ISM

Implementacja RODO od strony technicznej

Napisał 5 maja 20180 komentarzy
RODO od strony technicznej

Poniżej przedstawiam swoje rozważania – jak wdrożyć RODO w firmie z sektora MSP od strony praktycznej. Nie jestem prawnikiem, więc skupię się na aspektach technicznych. Mam nadzieję, że wpis będzie stanowił inspirację dla najmniejszych przedsiębiorców – jak poważnie podchodzić do ochrony danych osobowych.

RODO i firmy z branży MSP

Mam wrażenie, że małe firmy (do 20 osób) nadal mają wątpliwości jak przełożyć wymagania RODO na praktyczne zmiany w sposobie funkcjonowania i postępowania z danymi osobowymi. Wg informacji PARP: „Sektor MŚP stanowi miejsce pracy dla 69% pracujących w przedsiębiorstwach, generuje ponad połowę (56%) przychodów ogółem oraz blisko jedną trzecią wartości eksportu wyrobów i usług (30%)”. Najmniejsze firmy mają ograniczony budżet co dla nich przekłada się na niedostępność usług renomowanych firm lub profesjonalnych audytorów RODO. W dalszej części podpowiem – jakie elementy praktyczne należy wziąć pod uwagę przy analizie ryzyka przy wdrażaniu RODO.

Analiza ryzyk w RODO

W pierwszym etapie należy przeprowadzić analizę ryzyk związanych z przetwarzaniem danych osobowych (pracownicy, dostawcy, klienci). W tym celu warto zacząć od określenia miejsc, gdzie dane osobowe są przechowywane i przetwarzane. Pomocna tutaj może być infografika dot. Inwentaryzacji danych osobowych  przygotowana przez Stowarzyszenie ds. Bezpieczeństwa Systemów Informacyjnych. Komisja Europejska przygotowała krótki informator na temat RODO dla MSP,  z którego można się dowiedzieć o podstawowych wymaganiach RODO. Nieco bardziej rozbudowany przewodnik po RODO dla małych i średnich przedsiębiorców przygotowało Ministerstwo Przedsiębiorczości i Technologii. W kolejnych etapach analizy ryzyk trzeba rozważyć:
-cele przetwarzania danych osobowych,
-proces pozyskiwania zgód na przetwarzanie,
-ryzyka związane z przetwarzaniem danych, określeniem podatności i zagrożeń,
-ocenę skutków (wysokie ryzyka przetwarzania danych) – przeprowadzana w sposób ciągły, umożliwiający reakcję na zmiany technologiczne.
-zabezpieczenia organizacyjne stosowane w firmie dot. przetwarzania danych osobowych,
-zabezpieczenia techniczne związane z przetwarzaniem danych osobowych. Można skorzystać z zaleceń standardu ISO 27001:2013, na bazie którego stowarzyszenie ISSA Polska przygotowało rekomendacje dla MSP.

Podstawowa różnica pomiędzy do tej pory obowiązującym UODO a RODO to fakt, iż nowe uregulowania wymagają przygotowania projektu przetwarzania danych osobowych i zabezpieczeń (Privacy by Design). A to oznacza, że na każdym etapie funkcjonowania firmy należy brać pod uwagę zabezpieczenie przetwarzanych danych osobowych i listę czynności z tym związanych.

Kolejne wymagania RODO

Ustawodawca oczekuje, że przedsiębiorcy na serio zaczną traktować ochronę danych osobowych i dlatego oczekuje od nich ciągłego monitorowania zgodności z RODO, na każdym etapie związanym ze zbieraniem i przetwarzaniem danych osobowych. Oczywiście to wymaga od przedsiębiorców planowania zmian (organizacyjnych, technicznych) w taki sposób aby uwzględniali wszystkie aspekty związane z przetwarzaniem danych osobowych. W tym celu przedsiębiorcy powinni opracować dokumentację zarządzania zmianą uwzględniającą czynności przetwarzania danych i zabezpieczeń. W przypadku audytu ze strony organu nadzoru (GIODO) taka dokumentacja może się okazać przydatna jako jeden z dowodów, że firma zaimplementowała regulacje RODO.

