W dzisiejszych czasach rzadko się zdarzają projekty nie przechowujące danych rozumianych przez ustawodawce jako „dane osobowe”. I z reguły firmy doskonale zdają sobie sprawę z przechowywanych i przetwarzanych zbiorów danych ale niestety rzadko stosują się do wymogów ustalonych przez GIODO. Artykuł nie ma na celu przekładania całej ustawy oraz prezentacji punkt po punkcie każdego wymogu, natomiast chciałbym zwrócić uwagę na obszary, którymi Ty (jak domniemam właściciel aplikacji) zarządzasz. Obszary na które powinieneś zwrócić uwagę:

1. Data Center
2. Administracja serwerem
3. Baza danych
4. Przetwarzanie baz danych
5. Oprogramowanie Twojej web-aplikacji
6. Rejestracja zbioru

Jeśli masz wątpliwości co do któregokolwiek punktu i obawiasz się, że gdzieś możesz mieć „dziurę” w bezpieczeństwie – najlepiej skontaktuj się z ekspertem w tej dziedzinie – firmą tworzącą oprogramowanie lub firmą audytującą bezpieczeństwo aplikacji. To bardzo ważne tak dla Twojego spokoju jak i Twoich klientów czy użytkowników. Ale do rzeczy…

#1 Data Center

Obecnie praktycznie każde profesjonalne centrum danych spełnia wszelkie warunki i wymogi stawiane przez GIODO. Warto abyś przy wyborze centrum danych sprawdził czy Twój przyszły dostawca dostarczy Ci lub pomoże wypełnić wniosek rejestracyjny. Jest to o tyle ważne, że szczegółowe informacje dotyczące serwerowni posiada czasem tylko dostawca a wniosek bez uzupełnienia tych danych zostanie odrzucony. Na szczęście większość dużych dostawców w Polsce oferuje pomoc w tym zakresie. Co jest jeszcze szczególnie ważne to fakt fizycznego przechowywania danych. Pomimo rozwiązań typu cloud dane tak czy inaczej fizycznie znajdują się pod określoną lokalizacją geograficzną. Upewnij się, że typ danych, który będziesz przetwarzał może być w danej lokalizacji umieszczony (przykładem może być dokumentacja medyczna – nie możesz przechowywać jej poza granicami kraju).

#2 Administracja serwerem

Często się o tym zapomina natomiast prowadzenie zbioru danych to ciągła opieka nad nim, wykonywanie wszelakich kopii, dbanie o zabezpieczenie systemowe maszyn itd. Rozpoczynając współpracę z administratorem serwerów zwróć uwagę czy posiada on wiedzę w zakresie przetwarzania zbiorów lub czy przeszedł stosowne szkolenie. Ochrona danych osobowych nie kończy się tylko na wniosku do GIODO, to proces ciągły o który w części serwerowej dba właśnie administrator.

#3 Baza danych

Jest to aspekt związany już z samym oprogramowaniem i projektem bazy danych. Ustawa jasno i dość precyzyjnie określa co ma się dziać z przechowywanymi danymi, jak mają być kasowane i jak zmieniane. Kiedy mogą a kiedy muszą być usuwane ze zbioru. Z naszego doświadczenia, czasem założenia projektowe nie pozwalają na stosowanie tych zasad co jest pewnego rodzaju naruszeniem. Nie mniej jednak audyt przetwarzania zbioru w bazie danych po zakończeniu realizacji projektu jest wskazany.

#4 Przetwarzanie bazy danych

Jest to dość skomplikowany temat, mocno związany z obróbką i przesyłaniem danych (użytkownik <-> serwer; serwer <-> serwer; zewn. dostawcy <-> serwer). Wiąże on ze sobą rozwiązania programistyczne jak i serwerowe. Sposób przetwarzania danych dla każdego przypadku prawie zawsze jest inny a zanim wspomniane dane znajdą się w bazie danych muszą być bezpiecznie i zgodnie z zaleceniami do niej dostarczone. Ze względu na złożoność tego aspektu, dobrze gdy analizę tego powierzysz specjaliście lub firmie audytującej.

#5 Oprogramowanie web aplikacji

Serce całości, które steruje wszystkimi procesami – serwera, bazą danych, przetwarza dane, aktualizuje je. Błędnie wykonane oprogramowanie to ryzyko braku zgodności z wymogami lub też zagrożenie dla bezpieczeństwa. To właśnie „dziury” w oprogramowaniu otwierają furtkę do nieautoryzowanego dostępu do zbiorów – och odczytu czy modyfikacji. Sprawdzenie bezpieczeństwa aplikacji jest wprost proporcjonalnie skomplikowana do złożoności danej aplikacji. Im więcej danych osobowych przechowujesz i bardziej szczegółowe, tym połóż większy nacisk na rzetelność, solidność i dbałość i poprawność działania wszystkim elementów składowych Twojego systemu. Skutki wycieku, utraty lub nieautoryzowanych zmian mogą okazać się dla Ciebie wyjątkowo kosztowne.

#6 Rejestracja zbioru

Wisienka na torcie. Kiedy wszystkie elementy układanki (punkty wyżej) dopracowałeś i wszystko jest tak jak należy wypełnij i złóż wniosek: http://www.giodo.gov.pl/148/ Pamiętaj tylko – rejestracja zbioru to formalność, nie zabezpieczy Cie to przed niedoskonałością obszarów o których wspomniałem wyżej. Zgodnie z ludową mądrością – „umiesz liczyć, licz na siebie” – wszystko w Twoich rękach!