Przetwarzanie danych osobowych w projektach IT

W dzisiejszych czasach, w związku z rozwojem technologii cyfrowych, przetwarzanie danych osobowych stało się integralną częścią wielu projektów IT. Przetwarzanie takie jest z jednej strony powszechne, a z drugiej – wymaga spełnienia wymagań regulatorów i klientów, w tym zapewnienia ochrony tych danych na każdym etapie przetwarzania, począwszy od ich gromadzenia, przez wykorzystanie aż do ostatecznego usunięcia.

Powyższe wymagania są uregulowane prawnie, w wielu krajach istnieją przepisy w tym zakresie. W Unii Europejskiej jest to m.in. Ogólne Rozporządzenie o Ochronie Danych (RODO, ang. GDPR), a także dyrektywa o prywatności i łączności elektronicznej (2002/58/WE) oraz Dyrektywa NIS. Wiele innych krajów ma podobne regulacje. Przepisy RODO określają szczegółowe wymagania dotyczące sposobu przetwarzania danych osobowych, w tym uzyskiwania zgody od osób fizycznych, ochrony danych przed nieuprawnionym dostępem oraz umożliwienia osobom fizycznym korzystania z przysługujących im praw, takich jak prawo dostępu do swoich danych osobowych lub ich usunięcia.

Przetwarzanie danych – definicja

W myśl przepisów RODO, przetwarzanie danych to wszelkie operacje wykonywane na danych, w sposób zautomatyzowany lub niezautomatyzowany, takie jak m. in. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, pobieranie, udostępnianie, adaptowanie/modyfikowanie, dopasowywanie/łączenie, wykorzystywanie, usuwanie lub niszczenie.

Dane osobowe to wszelkie informacje, które dają się powiązać z konkretną osobą fizyczną, takie jak imię i nazwisko, adres, numer telefonu, adres e-mail czy IP. Do tych danych może należeć też numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy.

Przetwarzanie powyższych danych może polegać np. na umożliwieniu wglądu w bazę kontaktów, jak również na zapisywaniu obrazu z kamer lub zapisywaniu w logach adresów IP.

Przetwarzanie danych w projektach IT – charakterystyka

Przetwarzanie danych osobowych w projektach IT musi być zgodne z przepisami prawnymi, w tym z RODO: musi być ono przede wszystkim uzasadnione konkretnym celem, rzetelne, przejrzyste i ograniczone do minimalnego zakresu wystarczającego, do uzyskania deklarowanego celu.

Etapy przetwarzania danych w IT można połączyć z procesami przetwarzania danych wymienionymi w powyższej definicji z przepisów RODO. Obejmują one następujące kroki:

Zbieranie danych osobowych: pierwszym etapem jest zbieranie danych osobowych od użytkowników za pomocą różnych narzędzi, takich jak formularze, ankiety lub aplikacje mobilne.
Przechowywanie danych osobowych: kolejnym etapem jest przechowywanie danych
osobowych w bezpieczny sposób, aby zapewnić ich ochronę przed dostępem przez nieupoważnione osoby.
Procesowanie danych osobowych: następnie dane osobowe są przetwarzane zgodnie z celami, dla których zostały zebrane. Może to obejmować operacje takie jak analiza, segregacja lub agregacja danych.
Udostępnianie danych osobowych: po przetworzeniu dane osobowe mogą być udostępniane wyłącznie upoważnionym osobom lub podmiotom, na przykład w celu realizacji usługi lub przekazania informacji o użytkowniku.
Usuwanie danych osobowych: na końcu procesu dane osobowe powinny być usunięte lub anonimizowane, jeśli już nie są potrzebne do realizacji celów dla których zostały zebrane, lub na prośbę użytkownika.