Kolejne dowody implementacji regulacji RODO w firmie to zapewnienie możliwości audytowania firmy pod kątem RODO. W tym celu przedsiębiorca musi udowodnić, że zaimplementował regulacje RODO we wszystkich obszarach swojej działalności. W praktyce przedsiębiorca powinien wykazać, że ma pełną kontrolę nad danymi osobowymi od momentu ich wprowadzenia do firmy aż do momentu ich skasowania, względnie pseudonimizacji (rozliczalność). Kolejne wymaganie RODO ma związek z incydentami bezpieczeństwa w firmach, czyli wyciekami danych. Przedsiębiorcy powinni mieć instrukcję postępowania na wypadek wystąpienia incydentu i w razie jego wystąpienia powinni szybko poinformować o wycieku danych osobowych osoby których incydent dotyczy. Jak w praktyce przygotować się do implementacji regulacji RODO?

Analiza wdrożenia RODO w firmie MSP

Wyobraźmy sobie przedsiębiorcę Pana Jana zatrudniającego kilka osób, działającego w branży usługowej i handlowej. Pan Jan jest skupiony na rozwijaniu swojego biznesu, sporo czasu zajmuje mu pozyskiwanie nowych klientów. Pan Jan przekonał się, że niektóre usługi warto zlecać na zewnątrz firmy, ponieważ per saldo koszty firmy są niższe a on ma więcej czasu dla firmy. Pan Jan obecnie korzysta z poniższych usług firm zewnętrznych:
-hosting strony internetowej informującej o usługach firmy,
-rejestracja domen internetowych – zapewnia rejestrator domen,
-dostawca certyfikatu SSL dla serwisów www – reseller certyfikatów SSL,
-poczta elektroniczna w Gmail – maile i numery telefonów synchronizowane,
-utrzymanie strony internetowej – backupy i aktualizacje wykonywane przez webmastera,
-zmiany oprogramowania sklepu internetowego – wykonywane przez programistę,
-zmiany graficzne na stronie internetowej – wykonywane przez grafika,
-zmiany optymalizacyjne pod kątem SEO zlecane firmie pozycjonującej,
-prowadzenie fanpage firmy na Facebooku zlecane córce znajomego (konkursy na FB),
-okresowy serwis firmowych komputerów zlecany firmie outsourcingowej IT,
-okresowe naprawy smartfonów,
-okresowe konserwacje kamer CCTV w biurze – wykonywane przez zewnętrzną firmę,
-udostępnianie dużych plików przez Internet – Dropbox, Dysk Google, One Drive,
-wystawianie faktur – dedykowana usługa zewnętrznej firmy dostępna w Internecie,
-prowadzenie księgowości przez zewnętrzne biuro rachunkowe,
-przesyłki kurierskie do klientów– zlecane różnym firmom.

Pan Jan powinien przeprowadzić analizę ryzyk i wdrożyć odpowiednie zmiany w swojej działalności szczególnie w zakresie dotyczącym przetwarzania danych osobowych. Na co powinien zwrócić szczególną uwagę Pan Jan?

Dokumenty związane z wdrożeniem RODO

W pierwszym kroku Pan Jan powinien sobie postawić pytania: gdzie znajdują się dane osobowe, w jakim celu są przetwarzane i jakie ma podstawy zgody na przetwarzanie danych osobowych. W trakcie tej analizy musi przeanalizować (i zmienić?) formularze na stronie www i w sklepie internetowym, musi również uwzględnić zmiany w treści regulaminów, polityki prywatności i polityki cookies w firmowych serwisach internetowych. Pan Jan powinien spisać listę używanych aplikacji i danych dostępowych (w szczególności uprawnienia administracyjne i umożliwiające dostęp do danych osobowych). W kolejnym kroku przedsiębiorca powinien sporządzić rejestr osób z dostępem do danych klientów (z firmy i osób spoza firmy).

Następnie po analizie – powinien przygotować rejestr czynności przetwarzania danych osobowych oraz instrukcję postępowania w razie incydentu. Osoby zatrudnione w firmie powinny być przeszkolone zakresu bezpieczeństwa i ochrony informacji, co powinno mieć odzwierciedlenie m.in. w postaci ewidencji osób upoważnionych do przetwarzania danych osobowych. W przypadku podmiotów zewnętrznych przedsiębiorca występujący jako ADO (Administrator Ochrony Danych Osobowych) lub zatrudniający Inspektora Ochrony Danych Osobowych (IODO) powinien mieć umowy powierzenia przetwarzania danych osobowych. Takie umowy powinien zawrzeć np. z Biurem Rachunkowym, Webmasterem czy innymi dostawcami usług. W przypadku części firm umowy powierzenia przetwarzania danych stanowią część umowy o świadczenie usług (regulamin) – np. w przypadku korzystania z usług firmy hostingowej. W takich przypadkach Pan Jan musi sprawdzić czy firma z której usług korzysta – zaimplementowała uregulowania RODO (GDPR). Jeśli tego nie zrobiła – należy podpisać z nią umowę powierzenia przetwarzania danych osobowych względnie zrezygnować z usług i wybrać firmę która przestrzega regulacji RODO.

