Przygotowanie organizacji do RODO. Krok 1: Inwentaryzacja zasobów

Przygotowanie organizacji do RODO. Krok 1: Inwentaryzacja zasobów

Krok 1: Inwentaryzacja zasobów

Nie można skutecznie wprowadzić zgodnej z wymogami RODO ochrony danych osobowych, jeżeli nasza organizacja nie ma precyzyjnie określonych zasobów służących ich przetwarzaniu. Element ten jest podstawą do określenia obszarów przetwarzania danych osobowych, punktów największych i najmniejszych zagrożeń dla przetwarzania i skutków ich materializacji – czyli bazą dla stworzenia procedur i zastosowania rozwiązań technicznych najefektywniejszych i najbardziej uzasadnionych w przypadku konkretnej organizacji. Należy też pamiętać, że możliwość uzasadnienia dobranych rozwiązań technicznych i organizacyjnych jest także konieczne z punktu widzenia wypełnienia zasady rozliczalności zawartej w RODO.

Ponieważ RODO nie narzuca jak przeprowadzić taką inwentaryzację, konieczne będzie opracowanie własnych zasad.

  1. Co inwentaryzować?

Inwentaryzacji, czasem wręcz identyfikacji, podlegają wszystkie zasoby związane z przetwarzaniem danych osobowych:

  1. obszary przetwarzania (siedziba organizacji) – pomieszczenia, w których przetwarzane są dane osobowe z uwzględnieniem lokalizacji, zasilania w energię elektryczną i sposobu jej rozprowadzenia, dostępu do usług telekomunikacyjnych, stref o różnych poziomach dostępu, lub istotności przetwarzanych danych (np. pomieszczenia w których znajduje się sprzęt komputerowy oraz te, w których go nie ma),
  2. sieć teleinformatyczna – architektura sieci z uwzględnieniem sposobu jej rozprowadzenia (np. Ethernet, Wi-Fi, ADSL, wydzielone warstwy), użytych urządzeń pośredniczących (switch, router, hub itp.), a także innych urządzeń i rozwiązań zastosowanych w organizacji,
  3. sprzęt – serwery, komputery stacjonarne, komputery i inne urządzenia przenośne, nośniki danych, drukarki,
  4. oprogramowanie – począwszy od systemów operacyjnych (Windows, linux), poprzez programy wspomagające zarządzanie (antywirus, firewall, zarządzanie kontami użytkowników, oprogramowanie monitorujące) oraz programy użytkowe i aplikacje biznesowe (edytory tekstu, arkusze kalkulacyjne, komunikatory, przeglądarki, programy pocztowe, programy księgowe, programy magazynowe, programy graficzne, projektowe, CRM, ERP itd.); należy pamiętać o dwóch rzeczach: inwentaryzacja oprogramowania musi objąć również oprogramowanie bezpłatne, a także do każdego programu powinniśmy posiadać licencję, aby zapewnić legalność jego użytkowania,
  5. personel – pracownicy z podziałem na funkcje (decydenci, pracownicy przetwarzający dane osobowe, obsługa techniczna itp.), podmioty i osoby współpracujące na zasadach umów cywilnoprawnych, które przetwarzają lub mają wpływ na przetwarzanie danych osobowych w organizacji,
  6. inne nośniki danych – akta spraw, umowy, akta osobowe, książki adresowe, skorowidze zawierające dane osobowe itp.

Powyższa lista nie jest oczywiście zamknięta – podziału można przeprowadzać wg. własnych potrzeb, należy jednak pamiętać, żeby spisać wszystkie zasoby służące przetwarzaniu danych osobowych. Np. wg. normy PN-ISO/EC 27005:2014-01 identyfikacji podlegają wszystkie aktywa w tym także: procesy i działania biznesowe oraz informacje. Uważam jednak, że na potrzeby RODO będzie to kolejny etap służący identyfikacji czynności przetwarzania.

UWAGA: Jednostki realizujące zadania publiczne zobowiązane są do utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację co wynika z Krajowych Ram Interoperacyjności. Zatem przy okazji dokonywania inwentaryzacji na potrzeby RODO można spełnić także i ten obowiązek.

  1. Jak inwentaryzować

Dokonanie spisu wszystkich zasobów służących przetwarzaniu danych osobowych najczęściej nie będzie stanowiło problemu w podmiotach, których główna działalność nie jest oparta o przetwarzanie danych osobowych. Tu zalecałbym dokonanie faktycznego spisu z natury oraz wsparcie się dokumentami źródłowymi – takimi jak umowy, faktury itp. Taka metoda będzie także konieczna w podmiotach niezobowiązanych do prowadzenia pełnej rachunkowości. W organizacjach prowadzących pełną księgowość pomocne mogą okazać się ewidencje środków trwałych, pozostałych środków trwałych, wartości niematerialnych i prawnych oraz wszelkich ewidencji ilościowych.

Najlepiej gdyby czynności inwentaryzacyjnych dokonali specjaliści w danym zakresie przy współudziale z użytkownikami i kierownictwem organizacji, jednakże prawidłowe dokonanie tych czynności możliwe jest także przez pracowników organizacji przy współudziale kierownictwa i osób odpowiedzialnych za księgowość.

Na jakiej podstawie lub za pomocą jakich technik przeprowadzić inwentaryzację:

  1. obszary przetwarzania (siedziba organizacji) – umowy najmu, akty własności, ewidencje środków trwałych, umowy z dostawcami energii i usług telekomunikacyjnych, plany budynków gdzie można graficznie wydzielić obszary przetwarzania (tam gdzie faktycznie przetwarza się dane osobowe), rozprowadzenie energii elektrycznej i sieci telekomunikacyjnej lub punktów przyłączy itp.,
  2. sieć teleinformatyczna – w zależności od prawa własności mogą to być umowy dzierżawy łącz, dowody zakupu, umowy budowy sieci teleinformatycznej, plany rozprowadzenia i umiejscowienia urządzeń pośredniczących lub filtrujących, punktów przyłączy itp., ewidencje księgowe, spis z natury,
  3. sprzęt – dowody zakupu, umowy dostawy, ewidencje księgowe, spis z natury, programy audytujące,
  4. oprogramowanie – dowody zakupu, umowy dostawy, ewidencje księgowe, ewidencje licencji, programy do inwentaryzacji oprogramowania, spis z natury najlepiej przeprowadzony przez (lub z pomocą) wykwalifikowanego pracownika, (zaznaczam, że nie wszystkie programy wpływają na przetwarzanie danych osobowych jednakże wszystkie mogą pośrednio wpłynąć na bezpieczeństwo danych osobowych np., w przypadku braku ich aktualizacji),
  5. personel – analiza umów o pracę, umów cywilnoprawnych, regulaminu pracy i innych regulacji wewnętrznych – przy personelu istotnym czynnikiem jest zakres możliwości wpływania na dane osobowe np. osoby decyzyjne nie zawsze muszą być najważniejsze dla przetwarzania danych osobowych klientów organizacji; pracownicy gospodarczy w zleconych zadaniach mogą nie mieć przetwarzania danych osobowych, jednakże wykonując powierzone czynności mogą doprowadzić do ich uszkodzenia lub nieuprawnionego dostępu do tych danych,
  6. inne nośniki danych – skorowidze spraw, spis z natury.

Ważne jest, aby spis dokonany był zgodnie ze stanem faktycznym i przedstawiał realne informacje. Oczywiście ewidencja taka będzie musiała być okresowo aktualizowana (choć nie w każdym przypadku).

  1. Poziom dokładności inwentaryzacji:

Najlepiej oczywiście uwzględniać jak najszerszą liczbę szczegółów spisywanych elementów, np. specyfikacje techniczne jednostek roboczych i urządzeń pośredniczących, wersje oprogramowania, itp. Głównym uzasadnieniem takiego podejścia jest łatwość w zarządzaniu zasobami i zarządzaniu ryzykiem, m.in. możliwość monitorowania zgodności współdziałania wykorzystywanych lub planowanych do zakupu elementów, aktualności oprogramowania, możliwości przypisania osób odpowiedzialnych za poszczególne elementy, lokalizowania incydentów lub wiedzy na temat możliwości zastępowania elementów infrastruktury w sytuacji ewentualnych awarii lub zagrożeń. Taki poziom szczegółowości pomoże także przeprowadzić analizę ryzyka na potrzeby RODO.

