RODO anonimizacja i pseudonimizacja.

RODO anonimizacja pseudonimizacja

Anonimizacja oraz pseudonimizacja – objaśnienia (RODO).

Opierając się na treści nowego unijnego rozporządzenia ogólnego o ochronie danych (RODO) oraz przyjętej w dniu 10 kwietnia 2014 r. opinii 05/2014 w sprawie technik anonimizacji, wskazujemy na różnice pomiędzy obydwoma pojęciami.

Podstawowa różnica polega na tym, że skutkiem anonimizacji jest nieodwracalne uniemożliwienie identyfikacji osoby. Natomiast przy zastosowaniu pseudonimizacji nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej.

Anonimizacja.

Jak wskazano w ww. opinii, skuteczne rozwiązanie w zakresie anonimizacji uniemożliwia wszystkim stronom wyodrębnienie konkretnej osoby fizycznej ze zbioru danych. Uniemożliwia też, tworzenie powiązań między dwoma zapisami w zbiorze danych (lub między dwoma oddzielnymi zbiorami) i wnioskowanie jakichkolwiek informacji z tych danych. Przy stosowaniu anonimizacji samo usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia aby zidentyfikowanie osoby (której dane dotyczą) nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji takiej osoby. Proces anonimizacji polega na tym, by nie istniała już możliwość wykorzystania danych do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Istotnym czynnikiem jest fakt, że przetwarzanie musi być nieodwracalne. Jeżeli anonimizacja została przeprowadzona w sposób skuteczny nie będziemy już przetwarzać danych osobowych, w rozumieniu ustawy czy RODO.

Jeżeli natomiast chodzi o pseudonimizację, to w istocie należy uznać ją za środek bezpieczeństwa. Nie jest to natomiast metoda anonimizacji.

Pseudonimizacja.

Pseudonimizacja polega na zastępowaniu jednego atrybutu (z reguły atrybutu nietypowego) w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Dlatego też stosowanie samej pseudonimizacji nie będzie skutkowało anonimowym zbiorem danych.

Przykładowe metody pseudonimizacji opisane w ww. opinii to np.:

  • szyfrowanie z kluczem tajnym:

W tym przypadku posiadacz klucza może z łatwością ponownie zidentyfikować każdą osobę, której dane dotyczą, poprzez odszyfrowanie zbioru danych.

  • funkcja skrótu:

Polega na skróceniu danych osobowych do określonych wartości np.:

– imię i nazwisko skracamy do inicjałów;

– numer i adres zamieszkania do pierwszych liter ulicy i miejscowości.

  • tokenizacja:

Technika ta jest zwykle stosowana w sektorze finansowym w celu zastąpienia numerów identyfikacyjnych kart wartościami, które ograniczają ich użyteczność dla osoby trzeciej. Tokenizacja polega na stosowaniu mechanizmów szyfrowania jednokierunkowego lub na przypisaniu za pomocą funkcji indeksu, sekwencji liczb lub losowo wygenerowanych liczb, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych .

W kontekście stosowania RODO podkreśla się, że pseudonimizacja może być jedną z metod zabezpieczenia danych. Zmniejsza ryzyko dla osób, których dane dotyczą, oraz pomaga administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

Istotne jednak jest, że tylko takie przetworzenie danych osobowych, które trwale uniemożliwia identyfikację osoby fizycznej (anonimizacja) lub wręcz usunięcie/zniszczenie danych skutkuje tym, że nie przetwarzamy już danych osobowych. Czyli nie musimy mieć podstawy prawnej do ich przetwarzania.

Anonimizacja i pseudonimizacja w firmach/organizacjach.

W kontekście przetwarzania danych osobowych przez firmy/organizacje, pamiętać należy, że informacje stanowiące dane osobowe, do których przetwarzania nie ma podstaw prawnych (np.: o stanie zdrowia dłużników) nie będą danymi, tylko w przypadku gdy w sposób nieodwracalny nie będzie można zidentyfikować osoby fizycznej (tj. np. dłużnika). Technika polegająca np.: na fizycznym rozdzieleniu danych identyfikacyjnych dłużnika i dotyczących jego zadłużenia od danych dotyczących jego stanu zdrowia i powiązanie ich jedynie poprzez przypisanie określonego numeru będzie przykładem pseudonimizacji. Nie można w takim przypadku uznać, że firma/organizacja nie przetwarza danych o stanie zdrowia. Zidentyfikowanie osoby fizycznej nie jest bowiem trwale uniemożliwione.