Mali przedsiębiorcy którzy nie mają powyższej dokumentacji i nie mają czasu i ochoty na jej tworzenie, mogą skorzystać ze wzorców proponowanych przez prawników w umiarkowanych cenach, np.:
http://ebook.blizejprawa.com/rodo-dla-e-commerce/
https://prakreacja.pl/rodo-dla-tworcow-internetowych/

Dokumenty które w ten sposób nabędą – przedsiębiorcy powinni spersonalizować pod kątem własnej firmy, uwzględniając realia i wyniki analizy ryzyk. Posiadanie dokumentacji związanej z RODO nie przesądza o przestrzeganiu regulacji RODO. Zamiarem ustawodawcy zapewne nie było mnożenie dokumentacji w firmach lecz zwrócenie uwagi na konieczność zapewnienia realnej ochrony danych osobowych.

Scenariusz wdrożenia RODO w MSP

Uwzględniając powyższe informacje – przedsiębiorca Pan Jan powinien już mieć zarys czynności które musi wykonać aby przygotować dokumentację do wdrożenia RODO. Co dalej? Przedsiębiorca Pan Jan powinien się zastanowić nad zmianami organizacyjnymi, w szczególności komu, jak i po co przekazuje dane dostępowe do aplikacji zawierających dane osobowe. Pan Jan powinien zweryfikować zakres umów powierzenia, umowy NDA z usługodawcami. Przedsiębiorca Jan powinien się bardziej zainteresować dostępnymi technologiami i produktami pomagającymi w zabezpieczeniu danych osobowych. Przykład: Do tej pory Pan Jan wysyłał dane dostępowe do serwisów www mailem w postaci czystego tekstu, podobnie postępował z niektórymi dokumentami wysyłanymi do biura rachunkowego: umowy o pracę, faktury, arkusz excela z danymi klientów. Od tej pory musi te dane zabezpieczyć – najlepiej zaszyfrować.

Szyfrowanie danych a RODO

Pan Jan może wybrać jeden z kilku scenariuszy. Może szyfrować maile za pomocą PGP wykorzystując program pocztowy Mozilla Thunderbild i publiczny klucz kryptograficzny odbiorcy. W sytuacji gdy odbiorca maili nie jest gotowy na taki scenariusz, Pan Jan może wysyłać wrażliwe dane do swoich partnerów jako załącznik do maila. Wcześniej jednak powinien spakować pliki zawierające dane osobowe za pomocą darmowego programu 7-zip wykorzystując opcję szyfrowania. Hasło do zaszyfrowanego pliku Pan Jan powinien przesłać inną drogą – np. SMSem.

Szyfrowanie załączników do maili

W przypadku plików i katalogów zapisanych na dyskach firmowych komputerów przedsiębiorca może zastosować szyfrowanie dysku przy wykorzystaniu np. darmowego programu Veracrypt lub komercyjnych programów takich jak Bitlocker  względnie Drivecrypt. Wspomniane programy umożliwiają zaszyfrowanie całego dysku lub wybranego katalogu czy pliku tym samym stanowią zabezpieczenie danych osobowych (i nie tylko) zapisanych na nośniku.

Przedsiębiorca korzysta z wielu usług do których uzyskuje dostęp po podaniu danych dostępowych (zwykle adres, login, hasło). Aby nie zapomnieć haseł – często stosuje jedno hasło do wszystkich usług. Interpretując ducha RODO takie zachowanie przedsiębiorcy stanowi duże zagrożenie dla przetwarzanych przez niego danych osobowych. Pan Jan powinien zmienić swoje nawyki i zacząć stosować różne hasła dobrej jakości do różnych serwisów. Może to zapisać w firmowej polityce bezpieczeństwa. Zapamiętanie kilkunastu lub więcej haseł może sprawiać trudności z ich zapamiętaniem, dlatego Pan Jan powinien rozważyć używanie menedżera haseł, np., darmowy Keepass. A co z pozyskiwaniem zgód na przetwarzanie danych?

