Tag Archives: analiza ryzyka

09 gru

Kara dla harcerzy – czy oznacza konieczność posiadania analizy ryzyka na wszystko?

Dawno żadna kara PUODO nie wzbudziła takiego zainteresowania, jak 555 zł dla Chorągwi Stołecznej ZHP. Spotkałam się z komentarzami, że to przykład na to, że PUODO może nałożyć karę „za cokolwiek”. A wynikają one z uzasadnienia decyzji nakładającej karę (DKN.5131.9.2024): „jak zauważył Prezes UODO, analiza ryzyka i wprowadzone na jej podstawie środki nie były wystarczające. PUODO podkreślił, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w RODO. Zgubienie laptopa to zdarzenie losowe. A w takiej sytuacji kluczowe jest jednak to, czy administrator regularnie testował, mierzył i oceniał skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.”

Czy to oznacza, że teraz trzeba mieć analizę ryzyka na wszystko?

Czy jeśli dochodzi do naruszenia ochrony danych, a administrator nie przewidział ryzyka takiego zdarzenia, to automatycznie otrzyma karę?

Właśnie takie wnioski słyszę od tygodnia. Natomiast zupełnie się z nimi nie zgadzam. Patrzę na to zdarzenie obiektywnie: komunikacją miejską były przewożone dane osobowe dzieci w bardzo szerokim zakresie, które znajdowały się w laptopie. Zabezpieczeniem laptopa było (jakieś) hasło do systemu operacyjnego. Dysk laptopa nie był szyfrowany. Czy w tym wypadku istniał obowiązek zaszyfrowania dysku? Sięgając bezpośrednio do przepisów RODO, należy przyjąć za punkt wyjścia art. 24: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.” Przepis ten nie wskazuje wprost w jaki sposób zabezpieczyć laptopa, ale należy pamiętać, że szyfrowanie, jako sposób zabezpieczenia danych zostało wskazane w art. 32 ust. 1 lit. a RODO. Czyli jest to jedno z podstawowych i wprost wskazanych w przepisach zabezpieczeń.

Wracając do konkretnego przypadku zgubienia laptopa. Nie było obowiązku szyfrowania dysku. Jednakże w takim wypadku należało zapewnić szyfrowanie (zabezpieczenie hasłem) plików z danymi (kłania się art. 32 RODO). Prezes UODO zwrócił uwagę na brak analizy ryzyka w tym zakresie. Nie chodzi tu o konkretny przypadek zostawienia laptopa w metrze. Chodzi o to, w jaki sposób administrator dobrał zabezpieczenia do przetwarzania danych elektronicznych na laptopach. Szczególnie istotne jest to, że urządzenia były transportowane oraz wykorzystywane w różnych lokalizacjach. Czym uzasadnił brak zabezpieczenia dysku lub samych plików? Tak zupełnie szczerze – brak jakiegokolwiek zabezpieczenia tych danych (podkreślam danych dzieci), jest bardzo przykre. Tym bardziej, że szyfrowanie dysków laptopów staje się standardem i nie jest trudne (niektóre systemy operacyjne umożliwiają samodzielne zaszyfrowanie dysku, można też skorzystać z darmowego programu Vera Crypt). Do tego nie jest potrzebny „informatyk”.

Przykład zgubienia tego laptopa, to kolejny przykład na to, że wciąż ochrona danych osobowych w wielu podmiotach jest powierzchowna. Nikt nie myśli o konsekwencjach (czyli nie uwzględnia się ryzyka) swoich działań. Jako audytorka systemów ochrony danych, często jestem w szoku, jak bardzo powierzchowne jest podejście do bezpieczeństwa informacji. Takie systemy nazywam niedojrzałymi, bo organizacja nie rozumie jeszcze jak ważny jest cały proces zapewniania ochrony informacji.

Przesyłanie danych osobowych bez zabezpieczenia, przenoszenie nieszyfrowanych danych na dyskach zewnętrznych, praca zdalna na niewystarczająco zabezpieczonym laptopie to codzienność, z którą ludziom z branży bezpieczeństwa informacji przychodzi się mierzyć. Dlatego uważam, że kara nałożona przez Prezesa UODO, była potrzebna.

20 sty

Jak często należy przeprowadzać analizę ryzyka?

Jeden z czytelników bloga zapytał, z jaką częstotliwością należy robić analizę ryzykę przetwarzania danych osobowych w niedużej firmie usługowej. Na to pytanie, nie ma jednoznacznie poprawnej odpowiedzi. Prawda jest taka, że tylko od Was zależy jak często będziecie to robić, bo żaden przepis o ochronie danych nie obliguje administratora danych do przeprowadzania analizy ryzyka z określoną częstotliwością (*jednak należy pamiętać, że mogą być przepisy sektorowe, odnoszące się nie bezpośrednio do ochrony danych, a do bezpieczeństwa informacji, które nakładają obowiązek przeprowadzania analizy ryzyka dla bezpieczeństwa informacji, np. raz do roku).

