{"id":44012,"date":"2023-02-01T10:56:14","date_gmt":"2023-02-01T09:56:14","guid":{"rendered":"https:\/\/neweuvic.dev.euvic.cloud\/?p=44012"},"modified":"2023-04-28T16:46:29","modified_gmt":"2023-04-28T14:46:29","slug":"przetwarzanie-danych-osobowych-w-projektach-it","status":"publish","type":"post","link":"https:\/\/neweuvic2.dev.euvic.cloud\/pl\/przetwarzanie-danych-osobowych-w-projektach-it\/","title":{"rendered":"Przetwarzanie danych osobowych w projektach IT"},"content":{"rendered":"\n
W dzisiejszych czasach, w zwi\u0105zku z rozwojem technologii cyfrowych, przetwarzanie danych osobowych sta\u0142o si\u0119 integraln\u0105 cz\u0119\u015bci\u0105 wielu projekt\u00f3w IT. Przetwarzanie takie jest z jednej strony powszechne, a z drugiej \u2013 wymaga spe\u0142nienia wymaga\u0144 regulator\u00f3w i klient\u00f3w, w tym zapewnienia ochrony tych danych na ka\u017cdym etapie przetwarzania, pocz\u0105wszy od ich gromadzenia, przez wykorzystanie a\u017c do ostatecznego usuni\u0119cia.<\/p>\n\n\n\n
Powy\u017csze wymagania s\u0105 uregulowane prawnie, w wielu krajach istniej\u0105 przepisy w tym zakresie. W Unii Europejskiej jest to m.in. Og\u00f3lne Rozporz\u0105dzenie o Ochronie Danych<\/a> (RODO, ang. GDPR), a tak\u017ce dyrektywa o prywatno\u015bci i \u0142\u0105czno\u015bci elektronicznej (2002\/58\/WE)<\/a> oraz Dyrektywa NIS<\/a>. Wiele innych kraj\u00f3w ma podobne regulacje. Przepisy RODO okre\u015blaj\u0105 szczeg\u00f3\u0142owe wymagania dotycz\u0105ce sposobu przetwarzania danych osobowych, w tym uzyskiwania zgody od os\u00f3b fizycznych, ochrony danych przed nieuprawnionym dost\u0119pem oraz umo\u017cliwienia osobom fizycznym korzystania z przys\u0142uguj\u0105cych im praw, takich jak prawo dost\u0119pu do swoich danych osobowych lub ich usuni\u0119cia.<\/p>\n\n\n\n W my\u015bl przepis\u00f3w RODO, przetwarzanie danych to wszelkie operacje wykonywane na danych, w spos\u00f3b zautomatyzowany lub niezautomatyzowany, takie jak m. in. zbieranie, utrwalanie, organizowanie, porz\u0105dkowanie, przechowywanie, przegl\u0105danie, pobieranie, udost\u0119pnianie, adaptowanie\/modyfikowanie, dopasowywanie\/\u0142\u0105czenie, wykorzystywanie, usuwanie lub niszczenie.<\/p>\n\n\n\n Dane osobowe to wszelkie informacje, kt\u00f3re daj\u0105 si\u0119 powi\u0105za\u0107 z konkretn\u0105 osob\u0105 fizyczn\u0105, takie jak imi\u0119 i nazwisko, adres, numer telefonu, adres e-mail czy IP. Do tych danych mo\u017ce nale\u017ce\u0107 te\u017c numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy.<\/p>\n\n\n\n Przetwarzanie powy\u017cszych danych mo\u017ce polega\u0107 np. na umo\u017cliwieniu wgl\u0105du w baz\u0119 kontakt\u00f3w, jak r\u00f3wnie\u017c na zapisywaniu obrazu z kamer lub zapisywaniu w logach adres\u00f3w IP.<\/p>\n\n\n\n Przetwarzanie danych osobowych w projektach IT musi by\u0107 zgodne z przepisami prawnymi, w tym z RODO: musi by\u0107 ono przede wszystkim uzasadnione konkretnym celem, rzetelne, przejrzyste i ograniczone do minimalnego zakresu wystarczaj\u0105cego, do uzyskania deklarowanego celu.<\/p>\n\n\n\n Etapy przetwarzania danych w IT mo\u017cna po\u0142\u0105czy\u0107 z procesami przetwarzania danych wymienionymi w powy\u017cszej definicji z przepis\u00f3w RODO. Obejmuj\u0105 one nast\u0119puj\u0105ce kroki:<\/p>\n\n\n\n Jednym z podstawowych cel\u00f3w RODO jest ochrona os\u00f3b fizycznych w zwi\u0105zku z przetwarzaniem ich danych osobowych, a nie ochrona danych samych w sobie. St\u0105d tak wa\u017cne jest, aby osoby fizyczne by\u0142y \u015bwiadome, w jaki spos\u00f3b wykorzystywane s\u0105 ich dane osobowe oraz aby mia\u0142y mo\u017cliwo\u015b\u0107 korzystania ze swoich praw i kontrolowania swoich danych. RODO nak\u0142ada na administrator\u00f3w danych osobowych wiele wymog\u00f3w zwi\u0105zanych z ochron\u0105 przed nadu\u017cyciami, takich jak:<\/p>\n\n\n\n Aby spe\u0142ni\u0107 wymogi RODO, w niekt\u00f3rych rodzajach dzia\u0142alno\u015bci zwi\u0105zanej z przetwarzaniem danych wystarczy zachowywa\u0107 podstawowe praktyki bezpiecze\u0144stwa np. zalecane przez UODO<\/a>.