25 maja br. w życie weszło Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Wraz z wejściem rozporządzenia nastąpił informacyjny chaos, a podmioty przetwarzające dane nadal nie wiedzą lub nie są świadome konsekwencji związanych z nieprawidłowym zarządzaniem i przetwarzaniem danych opisanych w rozporządzeniu. Inne podmioty z obawy o koszty związane z wdrożeniem wytycznych pochodzących z rozporządzenia wycofały swoje produkty i rozwiązania z terenu UE lub całkowicie zlikwidowały swoją działalność na terenie Wspólnoty z powodu różnych regulacji i interpretacji rozporządzenia w poszczególnych krajach. Są też instytucje, które źle interpretują przepisy lub też nadinterpretują postanowienia Rozporządzenia – pisze Maciej Ostasz z Centrum Analiz Propagandy i Dezinformacji.
Czym jest RODO?
Na temat tego czym jest RODO, można w sieci znaleźć wiele artykułów, które zazwyczaj w sposób niekoniecznie zrozumiały dla zwykłego czytelnika omawiają ogólne zasady funkcjonowania rozporządzenia. Skrót RODO jest rozwijany jako Rozporządzenie o Ochronie Danych Osobowych i jest odpowiednikiem angielskiej nomenklatury, która brzmi General Data Protection Regulation (GDPR). Ze względu na bezpośrednie tłumaczenie zapisu z języka angielskiego, które brzmi Ogólne rozporządzenie o ochronie danych, wiele podmiotów uważa, że są to dwa różne rozporządzenia. Ponieważ nie jest to dokładnym rozwinięciem tytułowego skrótu, rodzi się w wielu przedsiębiorcach i małych instytucjach niepewność, czy aby na pewno należy wdrożyć to, co opisane jest w ogólnym rozporządzeniu czy w RODO.
Samo rozporządzenie jest spisem ogólnych zasad ochrony danych osobowych, a co za tym idzie prywatności każdego człowieka i możliwości decydowania o tym, czy informacje na jego temat mogą być przetwarzane (używane) przez podmioty i instytucje oraz w jakim stopniu. Rozporządzenie to z technicznego punktu widzenia ma ustandaryzować proces przetwarzania danych w krajach UE. Jest też dokumentem, który wyznacza nowe światowe standardy dotyczące prywatności i ochrony danych. Niestety na poziomie praktycznym standaryzacja ta niekoniecznie działa prawidłowo w odniesieniu do Unii jako całości. Każdy z krajów członkowskich może dodatkowo wprowadzać regulacje, które w mniejszym lub większym stopniu mogą wpłynąć na spójność ogólnych przepisów w odniesieniu do całej Wspólnoty.
RODO – Unia Europejska w obliczu dostępu do usług pozawspólnotowych
W ciągu ostatnich kilku miesięcy na rynku usług cyfrowych można było zauważyć duże poruszenie związane z wprowadzeniem nowego rozporządzenia w UE. Samo rozporządzenie nie jest niczym nowym, ponieważ zostało ogłoszone ponad dwa lata temu. Wyzwaniem stały się przepisy o ochronie danych w poszczególnych krajach Wspólnoty, które okazały zbyt dużym wyzwaniem dla wielu dostawców usług spoza Unii. Problemem nie jest samo dostosowanie się do nowych przepisów, ile koszty i czas, które należy poświęcić na dostosowanie usług do rozporządzenia ogólnego i przepisów krajowych. Firmy, które są zdeterminowane do działania w państwach UE, czasowo zawiesiły swoją działalność, by dostosować swoje produkty i usługi do obecnej sytuacji prawnej. Wiele podmiotów z Azji czy Stanów Zjednoczonych zakończyło swoją bezpośrednią działalność lub wycofało część swoich usług z Unii, argumentując to ogromnymi kosztami związanymi ze stale zmieniającymi się przepisami w poszczególnych krajach – w tym ciągłym dostosowywaniu swoich usług do prawa finansowego – oraz braku jednolitych przepisów dotyczących całej Unii. Ostatecznie skutkuje to przeniesieniem części usług do pośredników, którzy będą świadczyć te rozwiązania zgodnie z obowiązującym prawem, ale już po dużo wyższej cenie niż bezpośrednio od producenta czy usługodawcy. W grupie tej są również firmy, które rozważają całkowitą rezygnację ze świadczenia usług na terenie UE.
