Czy firewall oznacza konieczność dokonania oceny skutków

Marcin Sarna

Autor: Marcin Sarna

Dodano: 21 grudnia 2018
Depositphotos_6217219_m-2015
Pytanie:  Zabezpieczenie systemów informatycznych przed działaniem szkodliwego oprogramowania jest jednym z kluczowych rozwiązań, które powinien wdrożyć administrator. Funkcje tę pełni między innymi zapora sieciowa (firewall). Pozwala ona również spełnić wymóg monitorowania ruchu sieciowego - umożliwia przeanalizowanie działań pracownika w sieci m.in. w przypadku incydentu. Czy ta funkcja zapory sieciowej (monitorowanie ruchu sieciowego) wymaga oceny skutków dla ochrony danych?
Odpowiedź: 

Typowy firewall stosowany powszechnie a służący wyłącznie do monitorowanie, ograniczania czy przekierowania ruchu sieciowego nie wymaga przeprowadzenia oceny skutków dla ochrony danych osobowych. Taki firewall podlega jedynie ogólnej ocenie ryzyka przetwarzani danych osobowych.

Ogólna ocena ryzyka a ocena skutków dla ochrony danych

RODO przewiduje:

  • ogólną ocenę ryzyka przetwarzania danych osobowych; oraz
  • ocenę skutków dla ochrony danych osobowych.

Ogólna ocena ryzyka to obligatoryjny dla wszystkich administratorów osobowych wymóg sprawdzenia, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na ADO ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych to ten sam ADO musi dokonywać okresowej ogólne oceny ryzyk zagrażających temu przetwarzania. Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów RODO, to warto taką ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.

Uwaga

Obowiązek dokonania ogólnej oceny ryzyka przetwarzania danych osobowych dotyczy wszystkich ADO, bez względu na ich wielkość czy zakres działalności.

Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.

Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka:

  • kontekst dla oceny ryzyka,
  • opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych,
  • szacowanie i ocena ryzyka,
  • postępowanie z ryzkiem.

Firewall nie wiąże się z dużym ryzykiem naruszenia

Drugim rodzajem analizy ryzyka jest ocena skutków dla ochrony danych osobowych (DPIA, Data Protection Impact Assessment). Zgodnie z art. 35 ust. 1 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Art. 35 ust. 9 pozwala administratorowi danych osobowych, w stosownych przypadkach, na zasięgnięcie opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

Art. 35 ust. 7 RODO wymaga, aby ocena zawierała:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Należy pamiętać, że o ile przed RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć) o tyle po RODO ważne będzie to aby nie dochodziło do naruszeń danych osobowych. Firewall nie jest nową technologią i – przynajmniej w formie w jakiej jest powszechnie stosowany – nie generuje raczej wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. W związku z powyższym wystarczające jest poddanie stosowania zapory ogniowej ogólnej ocenie ryzyka przetwarzania danych osobowych.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel