IT Law logo
Swipe up
9 / 1 / 2018

Zahteve glede informacijske varnosti v Splošni Uredbi o varstvu osebnih podatkov

Blog9 / 1 / 2018

Zahteve glede informacijske varnosti v Splošni Uredbi o varstvu osebnih podatkov

Uvod

Varstvo fizičnih oseb pri obdelavi njihovih osebnih podatkov obsega pravna, tehnična ter organizacijska pravila. Pojmi kot so varstvo podatkov, informacijska (IT, kibernetska) varnost in tehnična zaščita podatkov se v vsakdanji praksi obdelave podatkov med seboj zamenjujejo, zato obstoji precejšnji prostor interpretacije kateri tehnični varnostni ukrepi so potrebni iz vidika zaščite podatkov. Tehnična zaščita podatkov obsega (na osebne podatke osredotočene) metode informacijske varnosti, tako kot tudi druge vidike, ki iz stališča informacijske varnosti ne igrajo nobene oz. zelo podrejeno vlogo.

Prihajajoča Splošna Uredba o varstvu osebnih podatkov (ang. General Data Protection Regulation, v nadaljevanju GDPR) podaja nekaj primerov tovrstnih  specifičnih metod, kot so (med drugim):


Informacijsko varnost v grobem delimo na naslednja področja:

Koncept informacijske varnosti v ZVOP-1

Trenutno veljavni zakon o varstvu osebnih podatkov (ZVOP-1) upravljavce (t.j. tisti, ki določa namene in sredstva obdelave) in pogodbene obdelovalce (t.j. tisti, ki izvaja obdelave osebnih podatkov skladno z navodili upravljavca) v 24. členu zavezuje, da morajo sprejeti (glede na konkretno tveganje) ustrezne organizacijske, tehnične in logistično-tehnične postopke in ukrepe, ki preprečujejo kršitev varnosti osebnih podatkov. S temi ukrepi se med drugim varujejo prostori, oprema in sistemska programska oprema, aplikativna programska oprema, s katero se obdelujejo osebni podatki, ter omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil.

Predmetna zakonska določba je vsebinsko precej zastarela in bolj ustreza duhu začetka 90. let prejšnjega stoletja (nekateri bodo rekli celo poznih 70. let) kot pa današnji dinamični digitalni dobi in postavlja se vprašanje ali je možno tehnično zaščito podatkov učinkovito implementirati oz. zagotavljati v današnji high-tech dobi na podlagi predmetne okostenele določbe. Številni opisi tehničnih in organizacijskih ukrepov v npr. pogodbah o obdelovanju osebnih podatkov ali (internih) katalogih zbirk osebnih podatkov so namreč dobesedno prepisani iz 24.člena ZVOP-1, čeprav morajo zavezanci (že na podlagi obstoječe zakonodaje) sprejeti tehnične in organizacijske ukrepe, ki so ustrezni njihovemu profilu tveganja pri obdelavi osebnih podatkov. Tako zavezanci nimajo sprejetih popolnih in učinkovitih tehničnih in organizacijskih ukrepov in že sedaj kršijo 24.člen ZVOP-1.

Pred 20 leti se je namreč avtomatična obdelava osebnih podatkov izvajala na računalnikih, ki večinoma niso imeli dostopa do interneta, v majhnem lokalnem omrežju in prenos (posredovanje) podatkov je potekal preko disket (ali celo še preko natisnjenih kopij). Danes se s trajno priključitvijo na internet, skoraj izključno elektronsko komunikacijo ter množično uporabo mobilnih naprav, tabličnih računalnikov ter oblačnih storitev potrebni povsem drugačni varnostni ukrepi kot zgolj (nekritičen) prepis vsebine iz 24.člena ZVOP-1.

Ker 24.člen ZVOP-1 v sedanji obliki in vsebini ne bo več obstajal, se postavlja vprašanja katera pravila glede informacijske varnosti vsebuje prihajajoča GDPR.

Koncept informacijske varnosti v GDPR

GDPR prinaša na tehničnem področju že dolgo pričakovane novosti in pojasnila. Ena od teh so strožja pravila glede varnosti obdelav (security of processing), ki jih zahtevajo sodobni koncepti informacijske varnosti tudi za zaščito podatkov. Največja slabost obstoječe zakonodaje je bila, da je 24.člen ZVOP-1 postavil določene organizacijske in tehnične ukrepe v središče obravnave, upravljavci osebnih podatkov pa so nekritično prevzeli predmetne ukrepe v svoje interne akte brez zagotavljanja ustrezne sledljivosti slednjih (t.j. Zakaj so bili določeni ukrepi uvedeni ? Proti katerim nevarnostim naj bi ukrepi ščitili ?).

Spodnji grafika prikazuje pri katerih področjih GDPR pride v poštev uvedba ustreznih tehničnih in organizacijskih ukrepov.

Tehnika v GDPR

Določeni deli GDPR (izrecno) urejajo tehnično zaščito podatkov. Oddelek ˝Varnost osebnih podatkov˝ se ukvarja z zaščito osebnih podatkov. Predmetni oddelek je sestavljen iz 32. člena, ki ureja področje varnosti obdelave (security of processing), kot tudi 33. in 34. člena, ki se ukvarjata z obvestilom Informacijskemu pooblaščencu oz. prizadetemu posamezniku o kršitvi varstva osebnih podatkov (notification of personal data breach).

Poseben pomen ima glede informacijske varnosti 32. člen GDPR, saj slednji podrobno opisuje na podlagi katerih kriterijev je potrebno izbrati tehnične in organizacijske ukrepe za zagotovitev ustrezne ravni varnosti glede na konkretna tveganja. GDPR omenja pojem tveganja 32-krat, pojem visokega tveganja pa 14-krat. Kaj točno razume GDPR pod predmetnim pojmom ?

Objektivno:

Tveganje je potrebno oceniti na podlagi objektivne ocene, s katero se določi, ali dejanja obdelave podatkov pomenijo tveganje ali veliko tveganje (recital 76).

Metoda ocenjevanja:

Verjetnost in resnost tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki je potrebno ugotavljati glede na vrsto, obseg, okoliščine in namene obdelave (recital 76).

Ker ni potrebno prijaviti kršitev varstva osebnih podatkov nadzornemu organu v primeru, da ni tveganja, da bi bile ogrožene za pravice in svoboščine posameznika, so tako za oceno tveganja relevantne naslednje tri kategorije tveganja:


V odvisnosti od ocenjene stopnje tveganja so potem potrebni nadaljnji tehnični koraki s strani upravljavca, npr. pri oceni učinka v zvezi z varstvom podatkov (35. člen). Tveganje se nanaša na pravice in svoboščine posameznika pri obdelavi osebnih podatkov.

Kot je bilo že zgoraj navedeno sta pri oceni tveganja pomembna dva pojma: verjetnost tveganja in resnost tveganja. Za določitev verjetnosti tveganja je potrebno določiti na kaj se predmetna verjetnost nanaša. Tveganje je mogoč  prihodnji dogodek in če slednji nastopi, pride do škode.  Tveganja za pravice in svoboščine posameznika lahko povzročijo fizično, premoženjsko in nepremoženjsko škodo.  (recital 75).

Glede na zgoraj navedeno je potrebno napraviti ustrezen model ocenjevanja predmetnih tveganj, ki mora določiti kateri so možni napadalci oz. bolj nevtralno izvori (viri) tveganj pri obdelovanju osebnih podatkov (npr. hekerji, zaposleni, IT administrator, konkurenca, vodja oddelka, itd.) in kakšna je motivacija za izvedbo tveganih ravnanj. Glede vidikov varnosti obdelovanja GDPR jasno določa, da je pri predmetnem modelu potrebno upoštevati nenamerna, nezakonita in nepooblaščena ravnanja (2.odst. 32.člena). Škoda, ki nastane pri nenamernem, nezakonitem ali nepooblaščenem ravnanju je pri varstvu (osebnih) podatkov redko denarne (monetarne) narave, ampak se nanaša na poškodovanje pravic in svoboščin posameznikov pri obdelovanju njihovih osebnih podatkov. GDPR neizčrpno navaja  naslednje primere tovrstnih ravnanj, ki jih skupno imenuje znatna gospodarska ali socialna škoda (recital 75):


Verjetnost tveganja se vedno nanaša na konkretne grožnje (npr. hakiranje spletne trgovine). Vzroki teh groženj (izvori tveganj) se morajo zato izrecno upoštevati iz vidika IT varnosti (modeliranje napadalca). Tako kot pri oceni verjetnosti tveganja kot pri višini škode je smiselno razdeliti predmetna pojma na več možnih zaznavnih oblik (manifestacij). Ena od možnosti bi bila uporabiti vrednosti ˝majhna˝, ˝srednja˝, ˝velika˝, ˝izredno velika˝. Če bi predmetne vrednosti vključili v matriko, bi lahko prikazali tveganje kot rezultat (zmnožek) verjetnosti nastanka tveganja in resnosti tveganja (škode).

Osnovna enačba za izračun tveganja

GDPR poleg predmetnih dveh pojmov med relevantne faktorje za oceno tveganja uvršča tudi upoštevanje najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave (1.odstavek 32.člena).

