Cyberbezpieczeństwo
RODO: w jaki sposób dostosować systemy IT do tego rozporządzenia
Jak RODO wpływa na podejście do profilowania i zmiany w systemach IT? Jak usunąć dane osobowe z backupu? Czym różni się on od archiwum? Jak wybrać partnera w tego typu projektach? W jakim stopniu będzie różnić się polska ustawa od unijnego Rozporządzenia o Ochronie Danych Osobowych?
Maciej Kawecki, kierujący Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych (MK): Mam pytanie do Państwa. Jaki z obowiązków RODO wymaga największej zmiany w systemach informatycznych? Którego z obowiązków nie da się wdrożyć bez ich zmiany?
Mariola Więckowska, Administrator Bezpieczeństwa Informacji, Allegro (MW): Moim zdaniem jest to podejście do profilowania i ustalenie, kiedy należy zbierać na nie zgody.
MK: Tylko to?
MW: Nie, ale w większości RODO nakłada na nas obowiązki, które już mieliśmy. Jednak z racji tego, że jest coraz więcej próśb o wypełnianie prawa do uzyskania kopii danych czy usunięcia danych, stwierdziliśmy, że pewne procesy z tym związane musimy zautomatyzować, tak jak to jest w Facebooku czy Google.
Konrad Kobylecki, CIO w Netii (KK): Inny aspekt, który dotyka systemów IT to automatyzacja usuwania danych. Dla mnie kluczowe jest to, aby zrobić to tylko w systemach, które identyfikują klienta. Inne chcę zostawić, aby nie ponosić zbędnych kosztów. Docelowo musimy jednak wdrożyć system, który automatycznie odpytuje wszystkie bazy i kasuje, co trzeba.
Przygotowując się do rozporządzenia wprowadzimy możliwość usuwania danych z backupów. Ta funkcjonalność będzie obecna wkrótce na platformie Commvault. Z archiwum też jesteśmy w stanie usunąć dane. Jedyna metoda usunięcia pojedynczego rekordu z backupu bazy danych to jednak odtworzenie, wykasowanie i ponowna archiwizacja. Zautomatyzowanie tego procesu to jednak skomplikowany projekt i wymaga współpracy z twórcą aplikacji – mówi Przemysław Mazurkiewicz, dyrektor Działu System Engineering w regionie EMEA East w Commvault.
MW: Na osiągnięcie znaczących oszczędności w tego typu przypadkach mogą pozwolić sektorowe kodeksy postepowania, które poprzez wskazówki dotyczące zasad anonimizacji danych i usuwaniu relacji pomiędzy danymi umożliwią efektywne wypełnianie obowiązków RODO.
USUWANIE DANYCH OSOBOWYCHMichał Jarski, dyrektor zarządzający i wiceprezes odpowiedzialny za region EMEA w Wheel Systems (MJ): A jak sobie radzicie z usuwaniem danych osobowych z backupu?
MW: Z backupu czy z archiwum? To istotna różnica.
KK: W pewnych sytuacjach odmawiamy usunięcia danych z backupu. Archiwum z założenia jest niemodyfikowane.
MW: Jest duża różnica między backupem technicznym, potrzebnym do podtrzymywania dostępności usługi, a archiwum długoterminowym, gdzie musi zachowana integralność danych.
MK: Czy opracowali państwo technikę przywracania kopii w celu usunięcia, w kolejnym kroku, danych?
KK: Przywracać można bardzo łatwo, ale dla mnie backup ma być nienaruszalny. Jego modyfikacja powoduje, że przestaje on być backupem.
Jest duża różnica między backupem technicznym, potrzebnym do podtrzymywania dostępności usługi, a archiwum długoterminowym, gdzie musi być zachowana integralność danych. Kopię zapasową przywracać w celu usunięcia danych można bardzo łatwo, ale backup ma być nienaruszalny. Jego modyfikacja powoduje, że przestaje on być backupem. Backup można dostosować do RODO np. poprzez nadpisywanie. Przechowywany jest tylko 72 godziny i retencja danych jest bardzo krótka.
MK: Możliwe są tylko dwie techniki. Pierwsza to proceduralna, gdzie backup – poprzez nadpisywanie – przechowywany jest tylko 72 godziny i retencja danych jest bardzo krótka.
KK: Czym się różni backup od archiwum?
Przemysław Mazurkiewicz, dyrektor Działu System Engineering w regionie EMEA East w Commvault (PM): Opieram na definicji Gartnera. Backup powinien służyć do szybkiego przywrócenia systemu. Natomiast przechowywanie danych przez dłuższy czas – np. na potrzeby urzędów takich, jak MSWiA – to już jest archiwum.
MW: Dlatego tak ważna jest inwentaryzacja danych. Dzięki nadanym kategoriom wiemy, co to za dane i jak długo mamy je przechowywać.