Przetwarzanie danych osobowych – wymogi RODO i dobre praktyki

Jednym z podstawowych celów RODO jest ochrona osób fizycznych w związku z przetwarzaniem ich danych osobowych, a nie ochrona danych samych w sobie. Stąd tak ważne jest, aby osoby fizyczne były świadome, w jaki sposób wykorzystywane są ich dane osobowe oraz aby miały możliwość korzystania ze swoich praw i kontrolowania swoich danych. RODO nakłada na administratorów danych osobowych wiele wymogów związanych z ochroną przed nadużyciami, takich jak:

Zapewnienie, że dane osobowe są gromadzone i wykorzystywane wyłącznie do konkretnych celów, o których poinformowano osoby fizyczne.
Uwzględnienie zasad privacy by design oraz by default (uwzględnienie ochrony prywatności na etapie projektowania oraz domyślnej ochrony danych osobowych).
Ochrona danych osobowych przed nieuprawnionym dostępem, wykorzystaniem lub ujawnieniem (powinno to obejmować wdrożenie środków technicznych i organizacyjnych, takich jak szyfrowanie i kontrola dostępu).
Umożliwienie osobom fizycznym korzystania z ich praw takich jak prawo uzyskania informacji o przetwarzaniu ich danych osobowych czy usunięcia danych osobowych.

Aby spełnić wymogi RODO, w niektórych rodzajach działalności związanej z przetwarzaniem danych wystarczy zachowywać podstawowe praktyki bezpieczeństwa np. zalecane przez UODO.

Jednak w projektach IT spełnienie tych wymogów jest już dużo bardziej skomplikowane, z uwagi na złożoność powstającego oprogramowania oraz samego procesu wytwórczego (SDLC), jak również z uwagi na mnogość czyhających zagrożeń. W praktyce najczęściej stosowane są praktyki przepisane przez konkretny branżowy standard taki jak Microsoft SDL lub inny (np. OWASP Software Assurance Maturity Model czy ISO/IEC 27034).

Praktyki SDL jako narzędzie do spełnienia prawnych wymogów zapewnienia odpowiedniej ochrony danych osobowych

Microsoft Security Development Lifecycle (SDL) to zbiór praktyk poprawiających bezpieczeństwo wytwarzanego oprogramowania na wszystkich etapach procesu wytwórczego. Prekursorem tego podejścia jest firma Microsoft, która opisuje i udostępnia swoje praktyki, tym samym wyznaczając dziś już powszechnie stosowany w branży trend (mimo istnienia innych standardów, jak np. NIST 800-64 – Security Considerations in the Information System Development Life Cycle czy OWASP SAMM – Software Assurance Maturity Model, a także bardziej wyspecjalizowane standardy branżowe jak PCI DSS dla branży kart płatniczych).

Euvic S.A. posiada wdrożoną politykę Euvic SDL opartą o Microsoft SDL. Polityka Euvic SDL definiuje kilka poziomów bezpiecznego wytwarzania oprogramowania w zależności od oczekiwań klienta i wymagań projektowych, w tym krytyczności systemu i wrażliwości przechowywanych danych.

Wdrażanie SDL w organizacji jest długofalowym wysiłkiem i angażuje różne role projektowe (analityka, architekta, kierownika projektu, lidera technicznego, programistów, specjalistów devops, testerów, pracowników działu infrastruktury i wsparcia technicznego itd.). Do głównych założeń SDL należą m.in.:

Zapewnienie odpowiednich szkoleń, aby wszyscy developerzy mieli świadomość zagrożeń oraz środków zaradczych w odniesieniu do bezpieczeństwa wytwarzanego oprogramowania.
Zdefiniowanie metryk i raportowanie w odniesieniu do bezpieczeństwa.
Przeprowadzanie modelowania zagrożeń dla tworzonych systemów.
Ustalenie wspólnego dla wszystkich developerów podejścia dot. zarządzania bezpieczeństwem wytwarzanego oprogramowania
Wykorzystywanie odpowiednich i sprawdzonych bezpiecznych wzorców projektowych, metod kryptograficznych oraz narzędzi developerskich.
Zarządzanie ryzykiem związanym z używaniem komponentów innych firm.
Stosowanie automatycznych narzędzi wspomagających wykrywanie luk (analiza statyczna SAST, dynamiczna DAST) oraz testów penetracyjnych.
Odpowiednie zarządzanie dostępem do środowisk developerskich oraz informacji projektowej.