Faktorji relevantni za izbiro tehničnih in organizacijskih ukrepov (TOU)

GDPR na drugi strani ne navaja konkretnih tehničnih in organizacijskih ukrepov, ki jih je potrebno uporabiti za minimiziranje zgoraj predstavljenih tveganj (za pravice in svoboščine posameznika), razen ukrepa psevdonimizacije (obdelava osebnih podatkov na način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki), in šifriranja osebnih podatkov (1(a). točka 32.člena). Osebne podatke, ki so bili psevdonimizirani, je mogoče z uporabo dodatnih informacij pripisati posamezniku (recital 26). GDPR navaja, da se lahko z uporabo psevdonimizacije zmanjša tveganje za posameznike, na katere se nanašajo osebni podatki (recital 28). Primer psevdonimizacije je npr. ločitev podatkov pacienta in ostalih medicinskih podatkov. Glede ostalih ukrepov se lahko uporabijo viri različnih katalogov ukrepov, pri čemer je potrebno paziti, da bodo poleg čistih varnostnih tehničnih ukrepov (Security controls) izbrani tudi za varstvo podatkov specifični tehnični ukrepi (Privacy controls). Ena od možnosti so ISO standardi ISO 27002  (glede Security controls) oz. ISO 29151 (glede Privacy controls).

Iz informacijske varnosti poznani pojmi zaupnost, celovitost, dostopnost so našli pot v GDPR na osrednjem mestu (1.odst. 32. člena). Medtem ko so predmetni pojmi že dolgo poznani upravljavcem osebnih podatkov oz. so poznani v obstoječi praksi obdelovanja osebnih podatkov, GDPR na predmetnem mestu uvaja nov pojem odpornosti (resilience), ki je sicer povezan s pojmom dostopnost, vendar kljun temu podaja svojstven vidik na toleranco na napake sistema in procesov. Upravljavci bodo tako morali v bodoče zagotavljati tudi odpornost sistemov in storitev povezanih z obdelavo osebnih podatkov. Podrobnejših navedb kateri ukrepi bi pozitivno prispevali k predmetni odpornosti GDPR ne navaja.

Grafika: izbira ustreznih organizacijskih in tehničnih ukrepov

Učinkovite zaščite osebnih podatkov pri obdelavi ni mogoče doseči samo z enkratno izbiro ukrepov, ker je stanje tehnike in ogroženosti v stalnem spreminjanju. Zato je potrebno uvesti postopek rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave (1(d). točka 32.člena GDPR). Če ima podjetje že vzpostavljen ustrezen sistem upravljanja informacijske varnosti, je naloga skoraj že opravljena, vendar ne v celoti. Potrebno je namreč upoštevati (kot je bilo že obrazloženo v zgornjih poglavjih), da vidik varstva podatkov ne zajema zaščite premoženjskih vrednosti (interesov) konkretnega podjetja, ampak mora slednje z ustrezno skrbnostjo  spremljati, da ne pride do poškodovanja pravic in svoboščin prav vsakega konkretnega relevantnega posameznika, katerega osebne podatke obdeluje to podjetje Grafika potrebnih korakov pri predmetnem postopku je prikazana spodaj:

Grafika procesa:

Planiraj: razvoj varnostnega koncepta/ koncepta zaščite podatkov

Naredi: izvedba ocene tveganja in uvedba tehničnih in organizacijskih ukrepov

Preveri: Nadzor učinkovitosti in popolnosti tehničnih in organizacijskih ukrepov

Nadzor: Stalno izboljševanje tehničnih in organizacijskih ukrepov

 Zaradi načela odgovornosti (accountability)  iz 5.člena GDPR se mora predmetni postopek in njegovi rezultati ustrezno dokumentirati. Kako in pod katerimi okoliščinami naj bi se izvajali zadevni postopki v GDPR ni regulirano. Potrebno je tudi dodati, da obveznost izvajanja predmetnih postopkov ne pomeni tudi pravne podlage za obdelavo osebnih podatkov, kar izhaja iz 6.člena GDPR, ki izčrpno določa pogoje za zakonitost obdelave osebnih podatkov.

Relevantni ISO standardi lahko pomagajo implementirati ustrezen koncept informacijske varnosti in uporabiti ustrezno metodo za oceno tveganja. Popoln prenos standardov ni mogoč, saj 32. člen GDPR zahteva, da upravljavec napravi lastno oceno tveganj, ki ima v središču verjetnost poškodovanja pravic in svoboščin posameznika (in ne informacijske varnosti podjetja), kot je bilo že obrazloženo zgoraj. Zato je potrebno preveriti ali obstoječi koncepti informacijske varnosti izpolnjujejo zahteve iz 32.člena GDPR.

GDPR zahteva, da je potrebno vzpostaviti ustrezno raven varnosti glede na tveganje. Cilji varnosti so pri tem naslednji:


Pri obravnavanju verjetnosti in resnosti tveganja za pravice in svoboščine posameznika je potrebno upoštevati tako posledice iz rednih (zaželenih) obdelav osebnih podatkov tako kot tudi tveganja iz nezakonitih in nepričakovanih (nezaželenih) dogodkov. Konkretno je potrebno pri predmetnem tehtanju upoštevati predvsem tveganja izvirajoča iz naslednjih nehotenih dogodkov (2.ods. 32. člena GDPR):
CC BY