Rozporządzenie w praktyce – Polska
Sytuacja polskich firm, w których przetwarzane są dane osobowe, nie jest dobra, a w wielu przypadkach wręcz krytyczna. Nieoficjalnie mówi się, że tylko niecałe 30% polskich przedsiębiorstw wdrożyło odpowiednie rozwiązania związane z wejściem w życie rozporządzenia. Ten stan rzeczy potwierdzają specjaliści IT z różnych województw. Ilość zamówień na usługi związane z wdrożeniem RODO w przedostatnim tygodniu maja wzrosła lawinowo. Wiele firm, choć miało dwa lata na przygotowanie się do wytycznych rozporządzenia, zbagatelizowało sprawę. Wiele firm z sektora MŚP do tej pory nie jest świadoma, że w ich zasobach znajdują się dane wrażliwe, którymi należy odpowiednio administrować i wobec których konieczne jest stosowanie się do wytycznych. W tej grupie znajduje się również bardzo duża podgrupa mikroprzedsiębiorstw, która świadczy usługi finansowe i / lub ubezpieczeniowe, a w których wszystkie bazy danych łączenie posiadają ok. 70% danych osobowych obywateli Polski. Choć z prawnego punktu widzenia w większości przypadków są oni tylko procesorami, pośrednicy finansowi i ubezpieczeniowi posiadają bazy danych, w których gromadzone są dane wrażliwe, co czyni ich faktycznie ich administratorami. Są to m.in. dane teleadresowe, informacje o ubezpieczeniach i usługach finansowych, informacje o stanie zdrowia oraz posiadanym majątku. Zazwyczaj dane zapisywane są w programach komputerowych bądź spisy prowadzi się w arkuszach kalkulacyjnych. Przedsiębiorcy nie zdają sobie sprawy, że świadczenie usług pośredniczych i posiadanie własnej bazy klientów to dwa oddzielne segmenty, które należy rozgraniczyć i precyzyjnie zadeklarować, do którego momentu jest się procesorem, a od lub do którego momentu jest się administratorem. Sprawa jest o tyle poważna, że nadal wiele firm z sektora pośrednictwa nawet nie zamierza wdrażać dodatkowych procedur związanych z RODO ze względu na brak świadomości o konieczności dostosowania swoich usług do rozporządzenia.
Kolejny problem to brak odpowiedniej kampanii informacyjnej na temat praktycznych rozwiązań związanych z dostosowaniem działalności do nowych przepisów. Faktem jest że w sieci można znaleźć wiele przykładów dotyczących zarządzaniem i administrowaniem takimi danymi, ale zazwyczaj rozwiązania te nie mają zastosowania w sektorze MŚP ze względu na zbyt szczegółowe rozwiązania, które niekoniecznie sprawdzą się w małych i średnich firmach. Problemem jest tu także fakt, że do tej pory temat ochrony danych osobowych był traktowany bardzo pobieżnie, a wręcz był spychany na dalszy plan. Wycieki informacji z dużych instytucji czy firm faktycznie budziły oburzenie w skali kraju, ale w przypadku wycieków danych z małych organizacji nikt nie był świadomy takiej sytuacji, ponieważ firmy do tej pory nie miały obowiązku informować o takich przypadkach. Brak świadomości tego, że wyciek danych wrażliwych z kilkunastu małych firm może doprowadzić do sytuacji, gdzie suma takich danych może być równoważna wielkości bazy dużej instytucji, daje jednak do myślenia. Przywołane wcześniej firmy świadczące usługi pośrednictwa (zazwyczaj są to multiagencje skupiające wokół siebie wiele firm finansowych lub ubezpieczeniowych) są najlepszym przykładem tego, co stałoby się, kiedy za pomocą jednego z administratorów zostałoby rozesłane złośliwe oprogramowanie, którego zadaniem byłoby wyciągnięcie danych wrażliwych od pośredników, czyli w teorii procesorów. Polska nie jest wyjątkiem we Wspólnocie. Przedsiębiorcy z innych krajów członkowskich również borykają się w mniejszym lub większym stopniu z procesem wdrożenia nowego rozporządzenia. Podobnie jak w Polsce, w większości krajów UE nie została przeprowadzona odpowiednia kampania informacyjna. Doprowadziło to do sytuacji, w której wymogów rozporządzenia nie spełnia co najmniej połowa wspólnotowych przedsiębiorstw i organizacji.
