Informatyka śledcza w RODO
Pewnie jesteś już zmęczony tematem RODO? Miesiące przygotowań i wreszcie jest. Nadeszło. Nasuwa się pytanie: co dalej? Podpowiemy, w temacie RODO bez informatyki śledczej ani rusz. Zdziwiony? Już wyjaśniamy.
RODO to klasyczny przykład połączenia prawa i technologii. Z jednej strony mamy przepisy restrykcyjnie traktujące kwestie ochrony i przetwarzania danych. Z drugiej, z uwagi na fakt, że teraz większość informacji przyjmuje postać elektroniczną – technologię.
Poniżej przedstawiamy wymagania jakie stawia RODO poszczególnym obszarom ochrony danych, ze szczególnym uwzględnieniem zarządzania incydentami, obowiązkami informacyjnymi i koniecznością gromadzenia dowodów naruszeń. Te ostatnie, dzięki informatyce śledczej zostaną zabezpieczone w sposób „sądowy”. To znaczy w każdym przypadku ekspertyza będąca wynikiem naszej analizy będzie gotowym materiałem dowodowym dla sądu.
Poniżej krótki przegląd zapisów RODO i powiązana z nimi konieczność wykorzystania informatyki śledczej:
| Numer artykułu RODO | Wybrane fragmenty RODO | Rola informatyki śledczej |
|---|---|---|
| Art. 7 – warunki wyrażenia zgody | Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. | Zabezpieczenie informacji cyfrowych związanych ze zgodą na przetwarzanie danych w sposób zgodny z najlepszymi praktykami informatyki śledczej. Gotowy elektroniczny materiał dowodowy dla sądu. |
| Art. 17 – prawo do bycia zapomnianym | Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. | Cyfrowy zapis procesu usunięcia danych na żądanie właściciela danych osobowych. Odtworzenie przepływu danych osobowych celem pełnego poinformowania administratorów o żądaniu ich usunięcia. Wsteczna weryfikacja wykonania prawa do bycia zapomnianym. |
| Art. 33– Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu | Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu. | Zabezpieczanie śladów związanych z naruszeniem bezpieczeństwa danych. Ekspertyza będąca elementem dokumentacji składanej organowi nadzorczemu. Inne wsparcie niezbędne w procesie raportowania. |
| Art. 34 – Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych | Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach: a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; | Udokumentowanie w sposób „sądowy” wdrożenia odpowiednich środków technicznych i ich zastosowania do danych osobowych. Uniknięcie kosztownego procesu zawiadamiania osób o naruszeniu ich danych. |
| Art. 35 – Ocena skutków dla ochrony danych | Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Ocena zawiera co najmniej: (…) d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy. | Ocena ryzyk przetwarzania danych w ujęciu informatyki śledczej. Ekspertyza podsumowująca oceną ryzyka udokumentowana zgodnie z wymogami sądów. Gotowy materiał dowodowy w przypadku procesu sądowego. |
| Art. 40 – Kodeksy postępowania | Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie niniejszego rozporządzenia, między innymi w odniesieniu do: (…)środków i procedur, o których mowa w art. 24 i 25, oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32; | Wsparcie przy tworzeniu kodeksu postępowania w aspektach związanych z zabezpieczaniem i analizą informacji cyfrowych. Wdrożenie najlepszych praktyk informatyki śledczej w wewnętrzne procesy i procedury. |
Powyższe przykłady nie wyczerpują zasadności wykorzystania informatyki śledczej w ramach RODO. Będzie potrzebna w każdym przypadku naruszenia bezpieczeństwa. Bardziej szczegółowo opisaliśmy to między innymi tutaj i tutaj.
Jesteśmy ciekawi Twojej opinii na ten temat. Podziel się nią w komentarzach pod artykułem na facebooku.