Ochrona danych w fazie projektowania

Podsumowanie Seminarium

Seminarium odbyło się 21 września 2018 roku

Moja prezentacja Informatyk czyta GDPR/RODO (uzupełniona)

Moje wystąpienie na Semarium z transmisji UODO [ Klip od 1.21.22 ]


Do prezentacji dodałem kilka uwag, które też prezentuję poniżej.

UWAGA 1. O danej osobowej

Po prezentacji zwrócono mi uwagę, że dana osobowa oznacza informację o osobie, a nie to że pozwala zidentyfikować jej tożsamość. Dlatego też skrócona wersja definicji powinna być następująca:

„dana osobowa” oznacza informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Ta definicja (również jej wersja z RODO) oznacza, że mając informację mogącą być daną osobową, a nie mogąc na jej podstawie zidentyfikować osoby do której powinna być ona przypisana, nie możemy jej dalej traktować jako danej osobowej.

W takim przypadku wraz z taką daną musimy mieć inną daną osobową identyfikującą taką osobę, a wtedy dopiero możemy tę informację właściwie przypisać do zidentyfikowanej osoby. Jest to ciekawa konstatacja.

UWAGA 2: O szyfrowaniu

Przywołane w motywie szyfrowanie informatykom niewiele wyjaśnia. O jakim szyfrowaniu jest tu mowa? O prostym typu „Szyfr Cezara”? Raczej nie ze względu na ocenę ryzyka bezpieczeństwa. Wtedy zapewne wchodzą do zastosowania szyfry Algorytmu RSA z kluczami co najmniej 2048 bitowymi.

Ale pytaniem jest czy rzeczywiście baza danych osobowych zlokalizowana w pamięci serwera musi być zaszyfrowana, gdy jest stale wykorzystywana? A może tylko przesyłanie tych danych lub umieszczenie ich na przenośnym nośniku?

Tak na marginesie mutacja szyfru Cezara – szyfr Vernama może być lepszym w zastosowaniu.

I jeszcze jedno – niebawem pojawią się komputery kwantowe i wszystkie te szyfry będą bardzo łatwymi do natychmiastowego złamania.

Oczywiście, zawsze pojawia się stwierdzenie. Na ile ktoś chce dostać się do takich zaszyfrowanych danych osobowych, że jest w stanie poświęcić znaczące środki na złamanie szyfru. W praktyce to się rzadko zdarza. A ci których na to stać – środków nie liczą.

UWAGA 3: Security & Privacy by design

Słuchając prezentacji o Privacy by design oraz o bezpieczeństwie systemów teleinformatycznych zdecydowanie stwierdzam, że powinniśmy dać sobie spokój z wdrażaniem Privacy by design, a tylko skupić się na Security by design.

Oczywiście poprawne zaprojektowanie i implementacja systemu maksymalnie niezawodnego i odpornego na nieuprawnione ingerencje – bezpiecznego, zapewni również odpowiednią ochronę danych osobowych.

Pełna realizacja wymagań Security by design ( w tym Privacy by design) może być wykonana tylko w nowo-projektowanych systemach. W systemach już eksploatowanych można dokonać tylko pewnych poprawek, dokładając warstwę ochronną (programy antywirusowe, weryfikacje dostępu, firewalle, aktualizację oprogramowania, itp.).

Innymi słowami informatycy mają zapewnioną pracę na najbliższe lata. Wymiana systemów będzie postępować w miarę ujawnianych cyber-ataków.

UWAGA 4: Prawa dla Informatyków

GDPR/RODO wprowadzając ostrzejsze warunki na zapewnienie ochrony danych osobowych przez odpowiedzialnych (administratorów) za te dane, równocześnie nakłada na przetwarzających (de’facto informatyków) ogromną odpowiedzialność potwierdzoną wysokimi karami finansowymi.

GDPR/RODO w ogóle nie interesuje się tymi co kradną te dane. Nie zamierza też ich wykrywać i karać – stwierdzono bowiem że jest to bardzo trudne i często niemożliwe. Łatwiej jest ustalić i ukarać tych, którzy „niedopilnowali” i dali sobie ukraść te dane, a nawet dopuścili tylko do wycieku.

GDPR/RODO nakładając te obowiązku również na informatyków, nie daje im żadnych praw mogących wesprzeć ich działania. A niestety oprócz możliwości eksploatacji systemów, które nie są odpowiednio przygotowane do działania (są „dziurawe”), stając otwartymi dla przestępców, istnieją też możliwości złamania dostępu poprzez szantaż administratora systemu, aby ten sam skopiował wskazane dane. W obu tych przypadkach informatycy (administratorzy systemu) mają małe szanse zapewnienia sobie formalnego wsparcia swoich przeciwdziałań takim praktykom. I dlatego proponuję poniższy zestaw praw (jest to niestety tylko propozycja do realizacji).

Aktualizacja: 2018.09.22
Komentarz WBI