Cyberprzestępczość – statystyki i nowe technologie


Nasilenie globalizacji oraz rozwój nowych technologii na przestrzeni ostatnich kilku lat prowadzi do tego, że cyberprzestępczość jest coraz większym problemem. Sukcesywny rozwój społeczeństwa informacyjnego zapoczątkował dynamiczne zmiany związane z wymianą informacji.[1] Szeroki wachlarz przestępstw związany jest z wieloma aspektami korzystania z internetu. Przed szereg wysuwa się teza, iż rozwojowi cyberprzestępczości sprzyja specyficzny charakter sieci globalnej, który pozwala na częściową anonimowość sprawcy przestępstwa. Łatwość dostępu do sieci jest dodatkowym motorem napędzającym ich działanie.

W niniejszym artykule skoncentrujemy się między innymi na analizie policyjnych statystyk związanych z przestępstwami przeciwko ochronie informacji.

Na wstępie pragnę zauważyć, że rozwój cyberprzestępczości doprowadził do pełnej modyfikacji narzędzi wykorzystywanych przez przestępców[2]. Jako przykład można w tym miejscu wskazać, iż jeszcze kilka lat temu nikt nie słyszał o czymś takim jak np. oszustwo nigeryjskie.

1594411528_1512b1aad5_bSkąd taki wniosek? Po pierwsze warto zauważyć, że polski ustawodawca nie pochylił się nad definicją legalną takich pojęć jak „cyberprzestępczość” czy „przestępczość komputerowa”. Obecnie w polskim porządku prawnym używamy definicji przygotowanych przez organizacje unijne czy Interpol. W rozdziale  XXXIII Kodeksu Karnego[3] zatytułowanym „Przestępstwa przeciwko ochronie informacji” odnajdujemy szereg przepisów dotyczących czynów zabronionych. Próbą stworzenia jednolitego katalogu przestępstw internetowych zajęli się teoretycy i praktycy. Począwszy od kryminologów, a skończywszy na organizacjach pozarządowych. Ich działania są jednak mało efektywne. Powód wydaje się oczywisty. Szybki rozwój technologiczny, a tym samym ciągła potrzeba modyfikacji narzędzi informatycznych nastręcza licznych problemów. Regulacje prawne w tym zakresie pozostają stale w tyle. Postęp technologiczny w obecnych czasach następuje w ekstremalnym tempie. Powstają nowe definicje oraz systemy. W mojej ocenie kryminalizacja na gruncie Kodeksu Karnego jest niewystraczająca. Wydaje się ona także nieuniwersalna. Nie przystaje do ówczesnych potrzeb społeczeństwa. W mojej ocenie przepisy Kodeksu Karnego powinno się stosować pomocniczo do innych regulacji. Dopiero ich jednoczesne połączenie pozwoli na pełne urzeczywistnienia praw podstawowych obywateli. Regulacje, które wysuwają się przed szereg to:

  1. Ustawa z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego;
  2. Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji;
  3. Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych;
  4. Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych;
  5. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Jakie jest więc rozwiązanie omawianej kwestii? Należy pokusić się o stworzenie definicji legalnej takich pojęć jak „przestępstwo internetowe”, „cyberprzestępczość” czy wspomniane wyżej „przestępstwo komputerowe”. Stworzenie praktycznych i użytecznych definicji legalnych stanie się dobrym punktem wyjściowym dla interpretacji przepisów. Właściwe ich zrozumienie zagwarantuje eliminację luk w zakresie cyberprzestępczości. Powstaną tym samym ujednolicone ramy prawne, które w pełni realizują postulat bezpieczeństwa prawnego i zapewnią ochronę informacji należących do „zwykłego Kowalskiego”.

