Zasady przetwarzania danych osobowych w sferze zatrudnienia Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD Mariola Więckowska Head of Privacy Innovative Technologies Lex Digital 1
Definicje: Integralność ISO 27000 integralność właściwość polegająca na zapewnieniu dokładności i kompletności RODO art. 5 ust. 1 lit. f Dane osobowe muszą być: przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ( integralność i poufność ).
Integralność Integralność danych, także spójność (ang. data integrity) własność danych wykluczająca wprowadzenie do nich zmian w nieautoryzowany sposób. Bezpieczna komunikacja Bezpieczne przechowywanie Możliwość śledzenia/sprawdzenia każdej zmiany, co umożliwia wykrycie błędów oprogramowania, modyfikacji i innych zmian danych. Z punktu bezpieczeństwa ochrona integralności zapobiega celowej modyfikacji danych dokonanej z użyciem zaawansowanych technik mających na celu ukrycie faktu dokonania zmiany.
Art. 32 Bezpieczeństwo przetwarzania 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: pseudonimizacja i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Etap projektowania systemu HR kluczem do zapewnienia integralności oprogramowania Podpis elektroniczny wykonywalnego kodu aplikacji gwarantuje, że nie podległa ona nieautoryzowanym zmianom Integralność systemu gwarantuje, że przetwarzanie danych odbywa się wg ustalonych zasad Włączenie zasady integralności danych osobowych w dobór adekwatnych środków bezpieczeństwa już na etapie projektowania i usług, np. anonimizacja, centralizacja i decentralizacja, szyfrowanie danych
Logowanie zdarzeń dostępu oraz zarządzanie incydentami w zatrudnieniu Wdrożenie środków gwarantujących właściwe logowanie dostępów oraz zarządzania incydentami Konieczność zapisywanie zdarzeń w logach systemów oraz gwarancji ich nie zamienialności Określenie minimalnego zakresu informacji w logach: identyfikator użytkownika, data połączenia i rozłączenia Dobór adekwatnego czasu przechowywania logów
SIEM - Security Information and Event Management Systemy SIEM: gromadzenie filtrowanie normalizowanie agregacja korelacja zdarzeń pochodzących z różnych źródeł, które stają się repozytorium danych dla wykrywania potencjalnych zagrożeń. Informacje te pozwalają wykryć incydent oraz poinformować o nim w czasie zbliżonym do rzeczywistego (near real-time).
Przetwarzanie danych pracowników przez strony trzecie Element zasady integralności danych powinien być uwzględniony w umowach ze stronami trzecimi Wskazanie zasad pozwalających ocenić stosowanie środków zapewniających integralność danych
Testowanie integralności danych (ang. Message Digestion Code, MDC) Detekcja modyfikacji tekstu podczas przesyłania danych pocztą elektroniczną Testowanie integralności przechowywanych danych (razem z plikiem przechowywany jest skrót). Podpis elektroniczny Złożenie podpisu pod konkretnym dokumentem podpisanie skrótu dokumentu i przesłanie do razem z tekstem jawnym, który zapewni integralności, autentyczność i weryfikację pochodzenia danych Znakowanie czasem posiadając skrót daty nie można zmienić wartości daty bez zmiany jego skrótu Zobowiązania bitowe Przechowywanie haseł w systemach Techniki zapewniające integralność danych
Naruszenie integralności danych Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) Ocena wagi naruszenie: SE = DPC * EI + CB o SE Severity Assessment: Główne kryteria oceny wagi naruszenia o DPC Data Processing Context: Kontekst przetwarzania danych o EI Ease of Identification: Łatwość identyfikacji o CB Circumstances of breach: Okoliczności naruszenia, m. in. naruszenie integralności danych Dane zmienione i użyte, ale możliwe ich odzyskanie (+0,25) Dane zmienione i użyte, ale brak możliwości ich odzyskania (+0,5) Przykłady naruszeń integralności danych w zatrudnieniu: o zmiana ocen pracowniczych, których wynik wpływa na nagrody/podwyżki o zmiana algorytmu lub jego parametrów w procesie obsługi finansowej pracowników o usunięcie/dodanie danych o pracownikach (np. nagrody, nagany)
Dziękuję za uwagę ul. Zakręt 8 60-351 Poznań www.lexdigital.pl e-mail: biuro@lexdigital.pl e-mail: Mariola.Wieckowska@LexDigital.pl