Serwisy internetowe a RODO

Przedsiębiorca z sektora MSP zwykle posiada stronę internetową zawierającą informacje o usługach firmy, czasem blog, niekiedy fanpage na Facebooku. Wielu przedsiębiorców prowadzi sprzedaż przez Internet wykorzystując skrypty sklepów internetowych. W takich przypadkach Pan Jan musi przeanalizować wszystkie formularze używane w serwisach internetowych i sprawdzić czy są zabezpieczone certyfikatem SSL. Jeśli nie, powinien zakupić certyfikat SSL dla strony internetowej i zlecić jego poprawną konfigurację specjaliście. W przypadku formularzy użytkowanych w serwisach www Pan Jan powinien zmienić ich konfigurację w taki sposób aby zgody na przetwarzanie danych były podzielone na kilka sekcji: zgody wymagane do realizacji usługi, marketingowe czy inne. Prócz tego – zgody w formularzach nie powinny być domyślnie zaznaczone lecz odznaczone (puste pole), po to aby Internauta mógł je świadomie zaznaczyć wyrażając w ten sposób swoją wolę.

Należy pamiętać, że zgody powinny zawierać informację o celach i sposobach przetwarzania danych oraz zawierać adnotacje o prawie do wglądu, zmiany czy usunięcia (względnie pseudonimizacji). Przedsiębiorca powinien mieć świadomość, że oprócz regulacji RODO istnieje szereg innych wymagań prawnych (m.in. finansowe, podatkowe) które mogą być nadrzędne w stosunku do regulacji RODO. A to oznacza, że jeśli Internauta który zakupił towar w sklepie internetowym domaga się kilka dni po zakupie usunięcia jego danych osobowych z baz danych, to firma sprzedawca nie można zrealizować tego życzenia ze względu na inne przepisy prawa. Pan Jan powinien pamiętać aby nie zbierać danych osobowych w nadmiarze (data urodzenia, płeć, numer telefonu) lecz ograniczyć ich liczbę do absolutnie niezbędnych.

Rozważania odnośnie danych osobowych zapisanych w serwisie internetowym można rozszerzyć o dodatkowe scenariusze: zakup połączony z rejestracją użytkownika w serwisie, zakup bez rejestracji w sklepie internetowym. Formularze w serwisie internetowym najczęściej często są wykorzystywane w zakładkach: kontakt, zapis do newslettera lub w sytuacji udostępniania ebooka (plików) w zamian za podanie danych. Przedsiębiorca Pan Jan powinien mieć świadomość, że pozyskani w ten sposób użytkownicy serwisu mają prawo do wglądu i poprawiania swoich danych jak i możliwości ich eksportu do pliku w rozpoznawalnym formacie (CSV, XLSX, XML, TXT) w celu przeniesienia do innego serwisu. Zarejestrowani użytkownicy mogą również żądać usunięcia swoich danych, co należy im umożliwić względnie zastosować metodę pseudonimizacji. Takie możliwości dają dedykowane dodatki do popularnych CMSów za pomocą których zarejestrowany w serwisie Internauta sam może obsłużyć część swoich życzeń, poniżej przykłady:
Wordpress:
https://pl.wordpress.org/plugins/gdpr/
https://wordpress.org/plugins/wp-gdpr-compliance/
Joomla:
https://storejextensions.org/extensions/gdpr.html
https://gdpr.richeyweb.com/

Prestashop – wkrótce się pojawi:
https://www.prestashop.com/pl/blog/rozwiazania-prestashop-w-odpowiedzi-na-nowe-wymagania-w-zakresie-ochrony-danych-2

Magento:
https://magento.com/gdpr

Shoper:
Nie wiadomo czy platforma oferuje dodatek GDPR/RODO do swojego sklepu:
https://www.shoper.pl/2018/04/26/strasza-cie-rodo-na-pewno-nie-tutaj/

Podsumowanie

W niniejszym wpisie przedstawiłem swoje rozważania nt RODO (GDPR) mające na celu przybliżenie tej tematyki i pokazanie – jak można implementować RODO w małych firmach z sektora MSP. Udostępnij wpis znajomym – może im się przyda? Jeśli masz pytania lub uwagi – zapraszam do komentowania.

Etykiety:, , ,
Notka o 
Strona internetowa
W zamierzeniu autora blog ma pełnić funkcję notatnika podczas zgłębiania różnych obszarów ICT, szczególnie w zakresie architektury i ochrony informacji. Poruszana tematyka ma źródło w zainteresowaniach autora. Skomentuj i dodaj swoją opinię! Dziękuję za Twój czas.

0 komentarzy

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

 
© 2024 ISMAll Right Reserved.
ISM