Stosowane razem praktyki SDL mają na celu wykrywanie i eliminowanie podatności bezpieczeństwa na możliwie wczesnym etapie życia projektu (zasada “push to the left”). Usunięcie podatności na etapie analizy lub przeglądu kodu jest znacznie tańsze, niż przebudowa gotowego rozwiązania czy obsługa incydentów po wdrożeniu kodu na produkcję. Również mnogość możliwych rodzajów ataków oraz złożoność problematyki zabezpieczania systemów wymagają, aby bezpieczeństwo pozostawało priorytetem na różnych etapach projektu. Wdrożenie praktyk SDL może znacznie ułatwić spełnienie prawnego wymogu privacy by design (uwzględniania ochrony danych w fazie projektowania) wynikającego z RODO.

Są też inne korzyści z wdrożenia SDL dla organizacji wytwarzających oprogramowanie:

Znacznie wcześniejsze wykrywanie większości błędów wpływających na bezpieczeństwo oraz obniżenie kosztów obsługi takich błędów – lecz także i innych rodzajów błędów w tworzonym oprogramowaniu poprzez procedury wieloetapowej weryfikacji kodu przed wdrożeniem produkcyjnym.
Znacznie łatwiejsze osiągnięcie zgodności z przepisami dotyczącymi bezpieczeństwa danych, redukcja ryzyka prawnego.
Redukcja ryzyka biznesowego i reputacyjnego związanego z błędami bezpieczeństwa.
Możliwość zarządzania bezpieczeństwem dzięki stosowaniu metryk oraz dopasowywania nakładów na bezpieczeństwo do wymogów konkretnego projektu poprzez wybór intensywności wysiłków w poszczególnych obszarach SDL.
Dostępność nowych rynków – możliwość oferowania usług dla klientów szczególnie wrażliwych na kwestie bezpieczeństwa.

Zarządzanie ryzykiem – incydent naruszenia ochrony danych osobowych: klasyfikacja i procedura zarządzania ryzykiem

Jednym z założeń SDL jest proces obsługi incydentów oraz ich klasyfikacja na podstawie powagi potencjalnego wpływu. Może to obejmować rodzaj danych, których dotyczy incydent, liczbę osób objętych incydentem oraz prawdopodobieństwo wyrządzenia szkody tym osobom.

Przy klasyfikowaniu incydentu wykorzystuje się procedurę zarządzania ryzykiem, aby rozwiązać problem i zapobiec przyszłym incydentom. Może to obejmować przeprowadzenie dokładnego dochodzenia, wdrożenie dodatkowych środków bezpieczeństwa oraz powiadomienie zainteresowanych osób i organów regulacyjnych, zgodnie z wymogami.

Kary za nieodpowiednie zabezpieczenie danych

Przetwarzanie danych osobowych w projektach IT wiąże się z ryzykiem ich naruszenia. Ryzyko to może pojawić się w wyniku nieodpowiedniego zabezpieczenia danych, awarii systemu, ataku hakerów lub błędów w przetwarzaniu danych.

W takim przypadku osoba lub podmiot odpowiedzialny za przetwarzanie danych osobowych może ponieść odpowiedzialność, w tym karną lub cywilną, a także zostać ukarany przez organy nadzoru (w Polsce Prezes Urzędu Ochrony Danych Osobowych).

Zgodnie z RODO organizacje mogą zostać ukarane za naruszenie przepisów karą pieniężną do wysokości 20 milionów EUR bądź w przypadku przedsiębiorstw do 4% całkowitego rocznego światowego obrotu (w zależności od tego, która kwota jest wyższa). Jedna z najwyższych kar została nałożona np. na Instagram (405 milionów EUR) przez Irlandzkiego Komisarza Ochrony Danych w 2022r, który wykrył zaniedbanie w zarządzaniu danymi nieletnich użytkowników, którym serwis umożliwiał zakładanie kont biznesowych, co skutkowało upublicznianiem numerów telefonu czy adresów email.

Podsumowując, przetwarzanie danych osobowych w projektach IT jest złożonym i ważnym tematem, który wymaga należnej dokładności. Rozumiejąc cechy i etapy przetwarzania danych, a także kary za nienależyte zabezpieczenie danych i znaczenie zarządzania ryzykiem, organizacje mogą skutecznie chronić dane osobowe i zapewnić zgodność z odpowiednimi przepisami i regulacjami.