UWAGA: Jednostki realizujące zadania publiczne muszą dokonać inwentaryzacji sprzętu i oprogramowania z uwzględnieniem rodzaju i konfiguracji.

RODO nakazuje zapewnienie odpowiedniego poziomu ochrony danych osobowych – tj. takiego, który uwzględnia charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Oznacza to, że w uzasadnionych przypadkach możemy zdecydować, że inwentaryzacji dokonamy z mniejszym poziomem szczegółowości, np. ilościowo (bez specyfikacji) spiszemy stacje robocze, komputery przenośne, urządzenia peryferyjne lub pośredniczące, albo dokonamy inwentaryzacji oprogramowania w podziale na jego funkcjonalność jako edytory tekstu, arkusze kalkulacyjne, programy graficzne itd. Podjęcie takiej decyzji powinno jednak zostać poprzedzone przynajmniej analizą sytuacyjną uwzględniającą bezpieczeństwo danych osobowych. W przeciwnym wypadku nie spełnimy zasady rozliczalności i możemy narazić się na niepotrzebne konsekwencje.

  1. Ewidencja zasobów przetwarzania danych osobowych:

Zinwentaryzowane zasoby będą stanowiły podstawę do przeprowadzenia analizy ryzyka dlatego warto ująć je w czytelnej formie. W praktyce stosowane są:

  • arkusze, na których opisane są szczegółowe informacje dotyczące danego zasobu,
  • zestawienia tabelaryczne, zawierające szczegółowe informacje w kolejnych kolumnach.

Niezależnie od przyjętej formy poszczególne grupy zasobów będą wymagały uwzględnienia różnych informacji szczegółowych:

  1. obszary przetwarzania (siedziba organizacji) – rodzaj zasobu, nazwa zasobu (budynku lub wydzielonego obszaru), nr ewidencyjny jeżeli jest nadany, lokalizacja, podstawa prawna użytkowania (własność, dzierżawa, najem itp.), osoba odpowiedzialna za zasób, ewentualnie zastosowane zabezpieczenia,
  2. sieć teleinformatyczna – rodzaj zasobu, nazwa zasobu (należy uwzględnić wydzielone warstwy, a także oddzielnie urządzenia pośredniczące), nr ewidencyjny jeżeli jest nadany, specyfikacja techniczna zasobu (z uwzględnieniem sposobu rozprowadzenia, zastosowanych rozwiązań technicznych, punktów dostępowych), osoba odpowiedzialna,
  3. sprzęt – rodzaj zasobu, nazwa zasobu, nr ewidencyjny jeżeli jest nadany, specyfikacja techniczna (można tu uwzględnić także system operacyjny jeżeli stosowane są różne), osoba odpowiedzialna,
  4. oprogramowanie – rodzaj zasobu, nazwa zasobu, nr ewidencyjny jeżeli jest nadany, licencja (rodzaj i ew. nr), wersja oprogramowania, osoba odpowiedzialna,

UWAGA: Zasoby z pkt. 3 i 4 można ująć w jednym arkuszu – powstanie wtedy karta sprzętu komputerowego uwzględniająca także wymagania Krajowych Ram Interoperacyjności. Karta taka będzie zawierała rodzaj zasobu, nazwa zasobu, nr ewidencyjny jeżeli jest nadany, specyfikacja techniczna, zastosowane oprogramowanie z uwzględnieniem wersji oprogramowania, rodzaju i nr licencji,

  1. personel – nazwa funkcji pracowników (np. pracownicy merytoryczni, dział marketingu itp.), liczba osób, oznaczenie czy realizowane zadania wiążą się z przetwarzaniem danych osobowych,
  2. inne nośniki danych – rodzaj zasobu, nazwa zasobu, lokalizacja, osoba odpowiedzialna.