<\/p>\n\n\n\n Jednak w projektach IT spe\u0142nienie tych wymog\u00f3w jest ju\u017c du\u017co bardziej skomplikowane, z uwagi na z\u0142o\u017cono\u015b\u0107 powstaj\u0105cego oprogramowania oraz samego procesu wytw\u00f3rczego (SDLC), jak r\u00f3wnie\u017c z uwagi na mnogo\u015b\u0107 czyhaj\u0105cych zagro\u017ce\u0144. W praktyce najcz\u0119\u015bciej stosowane s\u0105 praktyki przepisane przez konkretny bran\u017cowy standard taki jak Microsoft SDL lub inny (np. OWASP Software Assurance Maturity Model czy ISO\/IEC 27034).<\/p>\n\n\n\n Microsoft Security Development Lifecycle (SDL)<\/a> to zbi\u00f3r praktyk poprawiaj\u0105cych bezpiecze\u0144stwo wytwarzanego oprogramowania na wszystkich etapach procesu wytw\u00f3rczego. Prekursorem tego podej\u015bcia jest firma Microsoft, kt\u00f3ra opisuje i udost\u0119pnia swoje praktyki, tym samym wyznaczaj\u0105c dzi\u015b ju\u017c powszechnie stosowany w bran\u017cy trend (mimo istnienia innych standard\u00f3w, jak np. NIST 800-64 \u2013 Security Considerations in the Information System Development Life Cycle<\/a> czy OWASP SAMM – Software Assurance Maturity Model<\/a>, a tak\u017ce bardziej wyspecjalizowane standardy bran\u017cowe jak PCI DSS<\/a> dla bran\u017cy kart p\u0142atniczych).<\/p>\n\n\n\n Euvic S.A. posiada wdro\u017con\u0105 polityk\u0119 Euvic SDL opart\u0105 o Microsoft SDL. Polityka Euvic SDL definiuje kilka poziom\u00f3w bezpiecznego wytwarzania oprogramowania w zale\u017cno\u015bci od oczekiwa\u0144 klienta i wymaga\u0144 projektowych, w tym krytyczno\u015bci systemu i wra\u017cliwo\u015bci przechowywanych danych.<\/p>\n\n\n\n Wdra\u017canie SDL w organizacji jest d\u0142ugofalowym wysi\u0142kiem i anga\u017cuje r\u00f3\u017cne role projektowe (analityka, architekta, kierownika projektu, lidera technicznego, programist\u00f3w, specjalist\u00f3w devops, tester\u00f3w, pracownik\u00f3w dzia\u0142u infrastruktury i wsparcia technicznego itd.). Do g\u0142\u00f3wnych za\u0142o\u017ce\u0144 SDL nale\u017c\u0105 m.in.:<\/p>\n\n\n\n Stosowane razem praktyki SDL maj\u0105 na celu wykrywanie i eliminowanie podatno\u015bci bezpiecze\u0144stwa na mo\u017cliwie wczesnym etapie \u017cycia projektu (zasada \u201cpush to the left\u201d). Usuni\u0119cie podatno\u015bci na etapie analizy lub przegl\u0105du kodu jest znacznie ta\u0144sze, ni\u017c przebudowa gotowego rozwi\u0105zania czy obs\u0142uga incydent\u00f3w po wdro\u017ceniu kodu na produkcj\u0119. R\u00f3wnie\u017c mnogo\u015b\u0107 mo\u017cliwych rodzaj\u00f3w atak\u00f3w oraz z\u0142o\u017cono\u015b\u0107 problematyki zabezpieczania system\u00f3w wymagaj\u0105, aby bezpiecze\u0144stwo pozostawa\u0142o priorytetem na r\u00f3\u017cnych etapach projektu. Wdro\u017cenie praktyk SDL mo\u017ce znacznie u\u0142atwi\u0107 spe\u0142nienie prawnego wymogu privacy by design (uwzgl\u0119dniania ochrony danych w fazie projektowania) wynikaj\u0105cego z RODO.<\/p>\n\n\n\n S\u0105 te\u017c inne korzy\u015bci z wdro\u017cenia SDL dla organizacji wytwarzaj\u0105cych oprogramowanie:<\/p>\n\n\n\n Jednym z za\u0142o\u017ce\u0144 SDL jest proces obs\u0142ugi incydent\u00f3w oraz ich klasyfikacja na podstawie powagi potencjalnego wp\u0142ywu. Mo\u017ce to obejmowa\u0107 rodzaj danych, kt\u00f3rych dotyczy incydent, liczb\u0119 os\u00f3b obj\u0119tych incydentem oraz prawdopodobie\u0144stwo wyrz\u0105dzenia szkody tym osobom.<\/p>\n\n\n\nPrzetwarzanie danych \u2013 definicja<\/h3>\n\n\n\n
Przetwarzanie danych w projektach IT \u2013 charakterystyka<\/h3>\n\n\n\n
\n
Przetwarzanie danych osobowych \u2013 wymogi RODO i dobre praktyki<\/h3>\n\n\n\n
\n
Praktyki SDL jako narz\u0119dzie do spe\u0142nienia prawnych wymog\u00f3w zapewnienia odpowiedniej ochrony danych osobowych<\/h2>\n\n\n\n
\n
\n
Zarz\u0105dzanie ryzykiem \u2013 incydent naruszenia ochrony danych osobowych: klasyfikacja i procedura zarz\u0105dzania ryzykiem<\/h3>\n\n\n\n