cyberprzestępczośćCechą polskiej cyberprzestępczości jest jej bardzo duże zróżnicowanie zarówno pod względem liczby przestępstw stwierdzonych, jak i wskaźników natężenia przestępczości. Zgodnie z definicją przestępstwo wykryte jest to przestępstwo stwierdzone, w którym ustalono przynajmniej jedną osobę podejrzaną i udowodniono jej popełnienie przestępstwa w zakończonym postępowaniu przygotowawczym. W przypadku przestępczości osób dorosłych przestępstwo kwalifikowane jest jako wykryte w momencie, gdy postępowanie przygotowawcze zakończone jest sporządzeniem aktu oskarżenia. Współczynnik przestępczości to zaś liczba przestępstw stwierdzonych na, przypadających na 100 tys. mieszkańców w danym roku. Policyjne statystyki zbudowane są według schematu: rok, liczba postępowań wszczętych i liczba przestępstw stwierdzonych. Analiza porównawcza statystyk prowadzi do wniosku, że na przestrzeni kilku lat najczęściej dochodziło do przestępstw polegających na udaremnieniu lub utrudnieniu korzystania z informacji (art. 268 i 268a Kodeksu Karnego). Ex aequo plasuje się przestępstwo z art. 267 Kodeksu Karnego polegające na naruszeniu tajemnicy korespondencji. Liczba wszczętych postępowań jest imponująca. W związku z dużą skalą przestępstw, o których wspomniałam wyżej dokonam ich krótkiego opracowania.

Poniżej prezentujemy statystyki dla poszczególnych typów przestępstw przeciwko ochronie informacji. Kliknij obrazek aby go powiększyć.

Statystyki

Z analizy statystyk policyjnych wynika, iż najczęściej dochodzi do naruszenia tajemnicy korespondencji (w samym 2014 roku stwierdzono 1901 przestępstw tego typu). Problematyka tajemnicy korespondencji uregulowana została w art. 267 Kodeksu Karnego. Zachowanie korespondencji w tajemnicy polega na ochronie poufności informacji, prawem do dysponowania informacja z wyłączeniem innych osób, a także bezpieczeństwo ich przekazywania.

Naruszeniem tajemnicy korespondencji może być np. otwarcie przez pracodawcę prywatnego maila pracownika otrzymanego na służbową pocztę.

Drugim najczęściej występującym przestępstwem z naruszenia bezpieczeństwa informacji (w 2014 roku było to 572 stwierdzone przestępstwa) jest przestępstwo określone w art. 268 Kodeksu Karnego, które polega na naruszeniu prawa do zachowania integralności informacji oraz prawa do ich dostępu. Ustawodawca dokonał tylko przykładowego wyliczenia czynów zabronionych w kontekście tego artykułu. Wskazał on na zniszczenie, uszkadzanie, usuwanie lub zmienianie zapisu istotnej informacji. Koniecznym warunkiem dla odpowiedzialności karnej w tym przepisie jest istotność informacji. Jak wskazuje się w literaturze chodzi w tym przypadku o istotną informację w znaczeniu obiektywnym. Przy ocenie „istotności informacji” należy brać również pod uwagę interes dysponenta informacji oraz w pewnych przypadkach interes podmiotu ,którego dotyczy informacja.

Najniższą wykrywalność zauważono w przypadku przestępstw polegających na niszczeniu danych informatycznych (sabotaż komputerowy zwany także dywersją informatyczną). Dla zobrazowania skali problemu w 2014 roku wszczęto raptem 10 postępowań w tym tylko 6 stwierdzono. Kara przewidziana za tego typu czyny to pozbawienie wolności od 6 miesięcy do lat 8.

cyberprzestępczośćZ mojej perspektywy niska wykrywalność cyberprzestępstw wynika z przyzwolenia społecznego. Niewiele osób zdaje sobie sprawę z powagi sytuacji. Ignorancja i niewiedza w tym zakresie wydają się iść z nią w parze. Obserwacja rzeczywistości pozwala na sformułowanie kolejnej tezy. Wiele osób kwalifikuje tego typu przestępstwa jako czyn o niskim stopniu społecznej szkodliwości. Uważają, że przestępstwa komputerowe nie powinny stać się przedmiotem zainteresowania i wzmożonej kontroli ze strony organów ścigania. Koło tym samym zatacza krąg. Przestępcy czują się bezkarni, a policyjne statystyki stoją w miejscu. Niedawno na łamach jednego z tygodników pojawiła się krótka notka odnoście sprawozdania z działalności Europejskiego Centrum ds. Walki z Cyberprzestępczością. W jednym z komunikatów dowiadujemy się, że głównym problemem związanym z niską wykrywalnością tego typu przestępstw jest trudność ze zdobyciem twardych i niezbitych dowodów.