Przykładowa tabela dla sprzętu komputerowego:

L.p.

Rodzaj zasobu

Nazwa zasobu

Nr ewidencyjny

Specyfikacja techniczna

Osoba odpowiedzialna

Uwagi

1.

Komputer przenośny

Producent i model

SP-23/17

Procesor

Pamięć operacyjna

HDD

Komunikacja Wi-Fi, BT, złącze RJ

USB, HDMI

Napęd optyczny,

Jan Kowalski

Te same informacje można ująć w arkuszu sprzętu komputerowego. Być może zwiększy to czytelność dokumentu, jednak znacząco zwiększy liczbę dokumentów. Korzyścią prowadzenia arkuszy dla poszczególnych elementów jest łatwość wprowadzania zmian w ich treści – wymianie podlega tylko dany arkusz a nie całe zestawienie. Jednak żaden przepis nie narzuca formy prowadzenia takiej ewidencji. Proponuję zatem prowadzić ją w wersji elektronicznej.

  1. Życie ewidencji zasobów mających wpływ na bezpieczeństwo danych osobowych

Jak już wspominałem, inwentaryzacja zasobów wykonywana jest po to, aby móc wprowadzić zasady ochrony danych osobowych spełniające wymagania RODO. Niezbędne jest do tego przeprowadzenie analizy ryzyka, która może być czynnością powtarzaną okresowo lub procesem ciągłym (omówienie, który z tych modeli wybrać opiszemy w kolejnych artykułach). Zależnie od wybranej metody takie samo podejście zastosujemy do inwentaryzacji zasobów.

W przypadku analizy ryzyka prowadzonej co jakiś czas, będziemy ją poprzedzali aktualizacją ewidencji naszych zasobów. W tym celu na podstawie danych księgowych i rozesłanych do wybranych pracowników ankiet lub ewidencji poprosimy o stwierdzenie zgodności zapisów ze stanem faktycznym. Natomiast w przypadku zastosowania analizy ryzyka jako procesu, także nasza ewidencja prowadzona (aktualizowana) będzie w sposób ciągły. Będzie się to wiązało z koniecznością zobowiązania wszystkich pracowników mających wpływ na poszczególne grupy zasobów do zgłaszania wszelkich zmian lub umożliwienia im dokonywania tych zmian samodzielnie.

Krokiem 2 będzie wartościowanie zasobów.

3 Comments

  1. GOPS
    14 grudnia 2017

    Po co specyfikacja techniczna urządzenia?

    Odpowiedz
    1. Michał Cupiał
      15 grudnia 2017

      Wprawdzie RODO nie narzuca tak szczegółowej inwentaryzacji zasobów (w zasadzie w ogóle jej nie narzuca), to podmioty realizujące zadania publiczne mają taki obowiązek na podstawie par. 20 ust. 2 pkt 2 Krajowych Ram Interoperacyjności. Ponadto na podstawie par. 20 ust. 2 pkt 3 podmioty te mają także obowiązek przeprowadzać analizę ryzyka w zakresie bezpieczeństwa informacji (nie tylko danych osobowych, ale wszystkich danych przetwarzanych w systemach informatycznych). Zatem jeżeli wdrożenie RODO dotyczy podmiotu realizującego zadania publiczne, a tak jest w przypadku ośrodków pomocy społecznej, to warto na jednym ogniu upiec dwie pieczenie: RODO i KRI.

      Odpowiedz
  2. Michał Cupiał
    3 marca 2018

    W praktyce wpływ na bezpieczeństwo danych osobowych mają faktycznie wszystkie aktywa. Jednakże najważniejsze jest zinwentaryzowanie zasobów zawierających dane osobowe. To one będą punktem wyjścia do dalszej pracy. Pozostałe aktywa tak na prawdę będą źródłem potencjalnych podatności (słabych punktów) i tak należy je rozpatrywać.

    Odpowiedz

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Scroll to top