Ocena ryzyka
Nowym pojęciem dla wielu instytucji i firm, które pojawiło się w raz z wejściem RODO, jest ocena ryzyka. Jest to dokument określający wszystkie możliwe formy nieprawidłowego przetwarzania danych, przekazania i utraty danych w sposób przypadkowy, z powodów związanych z atakiem na infrastrukturę teleinformatyczną organizacji, infekcją sprzętu komputerowego, czynnikami naturalnymi, spowodowane błędami ludzkimi, awaryjnością sprzętu etc. Ocena ryzyka musi być dokumentem profilowanym (spersonalizowanym). Oznacza to, że jest spisem wystąpienia ryzyka, utraty lub niepoprawnego przetwarzania, w którym znajdują się wszystkie możliwe zagrożenia związane z przetwarzaniem danych wrażliwych w przedsiębiorstwie lub organizacji o określonej specyfice i działalności. Wiadome jest, że profil ogólny może być bardzo podobny w wielu firmach, lecz w tym dokumencie należy szczegółowo opisać wszystkie typy ryzyka, które mogą narazić dany podmiot na utratę danych lub czynności związane z nieprawidłowym ich przetwarzaniem. Obligatoryjnie należy umieścić w tym dokumencie wszystkie możliwe scenariusze związane z utratą danych. Przykładowo mogą to być takie czynniki, jak uszkodzenie sprzętu, pożar lub złośliwe oprogramowanie.
Samo pojęcie oceny ryzyka nie jest nowością. Metodyka oceny ryzyka jest elementem normy ISO 9001 opisującej system zarządzania jakością i jest integralnym elementem opartym o rodzinę standardów ISO 31000, dotyczących zarządzania ryzykiem. ISO 31000 opublikowano pod koniec 2009 i od tamtego momentu standardy są aktualizowane zgodnie z postępem technologicznym. Materiały dotyczące ISO 9001, jak i rodziny standardów ISO 31000, są dostępne w Internecie na stronie organizacji oraz w wielu bezpłatnych i ogólnodostępnych dokumentach, w tym studium przypadków związanych z wdrożeniem norm ISO. Bazując na informacjach zawartych w dokumentacji ISO oraz ogólnych opisach standardów można przygotować dokument oceny ryzyka organizacji, który będzie zgodny z wytycznymi Rozporządzenia.
Praktyczne rozwiązania związane z cyfrowym procesem przetwarzaniem danych w MŚP
W przypadku gdy przedsiębiorstwo lub organizacja, gromadzi dane w sposób cyfrowy, tzn. za pomocą oprogramowana komputerowego oraz dokumenty papierowe są przechowywane w postaci cyfrowej (w formie skanów) w celu archiwizacji dokumentacji, podmiot ten odpowiada za bezpieczeństwo na przestrzeni całej infrastruktury technicznej i fizycznej. Oznacza to, że sieć komputerowa i wszystkie urządzenia w niej pracujące muszą być należycie zabezpieczone przed włamaniem, przejęciem lub utratą danych. Przedstawione rozwiązania to stosowane w przedsiębiorstwach składowe elementy norm ISO, jak i wytyczne organizacji i firm dostarczających systemy teleinformatyczne oraz systemy i rozwiązania dotyczące bezpieczeństwa. Są to przykładowe solucje związane z dobrymi praktykami dotyczącymi bezpieczeństwa informacji.