Zagadnienia bezpieczeństwa w sieci są złożonym problemem. Technologie internetowe wkraczają coraz do nowych sfer życia i rozwijają się niezwykle dynamicznie. Komputery wdarły się przebojem praktycznie w każdą sferę życia. Towarzyszą nam na każdym kroku. Czy są one jednoznacznie złe? Pytanie jest trudne. Wydaje się, że to od użytkowników zależy czy staną się ofiarami cyberprzestępstw. To czym powinniśmy się kierować podczas korzystania z nich jest zdrowy rozsądek oraz ostrożność. Warto również stosować różne środki bezpieczeństwa (np. programy antywirusowe), chroniące dane, które są wartościowe nie tylko dla ich właściciela lub wytwórcy, ale niejednokrotnie informacje te są bardziej wartościowe dla złodzieja lub konkurencji. Warto tym samym je chronić by później nie natknąć się na przykre konsekwencje ich nieprzestrzegania. W efekcie cyberataku możemy stracić pieniądze, poufne informację i reputacje. Kwestią odrębną jest utracony czas. Niejednokrotnie przekracza on etap zbierania i weryfikacji danych. Wiele rekomendacji i zaleceń w tym zakresie znajdziemy na stronach internetowych:

  1. http://www.policja.pl/.
  2. http://www.giodo.gov.pl/
  3. https://auraco.pl/

Omawiając temat cyberprzestępczości warto również pochylić się nad szeroko pojętą ochroną informacji, a w szczególności ochroną danych osobowych. Nie ulega wątpliwości, że wdrożenie niezbędnej dokumentacji oraz przeprowadzenie szkoleń wydaje się kluczem do sukcesu. Należy jednak pamiętać, że nawet odpowiednie procedury czy nowoczesne zabezpieczenia systemów informatycznych nie ochronią informacji jeśli zawiedzie czynnik ludzki. Szczególnie w tym kontekście warto pamiętać o sukcesywnym poszerzaniu świadomości pracowników z zakresu bezpieczeństwa ochrony informacji. Ochrona danych osobowych w dzisiejszych czasach jest szczególnie ważna i brak dbałości w tym zakresie generuje niezliczone skutki nie tylko w sferze prawnej.

Źródło:

  1. http://statystyka.policja.pl/st/kodeks-karny
  2. http://isp.policja.pl/isp/aktualnosci/7330,Walka-z-cyberprzestepczoscia.html
  3. http://www.policja.pl/pol/kgp/bsk/dokumenty/cyberprzestepczosc/58792,Ochrona-informatyczna-danych-phishing-i-kradziez-tozsamosci

[1] W obliczu błyskawicznie zachodzących zmian w nowych technologiach w 2010 r. powstał Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016. Ten obszerny dokument zawiera propozycje działań o charakterze prawno-organizacyjnym, technicznym i edukacyjnym, których celem jest zwiększenie zdolności do zapobiegania i zwalczania zagrożeń ze strony cyberprzestępców. Jednym z priorytetowych celów Programu są akcje prewencyjno-edukacyjne promujące wzorcowe zachowania w sferze bezpieczeństwa informacji.

