Mariusz Olszewski, Data Management Solutions Manager w Sygnity

Projekty IT prowadzone w związku z przygotowaniami do wejścia w życie RODO (GDPR) co i rusz unaoczniają kolejne, konieczne do rozważenia kwestie: co w przypadku, jeśli dane osobowe zostaną zapisane w polu notatek systemu CRM? Czy wymiana i dalsze przekazywanie korespondencji mailowej, zawierającej dane osobowe, narusza przepisy RODO? Czy omyłkowe wysłanie maila zawierającego dane osobowe do niewłaściwego adresata oznacza naruszenie, które powinno zostać zgłoszone do inspektora danych? W jaki sposób efektywnie usuwać dane osobowe z kopii zapasowych i archiwów, jeśli klient zechce skorzystać z prawa do zapomnienia? Każda z tych kwestii wymaga analizy i przełożenia na funkcjonowanie firmowego zaplecza IT.

Inwentaryzacja systemów IT i identyfikacja danych osobowych

Pierwszy krok na drodze do zapewnienia zgodności firmowego zaplecza IT z RODO to inwentaryzacja systemów informatycznych przetwarzających dane osobowe oraz systemów lub miejsc przechowywana polityk bezpieczeństwa danych, zgód na przetwarzanie danych osobowych czy umów ich powierzania. Kwestie te dotyczą zarówno przetwarzania danych w kontekście wymiany pomiędzy systemami wewnętrznymi firmy, jak i udostępniania ich na zewnątrz. Inwentaryzacja firmowego IT z myślą o procesach zarządzania danymi osobowymi zazębia się z polityką Data Governance.

Kolejnym krokiem jest uzyskanie dostępów i dokładna lokalizacja danych osobowych w systemach informatycznych, poczcie e-mail oraz dokumentach w postaci elektronicznej. Mnogość systemów informatycznych, zawierających powielone dane klientów, powoduje jednak, że zadanie to może być bardzo skomplikowane i czasochłonne; oprócz systemów produkcyjnych mamy do czynienia także ze środowiskami deweloperskimi, testowymi i szkoleniowymi, które dodatkowo komplikują sytuację. Nowe regulacje nakładają na przedsiębiorstwa konieczność ewidencjonowania każdego miejsca przechowywania i przetwarzania danych po to, aby mogły się one legitymować transparentnością przetwarzania danych i były gotowe do usunięcia danych na każde życzenie „bycia zapomnianym” przez klienta.

Eliminacja zbędnych zbiorów danych

Proces lokalizacji posiadanych danych to dobry moment, by ustalić możliwość ograniczenia liczby posiadanych zbiorów danych poprzez ich eliminację ze środowisk nieprodukcyjnych. Jeżeli to się uda, ograniczymy nakład pracy oraz czas poświęcany na wdrażanie narzędzi i procedur niezbędnych do spełnienia wymagań stawianych przez RODO.

Przydatne w tym procesie są narzędzia klasy Test Data Management, wyposażone w opcję anonimizacji lub pseudonimizacji danych. Korzyści z zastosowania tego typu rozwiązań to automatyzacja procesu tworzenia środowisk nieprodukcyjnych oraz zabezpieczenie dostępu do danych rzeczywistych przez ich anonimizację. Funkcjonalność ta istotnie zmniejszy ryzyko związane z wyciekiem danych wrażliwych; co więcej, w bezpośredni sposób eliminuje konieczność raportowania wszelkich incydentów w zabezpieczonych w ten sposób środowiskach.

Lokalizacja i udokumentowanie przetwarzanych danych

Po usunięciu zbędnych zbiorów danych ze środowisk nieprodukcyjnych możemy przejść do procesu lokalizowania danych osobowych w najważniejszych systemach produkcyjnych. Efektem tej pracy powinna być dokumentacja lub wdrożone narzędzia, przy pomocy których otrzymamy pełną informację, gdzie znajdują się dane podlegające regulacjom RODO, jakiego rodzaju są to dane, jakim procesom przetwarzania podlegają, a także jaki jest cykl ich życia. Dokumentacja dotycząca danych osobowych może przy tym stanowić materiał dla osób i instytucji weryfikujących istniejące w firmie polityki ich przechowywania, przetwarzania i udostępniania. Przyda się także Inspektorom Ochrony Danych Osobowych.

Nieodzownym krokiem w procesie lokalizowania danych osobowych jest analiza źródeł innych niż główne systemy informatyczne, np. skrzynek mailowych czy dokumentów elektronicznych, przechowywanych na dyskach lokalnych, sieciowych lub w chmurze. Dane osobowe gromadzą się tam naturalnie m.in. na skutek codziennych kontaktów z klientami. Choć dane te są niekiedy trudne do zlokalizowania, także one podlegają ochronie wprowadzonej przez RODO. Warto zatem zadbać, by w środowisku IT wykorzystywanym do zabezpieczania danych osobowych znalazło się narzędzie umożliwiające ich wyszukiwanie w źródłach nieustrukturyzowanych. Narzędzie to powinno umożliwiać zabezpieczanie takich danych np. poprzez przenoszenie w miejsca objęte ochroną i monitoringiem wykorzystania.