Sieć komputerowa
W większości biur lub domów (jeżeli działalność prowadzona jest w miejscu zamieszkania), komputery i inne urządzenia zazwyczaj łączą się z siecią za pomocą routera Wi-Fi. Aby połączenie było bezpieczne należy zabezpieczyć wszystkie punkty dostępu i administracji takiego urządzenia. Elementy wymagające odpowiedniego zabezpieczenie to:
– dostęp do panelu zarządzania urządzeniem – tu najlepiej zmienić login administratora (jeśli istnieje taka możliwość) oraz ustawić hasło o długości co najmniej12 znaków alfanumerycznych wraz ze znakami specjalnymi (np.: !@#$%^&*). Zalecana długość hasła to co najmniej 24 znaki;
– hasło do sieci Wi-Fi o długości 24 znaków alfanumerycznych wraz ze znakami specjalnymi – im dłuższe hasło dostępu, tym trudniej je złamać. Hasło do firmowej sieci bezprzewodowej, które posiada 24 znaki spełnia wymagania oraz rekomendacje dotyczące bezpieczeństwa;
– aby podwyższyć poziom bezpieczeństwa w ustawieniach routera można ustawić tak zwaną „białą listę”. Jest to spis urządzeń, które mają pozwolenie na korzystanie z tej sieci. Tym samym inne urządzenia nie będą mogły korzystać z jej zasobów.
W przypadku, gdy udostępniamy Internet gościom lub klientom, należy stworzyć do tego oddzielną sieć (jeżeli router ma taką możliwość – tzw. sieć dla gości) lub przygotować odseparowaną sieć za pomocą dodatkowego urządzenia, które pozwoli na łączenie się z Internetem, ale bez możliwości zarządzania głównym routerem sieci. W przypadku udostępniania sieci klientom to na organizacji ciąży obowiązek poinformowania klienta o przetwarzaniu jego danych w sieci, np. tak jak to wygląda w restauracjach czy w hotelach.
Sprzęt komputerowy
Sprzęt komputerowy dzieli się na dwie grupy: urządzenia mobilne (laptopy, tablety, smartfony, Stick PC) i sprzęt stacjonarny (komputery stacjonarne, All-in-One, mini komputer typu NUC). Dla obu grup należy wykonać następujące czynności:
– zabezpieczyć oprogramowanie układowe urządzenia (BIOS, UEFI) hasłem przed nieupoważnionym dostępem;
– zablokować możliwość botowania z innych źródeł niż dysk twardy komputera;
– dotyczy systemów MS Windows (dla komputerów pracujących jedynie w grupie roboczej) należy utworzyć konto administratora, z którego poziomu będzie można zarządzać komputerem (dla każdego komputera w firmie inna nazwa konta administratora i hasła – co najmniej 12 znaków, do tego hasło administratora w MŚP powinno być zmieniane raz na pół roku, maksymalnie raz na rok). W przypadku zarządzania domenowego, można ustalić zasady zarządzania kontami użytkowników z poziomu serwera;
– ograniczyć konto, na którym pracujemy do poziomu użytkownika oraz zabezpieczyć go hasłem o długości co najmniej 10 znaków. Hasło należy zmieniać co 30 dni (w systemie można ustawić wymuszenie zmiany hasła);
– sprzęt powinien posiadać odpowiednie oprogramowanie antywirusowe, zabezpieczające dostęp do komputera i danych na dysku. Tu należy nadmienić, że wykorzystywanie bezpłatnego oprogramowania stanowi lukę w zabezpieczeniach. Są to zazwyczaj mocno okrojone pakiety antywirusowe, które mają ograniczoną funkcjonalność.
Dodatkowe wytyczne dla komputerów stacjonarnych
Jeżeli w firmie archiwizacja danych będzie przechowywana na komputerze stacjonarnym, należy zadbać o to, by posiadał on dodatkowe dwa dyski twarde połączone w systemie RAID 1 (w tym samym czasie będą zapisywać na sobie te same dane, ale w przypadku, gdy jeden z dysków ulegnie uszkodzeniu, dane zachowają się na drugim). Kopie i archiwa umieszczone na dysku powinny być przechowywane w sposób z ograniczonym dostępem lub w zaszyfrowanej postaci, tak by osoby postronne nie mały do nich dostępu.
Dodatkowe wytyczne dla sprzętów mobilnych
Każde urządzenie mobilne, niezależnie od tego, pełni rolę sprzętu stacjonarnego (nie jest wynoszony po za biuro), czy jest typowym sprzętem mobilnym, na którym znajdują się aplikacje do przetwarzania danych oraz ich bazy, musi być zaszyfrowane z wymuszeniem wpisania hasła dostępu przed uruchomieniem systemu operacyjnego (np. za pomocą funkcji BitLocker lub narzędzia TrueCrypt – dla komputerów z systemem Windows, Linux; w przypadku MACa należy zaszyfrować dysk za pomocą wbudowanego narzędzia). Tablety i urządzenia smart mają wbudowaną funkcję szyfrowania w system, którą należy ją uruchomić.