W analizie ryzyka istotne jest to, że musi ona stanowić punkt wyjścia do doboru odpowiednich środków technicznych i organizacyjnych ochrony danych (art 32 RODO). I w zasadzie dopóki jest dobrze, to jest dobrze. Oznacz to, że dopóki nie ma u nas naruszenia, można powiedzieć że nic nie musimy robić, bo wszystko działa prawidłowo i nikt nam nie może nam zarzucić, że coś zrobiliśmy źle.

Read More
13 mar

Jak uzasadnić niezbędność wprowadzenia monitoringu

Nie doczekaliśmy się jeszcze ustawy o monitoringu wizyjnym, tym bardziej ustawy dotyczącej monitorowania wykorzystywanych przez pracowników narzędzi pracy (np. kontrola poczty), czy biometrii do kontroli dostępu. Natomiast wraz z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych zostały wprowadzone zmiany do niektórych przepisów sektorowych, stanowiące punkt wyjścia do stosowania monitoringu przez administratora danych. Gdy na szkoleniach pytam uczestników co administrator musi zrobić, aby móc wprowadzić monitoring? Najczęściej odpowiadają poinformować pracowników. Jest to jeden z elementów związanych ze stosowaniem monitoringu, jednakże punktem wyjścia powinno być uzasadnienie niezbędności zastosowania monitoringu. Wynika to wprost z przepisów prawa, np:

  1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring) (art. 22^2 par. 1. Kodeksu pracy)
  2. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). (art. 22^3 par. 1. Kodeksu pracy)
  3. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia dyrektor szkoły lub placówki, w uzgodnieniu z organem prowadzącym szkołę lub placówkę oraz po przeprowadzeniu konsultacji z radą pedagogiczną, radą rodziców i samorządem uczniowskim, może wprowadzić szczególny nadzór nad pomieszczeniami szkoły lub placówki lub terenem wokół szkoły lub placówki w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring) (art. 108a ust. 1. ustawy Prawo oświatowe)
  4. Gmina w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie gminy lub jednostek organizacyjnych gminy, a także na terenie wokół takich nieruchomości i obiektów budowlanych, jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej (art. 9a ust. 1. ustawy o samorządzie gminnym)
  5. Powiat w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie powiatu lub jednostek organizacyjnych powiatu, a także na terenie wokół takich nieruchomości i obiektów budowlanych, jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej (art. 4b ust. 1. ustawy o samorządzie powiatowym)

Co ciekawe nie ma analogicznego wymogu w ustawie o samorządzie województwa (art. 60 a ust. 1 i 2): Obowiązkiem osób uczestniczących w zarządzaniu mieniem województwa jest zachowanie szczególnej staranności przy wykonywaniu zarządu zgodnie z przeznaczeniem tego mienia i jego ochrona.  Ochrona mienia obejmuje w szczególności możliwość korzystania ze środków technicznych umożliwiających rejestrację obrazu (monitoring) na terenie nieruchomości i w obiektach budowlanych stanowiących mienie województwa, a także na terenie wokół takich nieruchomości i obiektów budowlanych.

Jednakże użycie słowa w szczególności oznacza, że jest to jeden z możliwych do zastosowania środków nadzoru, a nie środek wymagany do sprawowania nadzoru. Stosowanie monitoringu jest przywilejem administratora, nawet jeżeli korzystał z narzędzi służących do monitoringu przed nowelizacją przepisów, musi być w stanie wykazać adekwatność zastosowanego narzędzia służącego do przetwarzania danych osobowych do celu tego przetwarzania. W końcu z artykułu 5 RODO wynikają zasady minimalizacji danych i adekwatności do celu przetwarzania. Read More

22 wrz

Analiza ryzyk i zagrożeń – podejście praktyczne

RODO innowacyjnie w stosunku do dotychczasowych rozwiązań, podchodzi do kwestii doboru odpowiednich środków zapewniających rozliczalność danych (mam na myśli rozliczalność w rozumieniu fundamentalnych zasad przetwarzania danych, o których mowa w art. 5 RODO). W miejsce stałych wytycznych, które dotychczas prowadziły administratora danych za rękę, wprowadza podejście oparte na ryzyku. Jedyne konkretne (minimalne) wytyczne zostały wskazane w art. 32, tzn.

  • szyfrowanie i pseudonimizacja danych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ani słowa o hasłach, szafach, niszczarkach, zabezpieczeniach sieci. Administrator danych (firma) musi zapewnić zdolność do skutecznego zabezpieczenia danych, czyli samodzielnie dobiera odpowiednie środki i bierze za nie odpowiedzialność. A ich skuteczność ma być zagwarantowana przez ciągłe testowanie i ocenianie. W jaki sposób? To administrator danych decyduje. Oczywiście najważniejszą i najbardziej obiektywną oceną, czy zastosowane rozwiązania są skuteczne, będzie skuteczność. Jednakże jeżeli środki bezpieczeństwa zawiodą, administrator stanie przed koniecznością udowodnienia, że ze swojej strony robił wszystko co mógł, aby tak nie było, w tym dobór środków dyktował nie tylko ceną, ale także ich skutecznością. Będzie musiał okazać wyniki dokonywanych testów i oceny skuteczności zastosowanych zabezpieczeń. Narzędziem służącym do realizacji tego zadania jest analiza ryzyk i zagrożeń. Konieczność dokonania analizy wywodzimy także z art.  35 RODO, który wskazuje, że jeżeli dla konkretnego przetwarzania istnieje wysokie ryzyko naruszenia poufności, należy przeprowadzić ocenę skutków dla ochrony danych. Najpierw trzeba ocenić ryzyko, żeby wiedzieć, czy konieczna jest ocena skutków.

