnątrz organizacji, dlatego wszyscy pracownicy powinni zostać poinformowani, w jaki sposób taki incydent zgłosić. Do tego celu dobrze nadają się systemy zarządzania zadaniami (na przykład JIRA). Umożliwiają one dostosowanie formularza służącego do zgłoszenia incydentu, oraz zachowanie poufności wpisanej w nim treści.

8. Jak zarządzasz kopiami zapasowymi i tzw. disaster recovery?

Zbiory danych osobowych będą często stanowić jeden z kluczowych zasobów organizacji. W razie uszkodzenia lub zniszczenia nośnika zawierającego zbiór, organizacja musi zapewnić sposób odzyskania danych. Ma to szczególne znaczenie, kiedy dane te są na bieżąco przetwarzane w systemie informatycznym (na przykład WMS) i bez nich nie jest możliwe jego normalne działanie. W związku z tym, organizacja jest zobowiązana przygotować i wdrożyć politykę tworzenia kopii zapasowych nośników zawierających dane osobowe oraz cyklicznie weryfikować poprawność kopii. Nie należy też zapominać o przechowywaniu kopii w innym miejscu niż same zasoby (minimalizujemy ryzyko zniszczenia) oraz wymazywaniu kopii po upłynięciu zdefiniowanego czasu – przestarzałe kopie są przeważnie bezużyteczne, a na dodatek mogą się na nich znajdować dane, do których organizacja nie powinna mieć już dostępu.

9. Czy stan ochrony danych osobowych podlega cyklicznym przeglądom?

Utrzymanie skutecznego systemu ochrony danych osobowych jest tak naprawdę większym wyzwaniem od jego pierwszego wdrożenia. Po początkowym entuzjazmie i dyscyplinie wkracza rutyna i znużenie, a uwaga pracowników spada. Pojawiają się też nowe wyzwania, które mogą nie pasować do założonych początkowo reguł. Dlatego też, obowiązkiem Inspektora Danych Osobowych jest coroczna kontrola stanu ochrony danych osobowych w organizacji. Kontrola taka powinna mieć formę audytu tj. rozmowy z osobami odpowiedzialnymi za poszczególne zbiory wraz z weryfikacją organizacyjnych i technicznych środków wdrożonych w danych przypadkach. Oczywiście, Inspektor powinien korzystać z pomocy specjalistów w razie braku konkretnych kompetencji. Wynikiem kontroli powinien być raport zawierający wszelkie odstępstwa od przyjętych zasad oraz środki zaradcze. Ważne jest przy tym, aby środki zaradcze były skierowane nie tylko do osób odpowiedzialnych za przetwarzanie danych osobowych, ale także do organizacji jako całości. Procesy ochrony danych osobowych muszą bowiem żyć i rozwijać się wraz z całą organizacją, dla której zostały stworzone.

10. Czy ochrona danych osobowych jest częścią większego systemu zarządzania bezpieczeństwem informacji?

Dane osobowe są tylko jednym z wielu rodzajów informacji, o których bezpieczeństwo należy dbać. Dane finansowe, szczegóły procesu produkcyjnego, czy topologia sieci energetycznych mogą mieć dla organizacji porównywalną wartość w sensie biznesowym z danymi osobowymi. Dlatego też przy okazji wdrażania praktyk i narzędzi związanych z ochroną danych osobowych warto zastanowić się, czy od razu nie zdecydować się na stworzenie w organizacji kompleksowego systemu zarządzania bezpieczeństwem informacji obejmującego swoim zakresem nie tylko dane osobowe. Takie rozwiązanie, choć wymaga znacząco więcej pracy, umożliwi całościowe spojrzenie na problematykę ochrony informacji w organizacji i doprowadzi do lepszej integracji procedur z nią związanych z codzienną działalnością.

Czy systemy PSI są zgodne z RODO?

Wszystkie systemy oferowane przez PSI spełniają wymogi rozporządzenia (RODO) i są dostosowane do zaleceń  nowych regulacji dotyczących systemów informatycznych w swojej domyślnej konfiguracji.

PSI Polska, jako część międzynarodowego koncernu, posiada System Zarządzania Bezpieczeństwem Informacji zgodny z ISO27001:2013. System ten znacznie wykracza ponad wymagania stawiane przez Ustawę o Ochronie Danych Osobowych, ponieważ obejmuje on swoim zakresem każdy rodzaj informacji przetwarzanych przez PSI.

Wojciech Buras, Quality Manager, PSI Polska Sp. z o.o.

Jak PSI wspiera Klientów w procesie dostosowania do RODO?

Aby odpowiedzieć na pytanie o sposób wsparcia Klientów przez PSI, przede wszystkim należy zaznaczyć, że system informatyczny jest tylko narzędziem, które można konfigurować, udostępniać, czy zmieniać.

Dlatego też, kluczowe jest tutaj szersze spojrzenie na "kulturę informatyczną" organizacji, w której dane oprogramowanie jest zainstalowane. Nawet najlepsze algorytmy szyfrujące nie pomogą, jeśli administrator trzyma hasła na karteczce przyklejonej do monitora. Pewne jest natomiast, że żaden z produktów oferowanych przez PSI nie łamie zaleceń GDPR dotyczących systemów informatycznych w swojej domyślnej konfiguracji.

W przypadku konieczności zmian konfiguracyjnych, PSI wspiera Klientów w odpowiednim zabezpieczeniu systemu przed dostępem osób niepowołanych oraz wyciekiem danych, pomagając organizacjom spełnić wymogi rozporządzenia w zakresie ochrony danych osobowych. Oferujemy także doradztwo w  dziedzinie tworzenia kopii zapasowych i utrzymania systemu w stanie wysokiej dostępności.