Trzeba również pamiętać o tym, że urządzenia mobilne muszą przechodzić okresowe kontrole bezpieczeństwa (raz na pół roku lub rok – dotyczy laptopów, Stick PC i tabletów oraz smartfonów). Po każdej kontroli powinien być sporządzony raport potwierdzający odpowiednie zabezpieczenie sprzętu. Raport ten należy archiwizować w formie papierowej z podpisem osoby dokonującej przegląd przez okres 5 lat. Rekomendowany odstęp między przeglądami to 6 miesięcy.
Zgodnie z wytycznymi każda firma posiadająca aplikację, w której zapisane są dane osobowe, musi zabezpieczyć takie dane w sposób umożliwiający dostęp lub odtworzenie danych na wezwanie osoby, której dane dotyczą oraz Urzędu Ochrony Danych Osobowych (UODO). Związane to jest z procesem archiwizacji. W przypadku, gdy w zbiorach przedsiębiorstwo lub organizacja posiada takie dane, obowiązkiem jest przeprowadzenie archiwizacji całej dokumentacji w sposób pozwalający na szybkie odnalezienie danych na potrzeby m.in. kontroli. Archiwizacja danych powinna odbywać się przykładowo na zewnętrznym nośniku danych o odpowiednim poziomie zabezpieczeń, zapobiegającym utracie danych oraz o utrudnionym dostępie. W przypadku utraty takiego nośnika (np. zaszyfrowany dysk przenośny) nie będzie możliwości odtworzenia danych zapisanych bez podania hasła dostępu. Jeżeli przestrzeń archiwizacyjna wydzielona jest w infrastrukturze informatycznej przedsiębiorstwa lub organizacji (np. wspomniany wcześniej komputer stacjonarny, odpowiednio przygotowany do przechowywania danych archiwalnych), dostęp do takich danych powinny mieć tylko wyznaczone osoby, wskazane przez Inspektora Ochrony Danych (DPO).
Urządzenia drukujące, wielofunkcyjne i sprzęt IoT
Drukarki sieciowe pozwalające na tzw. wydruk podążający (połączone do sieci LAN i Internetu), zazwyczaj mają wbudowany mniejszy lub większy system zarządzania. Podobnie jak w routerze należy go odpowiednio zabezpieczyć przez możliwością dostępu osobom trzecim. Dodatkowo, jeżeli urządzenie posiada łączność Ad-Hoc i jest ona włączona, to należy ją wyłączyć.
W przypadku urządzeń IoT, należy je skonfigurować w taki sposób, aby dostęp do nich odbywał się jedynie na określonych zasadach i z określonymi uprawnieniami (np. kamerki on-line). W przypadku zainstalowanych kamer on-line ogólnego dostępu nie mogą one być skierowane na miejsca, gdzie dokonuje się podpisów dokumentów oraz miejsca przetwarzania informacji, wydawania kart dostępów czy kluczy (np. na podstawie zdjęcia klucza, można zrobić kopię klucza).
Ustawienie sprzętu w miejscach obsługi interesantów/klientów
Ekran komputera, monitora lub innego urządzenia wyposażonego w wyświetlacz, na którym odbywa się przetwarzanie danych, nie może być zwrócony do drzwi oraz do ogólnodostępnych okien (np.: mówimy tu o sytuacji możliwości patrzenia na ekran na parterze lub w biurowcu, punkcie handlowym, przez szybę witryny). Ekranu nie mogą widzieć osoby postronne, a w przypadku kiedy trzeba pokazać dane klientowi (np. do wglądu lub akceptacji) należy odwrócić ekran do klienta. Niedopuszczalne jest przechowywania haseł w ogólnodostępnych miejscach, np. naklejki na monitorach czy laptopach. Niezależenie od sytuacji każdy z pracowników opuszczający miejsce pracy ma obowiązek zablokować dostęp do komputera, np. poprzez zablokowanie ekranu. Z punktu widzenia RODO pozostawienie niezabezpieczonego miejsca przetwarzania informacji wrażliwych jest niedopuszczalne. Dotyczy to dokumentacji papierowej (np. zasada czystego biurka), jak i dostępu cyfrowego.