Dobór i wdrażanie narzędzi oraz adaptacja polityk zarządzania danymi

Po dokonaniu inwentaryzacji systemów IT oraz zidentyfikowaniu posiadanych danych osobowych można przejść do dyskusji na temat zakresu projektu, który będzie miał na celu dostosowanie organizacji do wymogów RODO.

Wachlarz narzędzi i technologii dostępnych na rynku jest dość szeroki. Właściwie każdy liczący się producent oprogramowania oferuje rozwiązania zapewniające zgodność z RODO. Z tego powodu kluczowy jest właściwy dobór technologii do zidentyfikowanych potrzeb firmy. Architektura systemów IT oraz przyjęty sposób zabezpieczania danych osobowych mogą w znaczny sposób rzutować np. na koszty potrzebnych licencji czy wdrożenia, utrzymania i administracji.

Efektem analizy przedwdrożeniowej powinien być zakres i wstępny harmonogram projektu wdrożenia narzędzia do zarządzania przetwarzaniem danych i incydentami, uwzględniający priorytetyzację zadań oraz zestaw koniecznych do uwzględnienia funkcji.

Brane pod uwagę narzędzie powinno umożliwiać m.in.:

• stworzenie słownika danych osobowych, katalogu zgód, ról osób odpowiedzialnych za bezpieczeństwo i przetwarzanie danych,
• monitoring nowych źródeł danych osobowych,
• śledzenie udostępniania danych i ich przetwarzania (zmian, transformacji, połączeń), przypisanie danych do procesów biznesowych oraz osób odpowiedzialnych za ich przetwarzanie na każdym z etapów,
• zarządzanie cyklem życia danych (czas przechowywania w systemach produkcyjnych, archiwizacja, czas przechowywania w archiwum, usuwanie danych na żądanie),
• raportowanie do organu ochrony danych osobowych incydentów wraz z opisem lub możliwością wyboru kategorii ryzyka i oceną wpływu na bezpieczeństwo danych osobowych,
• raportowanie incydentów związanych z awariami systemów przechowujących lub przetwarzających dane,
• raportowanie incydentów związanych z nieautoryzowanymi próbami dostępu do danych, kopiowaniem danych lub nieumyślnym udostępnieniem danych osobowych,
• powiadamianie osób, których bezpieczeństwo danych zostało naruszone;
• raportowanie do administratora danych osobowych zewnętrznych podmiotów przetwarzających dane na jego rzecz np. dostawców hostingu serwerów, firm obsługujących kadry i płace itp.

RODO wymaga ostrożności

Co prawda z obowiązku raportowania do organu ochrony danych osobowych wyłączone są incydenty sugerujące, że „mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”, jednak na dzień dzisiejszy brakuje interpretacji tego zapisu. Oznacza to, że nawet omyłkowe wysłanie maila zawierającego pojedyncze dane osobowe może podlegać obowiązkowi zgłoszenia – tym bardziej, że sankcje przewidziane przez RODO są bardzo dotkliwe. Mając na uwadze tak wiele niewiadomych co do interpretacji zapisów rozporządzenia, warto wdrożyć także wspomniane już narzędzie do zarządzania danymi w środowiskach nieprodukcyjnych (Test Data Management), posiadające m.in. możliwość anonimizacji i pseudonimizacji danych, aby tym sposobem minimalizować ryzyka wystąpienia incydentów i konieczności zgłoszeń.

Analogicznie, wdrażaniu narzędzi do zarządzania przetwarzaniem danych i rozwiązań umożliwiających składowanie i wersjonowanie zgód na przetwarzanie danych osobowych powinno towarzyszyć stosowne aktualizowanie polityk bezpieczeństwa, polityk przetwarzania danych i zasad dotyczących ich cyklu życia, w tym ich archiwizacji i kasowania oraz niszczenia nośników. Warto przy tym pamiętać, że RODO narzuca wytyczne, według których zgody na przetwarzanie danych muszą być całkowicie dobrowolne i nie mogą warunkować wykonania umowy zasadniczej.

Regulacje dotyczące przetwarzania danych osobowych w wielu obszarach są nieostre i pozostawiają duże pole do interpretacji. Jaką interpretację zastosuje nowy organ ochrony danych osobowych oraz organy odwoławcze? Przekonamy się po opublikowaniu nowelizacji Ustawy o ochronie danych osobowych oraz po ukazaniu się pierwszych orzeczeń i decyzji wydawanych na bazie jej zapisów. Do tego czasu warto zachować daleko idącą ostrożność.