Kto powinien przeprowadzić analizę ryzyka

W tym momencie dla większości administratorów zaczyna się problem. Jak zrobić analizę ryzyka, czy można zrobić ją samodzielnie, czy trzeba zatrudnić zewnętrzną firmę? Jakich narzędzi użyć, czy jest to trudne? Jeżeli wyszukiwaliście w Internecie informacje o metodologii przeprowadzania analizy ryzyka, to wiecie, że jest to zagadnienie dość skomplikowane. Tym bardziej, że nie da się napisać uniwersalnego tekstu o analizie ryzyka, tak żeby był prosty i zrozumiały, bo należy uwzględnić zarówno potrzeby małych, średnich, jak i dużych przedsiębiorstw. Z audytów u klientów wiem, że bardzo często osoba, której przypadł zaszczyt przeprowadzenia analizy nie ma o tym zielonego pojęcia, a w najlepszym przypadku dostaje tabelkę z poleceniem proszę to uzupełnić. Uzupełnia, tak jak jej się wydaje, tak jakby wróżyła z fusów. Stwierdzając, że jest to bezużyteczne i nic nie daje. Dodatkowo jest ogromny nacisk ze strony kierownictwa, aby wszędzie wyszło niskie ryzyko. Read More

16 kwi

Ocena skutków przetwarzania według RODO

Ogólne rozporządzenie o ochronie danych osobowych to ewolucja dotychczasowego podejścia do zapewnienia bezpieczeństwa przetwarzanych danych, które powinno być oparte na ocenie ryzyka. Generalny Inspektor Ochrony Danych w grudniu 2017 roku opublikował dwuczęściowy poradnik: Jak rozumieć podejście oparte na ryzyku wg RODO? Warto do niego sięgnąć, aby zyskać ogólne pojęcie o zasadach szacowania ryzyka. Wadą poradnika jest jego uniwersalność i profesjonalizm, które mają zapewnić, że będzie miał zastosowanie zarówno do małych, jak i dużych organizacji. Dla osoby nie mającej pojęcia o szacowaniu ryzyka (albo w ogóle o ryzyku), może to być zbyt trudne źródło informacji (chociaż rzetelnie opracowane). Chciałabym podkreślić, że RODO nie narzuca żadnych konkretnych metod szacowania ryzyka – to administrator decyduje, jak dokona oceny tego ryzyka. Nie muszą to być wyrafinowane, czy skomplikowane metody. Podmioty publiczne mogą skorzystać z mechanizmów kontroli zarządczej – są im znane i od lat stosowane. Osoby rozpoczynające swoją przygodę z szacowaniem ryzyka, mogą robić tabele (macierze), ale mogą też po prostu wypisywać zidentyfikowane dla danego procesu ryzyka oraz ich skutki, a następnie opisywać co mogłoby je zminimalizować. Jest to metoda tak dobra, jak każda inna, dopóki działa i jest regularnie stosowana (to czy działa bardzo łatwo jest rozpoznać – zła metoda sprawia, że nie jesteśmy w stanie przeprowadzić analizy, utykamy w połowie). Read More

18 paź

[aktualizacja] Czy muszę mieć analizę ryzyka i zagrożeń?

Coraz częściej pytacie o to, czy istnieje obowiązek opracowania analizy zagrożeń i ryzyka. A tak w ogóle, to o co chodzi z tą analizą? Zgodnie z nazwą, analiza służy szacowaniu ryzyka i zagrożeń na poufności, integralności oraz rozliczalności informacji chronionych (myślę, że należy ten temat omawiać szerzej, nie tylko w zakresie danych osobowych). Krajowe przepisy o ochronie danych osobowych nie wskazują wprost na obowiązek opracowania analizy, jednakże już w ogólnym rozporządzeniu o ochronie danych osobowych, które będzie bezwzględnie obowiązywać od połowy 2018 roku, pojawia się konieczność szacowania ryzyka, aby móc zapewnić odpowiednie środki ochrony danych. Podobnie obowiązek szacować ryzyko mają wszystkie podmioty, które dotyczy Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego, czyli, te w których przetwarzane są informacje niejawne. Natomiast podmioty, które prowadzą rejestry publiczne są zobligowane do szacowania ryzyka na podstawie Rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.  Analiza ryzyka i zagrożeń to dokument będący wynikiem procesu szacowania ryzyka. Oznacza to, że nie można kupić gotowej analizy ryzyka i zagrożeń – powinna być ona tworzona indywidualnie dla każdego podmiotu. Read More