Rozporządzenie a dezinformacja w przestrzeni cyfrowej
Wejście w życie RODO jest również kolejnym, syntetycznym etapem walki z rosnącą falą dezinformacji. Mechanizmy zawarte w rozporządzeniu dają możliwość każdemu użytkownikowi sieci wyłączenia profilowania jego osoby. Oznacza to, że treści reklamowe wyświetlane na różnych stronach nie będą dedykowane pod danego użytkownika. Przykładem jest np. wizyta na stronie internetowej X oraz przeglądanie dostępnych tam usług lub produktów. Kiedy przeglądane są inne witryny internetowe, portal społecznościowy lub informacyjny, wyświetli się reklama strony X, promującej usługi lub produkty, które były oglądane.
W podobny sposób jest profilowana każda osoba posiadająca konta w kanałach społecznościowych. Na podstawie polubień, udostępnień oraz przeglądanych i komentowanych artykułów, do tej pory możliwe było wysyłanie sponsorowanych reklam do określonej grupy odbiorców na podstawie określonego profilu każdego użytkownika. Profilowanie było użyte m.in. w mechanizmach Cambridge Analytica (C.A.), użytych podczas ostatniej kampanii prezydenckiej w USA. Ograniczenia w przetwarzaniu danych profilujących użytkowników w teorii mają za zadanie zredukować możliwość przesyłania spersonalizowanych spotów do wybranych grup odbiorców, co znacząco ograniczy mechanizmy inżynierii społecznej, wykorzystywanej przy różnego rodzaju okazjach. Ograniczenie zbierania informacji o użytkownikach Internetu spowoduje oczywiście powstanie nowych sposobów pozyskiwania informacji w sposób legalny lub rozwiązania, które nie podlegają pod Rozporządzenie oraz nie były do tej pory wykorzystywane w procesie pozyskiwania informacji.
Mechanizmy ograniczające pozyskiwanie i przetwarzanie informacji o użytkownikach zaczną poprawnie działać na przełomie od 3 do 6 lat. Jest to związane z już pozyskanymi informacjami o użytkownikach Internetu oraz możliwości profilowania i dostosowywania informacji profilowanych do momentu wejścia w życie kolejnych globalnych trendów, rozwoju i transformacji sektora mediów społecznościowych oraz kanałów komunikacyjnych. Dostosowanie obecnych mediów społecznościowych do Rozporządzenia, na wielu płaszczyznach może okazać się bardzo trudne, co może doprowadzić do ograniczenia działalności na terenie UE niektórych portali. W takim przypadku znajduje się Facebook Inc. wraz ze swoimi usługami dodatkowymi, m.in. Instagram i Messenger. Po wspomnianej wcześniej aferze związanej z firmą C.A. musi on również całkowicie przebudować mechanizmy profilowania użytkowników oraz dostosować je do wytycznych RODO.
Rozporządzenie to pozwala również ograniczyć pewne działania w skali regionalnej, jak wycieki danych czy utraty kontroli nad administrowanymi bazami danych. Da ono możliwość na czas uczulić klientów o tym, co wydarzyło się oraz jakie mogą być konsekwencje danego incydentu. Chaos informacyjny wprowadzany przykładowo przez media lokalne zostanie ograniczony przez konieczność przesłania informacji do klientów o danym wydarzeniu czy zajściu, jakie są prowadzone działania oraz co należy zrobić i czego unikać, aby nie stać się ofiarą lub agresorem (w przypadku, gdy właściciel danych zostanie nakierowany na pewne działania poprzez wykorzystanie socjotechnik).
Ograniczenie w profilowaniu dostarczanych informacji będzie miało pozytywny wpływ na jakość przekazu dostarczanego do odbiorcy. Ważnym aspektem w tej kwestii jest jeszcze wprowadzenie instytucji monitorowania mediów cyfrowych, która będzie niezależną organizacją wpływającą na blokowanie treści propagandowych i dezinformacyjnych. Działanie mechanizmów RODO wraz z funkcjonowaniem takiej organizacji w znacznym stopniu może ograniczyć wpływ dezinformacji na społeczeństwo.