KK: Czyli, jeśli Pani trzyma dane przez 3 miesiące to jest archiwum techniczne. Backup zaś to dane z wczoraj. Tak do tego podchodzimy?
PM: Tak właśnie podchodzą do tego problemu firmy analityczne.
MJ: Wszystko, co jest związane z awariami i dostępnością, to backup.
Dla mnie kluczowe jest to, aby wprowadzić w systemach IT funkcje automatyzacji usuwania danych, które identyfikują klienta. Inne chcę zostawić, aby nie ponosić zbędnych kosztów. Docelowo musimy jednak wdrożyć system, który automatycznie odpytuje wszystkie bazy i kasuje, co trzeba – mówi Konrad Kobylecki, CIO w Netii.
MW: W Allegro możemy mówić o danych zarchiwizowanych, np. dla celów dowodowych, dla celów bezpieczeństwa. Te dane musza być niezmienione, integralne, nie można z nich usunąć czy zmienić nawet jednego rekordu. Gdy pracowałam w biurze maklerskim i przychodził kontroler z KNF, to musiałam wykazać, że archiwum zawiera niezmienione informacje, że np. liczba klientów i transakcji jest ta sama. Takich danych, przetwarzanych dla celów archiwalnych nie powinniśmy usuwać.
PM: Firmy amerykańskie, takie jak moja, także są dotknięte RODO. Przygotowując się do rozporządzenia wprowadzimy możliwość usuwania danych z backupów. Ta funkcjonalność będzie obecna wkrótce na platformie Commvault. Z archiwum też jesteśmy w stanie usunąć dane. Jedyna metoda usunięcia pojedynczego rekordu z backupu bazy danych to jednak odtworzenie, wykasowanie i ponowna archiwizacja. Zautomatyzowanie tego procesu to jednak skomplikowany projekt i wymaga współpracy z twórcą aplikacji.
Mamy narzędzia, które powalają zarządzać danymi nieustrukturyzowanymi. Możemy więc wyszukiwać te dane regularnie, zobaczyć, gdzie się znajdują, a jeśli są na komputerze pracownika, to skontaktować się z nim i wymusić przeniesienie danych do archiwum bez pytania o jego zgodę. Otrzymuje on tylko komunikat: „posiadałeś dane osobowe na swoim laptopie, zostały przeniesione do archiwum”. Mocno stawiamy na przeszukiwanie nieustrukturyzowanych danych.
EWENTUALNA ODPOWIEDZIALNOŚĆ DOSTAWCYPiotr Waszczuk, zastępca redaktora naczelnego ITwiz (PW): Niektórzy dostawcy usług w chmurze mówią, że ich oferta jest sposobem na oddanie części odpowiedzialności w zakresie RODO. Jak Państwo się na to zapatrujecie?
MK: RODO wymaga racjonalności we wdrażaniu i racjonalności w wyborze partnerów. Nawet, jak nam tak mówią, to nie przejmą od nas odpowiedzialności. Nawet jeśli komercyjni dostawcy biorą od nas dane i są naszym procesorem – w przyszłości będzie się mówiło podmiotem przetwarzającym – to co prawda faktycznie ponoszą odpowiedzialność, ale nie zwalnia nas to z odpowiedzialności administracyjno-prawnej. Natomiast jeśli tylko dostarczają nam sprzęt lub oprogramowanie, to ponoszą odpowiedzialność tylko na zasadzie kontraktowej. Oczywiście, jeśli sami nie przetwarzają danych osobowych.
W większości RODO nakłada na nas obowiązki, które już mieliśmy. Jednak z racji tego, że jest coraz więcej próśb o wypełnianie prawa do uzyskania kopii danych czy usunięcia danych, stwierdziliśmy, że pewne procesy z tym związane musimy zautomatyzować, tak jak to jest w Facebooku czy Google – mówi Mariola Więckowska, Administrator Bezpieczeństwa Informacji, Allegro.
PW: Polska ustawa o RODO ma trafić pod obrady Sejmu w marcu 2018 roku, czyli czasu na implementację – zapisanych w niej – ok. 20% przepisów lokalnych, będzie bardzo niewiele. Na ile czekać na wprowadzenie tych zmian?
MK: Pamiętajmy, że te 20% to głównie przywileje. Nie nakładamy w zasadzie żadnego nowego obowiązku. Oczywiście jeżeli przedsiębiorca chce wprowadzić biometryczną weryfikację tożsamości pracowników, musi to uzależnić od tego, kiedy wejdą w życie przepisy krajowe. Zasadniczo jednak czekanie na naszą regulację krajową jest niewskazane. Warto też pamiętać, że największym adresatem ustawy jest organ nadzorczy. Jest mu ona potrzebna, aby np. wiedzieć, jak prowadzić postępowania.
Notował Bartosz Ciszewski