Rola CISO w obliczu GDPR (RODO)

Poszanowanie prywatności jest zagadnieniem, które było ważne w przeszłości i z pewnością nie straci na znaczeniu w przyszłości. Świat przechodzi cyfrową przemianę, wywołaną przez czwartą rewolucję przemysłową, nie oglądając się na potencjalny wpływ na naszą prywatność.

Unia Europejska przewidziała ten problem, a w maju 2018 r. jej kraje członkowskie zaczną stosować nowe rozporządzenie, zwane ogólnym rozporządzeniem o ochronie danych (RODO), w celu ochrony danych osobowych, które mają na celu wzmocnienie i ujednolicenie ochrony danych osobowych dla wszystkich osób w Unia Europejska.

Stosowane od 25 maja 2018 r. rozporządzenie obejmuje również kwestie związane z przekazywaniem danych osobowych poza Unię i gwarantuje obywatelom dalszą kontrolę swoich danych przetwarzanych online, co oczywiście sprzyja poprawie relacji z usługodawcami, ale także stwarza jednolity grunt dla działalności międzynarodowej. W ten sposób wszystkie europejskie i zagraniczne firmy, które przetwarzają dane od mieszkańców Starego Kontynentu, będą podlegały ściślejszym regulacjom dotyczącym bezpieczeństwa danych, przy czym najsurowsze kary mogą wynieść do 4% światowego obrotu przedsiębiorstwa. RODO stanowi znaczną zmianę w porównaniu z wcześniej obowiązującymi dyrektywami, jeżeli chodzi o:

  • rozszerzenie zastosowania poza terytorium UE,
  • wysokość sankcji,
  • wyrażanie zgody na przechwytywanie i przetwarzanie danych,
  • zasady zgłaszania naruszeń,
  • prawo do wglądu, poprawy i usuwania swoich danych,
  • prawo do wygodnego przenoszenia danych,
  • ochronę danych stosowaną już na etapie projektowania systemów i procesów,
  • inspektorów ochrony danych.

Nowa definicja danych osobowych

Unia Europejska znacznie rozszerzyła definicję danych osobowych w ramach RODO. Odtąd będą to informacje nie tylko takie jak imię, nazwisko, adres czy wiek, a także identyfikatory online, np. adresy IP lub lokalizacyjne. Informacje dotyczące posiadanego majątku, pochodzenia narodowego lub etnicznego, a także stanu zdrowia, są również uważane za dane osobowe w świetle nowego rozporządzenia. Nawet osobiste pseudonimy dane mogą podlegać regułom RODO w zależności od tego, jak łatwo lub trudno jest zidentyfikować ich właścicieli.

W bardziej praktycznym zakresie, zastosowano podział na podmioty na administrujące i przetwarzające dane. Pierwszymi, nazywanymi administratorami danych, mogą być osoby fizyczne lub firmy, które określają cele i środki przetwarzania danych. Druga grupa to podmioty przetwarzające, czyli tzw. procesorzy. Jest to podmiot, który przetwarza dane w imieniu administratora, wyłącznie we wskazanym przezeń zakresie.

Zadaniem administratora danych jest zapewnienie, że wybrany procesor postępuje zgodnie z RODO, podczas gdy podmioty przetwarzające dane muszą prowadzić rejestry przetwarzania w celu wykazania, że działają zgodne z prawem. Administratorzy i procesorzy, nawet działający poza Unią Europejską, będą musieli spełniać wymogi nowego rozporządzenia, jeśli będą przetwarzać dane od osób z terenu Unii, lub oferować im swoje produkty albo usługi.

Jak duży problem pozostaje w rękach CISO?

Można tylko domyslać się, jak wielkie wyzwania stawia RODO przed CISO, próbującymi pogodzić wymagania prawne z współczesnymi technologiami, coraz śmielej wkraczającymi w sferę prywatności, np. internetem przedmiotów (IoT), chmurami obliczeniowymi, urządzeniami i aplikacjami mobilnymi, big data, nanotechnologią, robotyką, sztuczną inteligencją, biotechnologią, geolokalizacją, dronami czy drukiem 3D – które zwiększają liczbę aplikacji i ubogacają współczesną scenę IT, często łącząc zupełnie odległe dyscypliny.

W pierwszej kolejności, firmy powinny uwiadomić sobie, jakie dane gromadzą i przetwarzają, a także na jakiej podstawie prawnej to robią. Jeśli przetwarzanie jest realizowane przez podmioty zewnętrzne, powinniśmy wyjść poza granice naszego własnego podmiotu i sprawdzić przestrzeganie zasad prawnych również tam, gdzie outsourcujemy część naszej działalności. Wymagane będzie całkowite przeanalizowanie własnej polityki ochrony danych, ustanowienie nowych procesów odpowiadających na nowe regulacje wprowadzone przez GDPR, takie jak np. zgłaszanie naruszeń. Niezbędne będzie wprowadzenie praktyk i procedur z zakresu przygotowywania nowych usług lub produktów, tak, by dbały o bezpieczeństwo i ochronę danych już od fazy projektowania, a nie później, jako dodatkowy składnik.

To bardzo wiele pracy, a CISO potrzebuje wsparcia od całej organizacji.