[2] K.Gienas, Cyberprzestępczość, Jurysta 2003 nr 12 s. 9-10

[3] Ustawa z dnia 6 czerwca 1997 r. Kodeks karny., Dz.U.1997.88.553

Kontrola GIODO – czyli czego szuka inspektor GIODO

Uchylę dziś rąbka tajemnicy na temat pracy inspektora GIODO.
Najistotniejszym zagadnieniem związanym z pracą inspektora jest pytanie czego on właściwie szuka w trakcie kontroli. Odpowiedź pewnie nikogo nie zaskoczy, bowiem inspektor tak jak każdy audytor szuka uchybień. Co to jest uchybienie? Zgodnie ze Słownikiem Języka Polskiego wydanym przez PWN, uchybienie oznacza:

  1. skutek zaniedbania, niedopatrzenie w czymś
  2. wykroczenie przeciw jakimś normom, przepisom, zwyczajom itp.
  3. zachowanie obrażające kogoś

Inspektora GIODO prowadzącego kontrolę interesują oczywiście uchybienia w zakresie stosowania przepisów dotyczących ochrony danych osobowych. W tym miejscu nasuwa się od razy pytanie, gdzie i w jaki sposób to robi.

A więc od czego zaczyna inspektor GIODO – odpowiedź jest banalna, zaczyna od znalezienia osoby, która powinna mieć wiedze na temat wszystkich procesów związanych z przetwarzaniem danych osobowych u kontrolowanego przedsiębiorcy. Taką osobą jest Administrator Bezpieczeństwa Informacji.
W przypadku braku takiej osoby możemy już na początku założyć, iż przedsiębiorca nie do końca dba o właściwą ochronę danych osobowych.

Praktycznie każdy podmiot działający na rynku ma podobną strukturę. Oczywiście skala działalności i profil działalności gospodarczych jest bardzo zróżnicowana, jednakże można znaleźć pewne powtarzalne schematy.

Bazując na moim doświadczeniu mogę znaleźć pewne elementy, które się powtarzają i z przyzwyczajenia to właśnie na tych elementach koncentruje się „standardowy” inspektor. Doskonałym przykładem są wymagania formalne. Każdy administrator danych powinien mieć wdrożoną Politykę bezpieczeństwa ochrony danych osobowych, Instrukcję zarządzania systemami informatycznymi przetwarzającymi dane osobowe, wydane upoważnienia, aktualną ewidencję osób upoważnionych do przetwarzania danych oraz zarejestrowane zbiory danych. Powyższe elementy bardzo łatwo sprawdzić, więc są zazwyczaj brane na pierwszy ogień.
W trakcie kontroli inspektorzy (prawnik i informatyk) sprawdzają również zabezpieczenia fizyczne danych osobowych. Zwracają uwagę np. na to czy dokumenty zawierające dane osobowe są przechowywane w szafkach zamykanych na klucz oraz czy dostęp do danych osobowych mają osoby nieupoważnione (np. poprzez nieodpowiednie ustawienie monitorów). Dodatkowo informatyk sprawdza systemy informatyczne w których są przetwarzane dane osobowe pod kątem spełnienia wymogów z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

Kolejnym punktem na „trasie kontroli” są działy Kadr. Praktycznie każdy przedsiębiorca taki dział posiada, więc przeciętny inspektor spotykał się z nim podczas kontroli już wiele razy i wie jakich uchybień tam szukać (np. kserokopii dowodów osobistych lub zbyt szerokiego zakresu danych w kwestionariuszy osobowym).

Po sprawdzeniu działu Kadr przychodzi pora na umowy z podmiotami zewnętrznymi, które przetwarzają dane na zlecenie administratora danych (szeroko pojęty outsourcing). W przypadku braku umów powierzenia przetwarzania danych z takimi podmiotami mamy kolejne gotowe uchybienia.

Po sprawdzeniu standardowych elementów przychodzi czas na procesy związane ze specyfiką kontrolowanego administratora danych. Tutaj szczególną uwagę poświęca się na różnego rodzaju formularze i ankiety za pomocą których pozyskiwane są dane osobowe ( w tym też strony internetowe). Sprawdzamy czy są niezbędne elementy wynikające z ustawy o ochronie danych osobowych takie jak obowiązki informacyjne czy klauzule zgód ( o ile są niezbędne w określonym stanie faktycznym). Badana jest też adekwatność, celowość i czas przechowywania danych, ale o tym napiszę w przyszłości.

Zapomniałbym o najważniejszym – tzn. jakie podejście prezentują inspektorzy. Sprawdza się tu stare przysłowie „jak Kuba Bogu, tak Bóg Kubie”, czyli poczęstujmy inspektora kawą i ciastkami, a na pewno kontrola przebiegnie dużo sprawniej.