Minimalizacja danych osobowych - obowiązek z RODO, który jest też środkiem bezpieczeństwa

Dlaczego minimalizacja danych z art. 5 RODO jest jednocześnie zasadą zarządzania ryzykiem w SZBI i jak wspierają ją Detecto oraz Oblivio w kontekście NIS2, KSC i DORA.

Dla kierownictwa podmiotów kluczowych i ważnych objętych znowelizowaną ustawą o KSC minimalizacja danych osobowych oznacza przetwarzanie wyłącznie danych adekwatnych, stosownych i ograniczonych do tego, co niezbędne do konkretnego celu. W praktyce nie jest to tylko punkt na liście kontrolnej RODO, ale zasada zarządzania ryzykiem dla IOD, CISO, menadżerów ds. zgodności oraz dyrektorów IT i cyberbezpieczeństwa w średnich i dużych organizacjach, które odpowiadają za bezpieczeństwo informacji i zgodność regulacyjną. To błąd optyki. Każdy rekord danych osobowych zebrany bez wyraźnej potrzeby to jednocześnie aktywo, które trzeba chronić w ramach SZBI - a więc dodatkowe ryzyko, które ktoś musi ocenić, minimalizować i udokumentować. Dlatego temat obejmuje nie tylko sam obowiązek wynikający z RODO, ale też praktyczne zasady ograniczania zakresu danych, ryzyka związane z nadmiarowymi danymi oraz narzędzia do wykrywania i zarządzania danymi, które pomagają redukować ekspozycję na incydenty i naruszenia danych oraz utrzymać zgodność z RODO, NIS2, KSC i DORA. Minimalizacja jest jednym z niewielu miejsc, w których obowiązek prawny i ekonomia bezpieczeństwa wskazują dokładnie ten sam kierunek: mniej danych.

Część 1. Co zasada minimalizacji danych oznacza w praktyce

Art. 5 RODO wymaga, aby dane osobowe były „adekwatne, stosowne oraz ograniczone do tego, co niezbędne" względem celów przetwarzania. Kluczowe jest słowo „niezbędne" powiązane z konkretnym celem - minimalizacja nie funkcjonuje w oderwaniu od zasady ograniczenia celu. Nie chodzi o proces zbierania prowadzony „na wszelki wypadek": dane osobowe muszą być adekwatne, stosowne i ograniczone do konkretnego celu przetwarzania. W praktyce egzekwowanie tej zasady opiera się na kilku mechanizmach, które powinny działać łącznie, a nie punktowo: Mapowanie i inwentaryzacja danych. Rejestr czynności przetwarzania nie powinien być dokumentem tworzonym raz i archiwizowanym - to narzędzie do systematycznego pytania „po co nam to pole danych" przy każdej rewizji procesu. Warto też przeprowadzać okresowe audyty baz danych, regularnie przeglądać zbiory, usuwać dane nadmiarowe i pilnować okresowego przeglądu jako elementu rozliczalnego przetwarzania danych osobowych. Privacy by design i by default. Ocena niezbędności powinna następować na etapie projektowania formularza, bazy czy integracji, nie po fakcie - domyślne ustawienia powinny zbierać minimum, a przegląd formularzy prowadzić do usuwania pól nieobowiązkowych, jeśli nie są niezbędne do celów i nie służą osiągnięcia celu. Dla operacji wysokiego ryzyka tę samą ocenę formalizuje Ocena Skutków dla Ochrony Danych (OSOD, ang. DPIA), wprost weryfikując, czy zakres danych da się zawęzić bez utraty celu biznesowego. Administrator danych powinien też ocenić, czy da się ten cel osiągnąć innymi sposobami, w bardziej rozsądny sposób i z mniejszym zakresem zbierania i przetwarzania danych. Polityki retencji z automatycznym wygaszaniem. Deklaracja okresu przechowywania bez mechanizmu wymuszającego usunięcie lub anonimizację po jego upływie jest w praktyce fikcją proceduralną. Dane nie powinny pozostawać w systemach przez okres dłuższy niż konieczny dla przechowywania danych. Warto ustalić termin usunięcia albo anonimizacji oraz stosować pseudonimizację tam, gdzie to możliwe. Dane i tak zostają, bo nikt nie ma obowiązku ani narzędzia, by je usunąć. Kontrola dostępu oparta na zasadzie wiedzy koniecznej. Minimalizacja obejmuje nie tylko zbieranie, ale i dostęp do już zebranych danych - nadmiarowy dostęp to ta sama kategoria problemu co nadmiarowe zbieranie. Egzekwowanie tych mechanizmów wymaga dokumentowania decyzji o niezbędności - zasada rozliczalności z art. 5 RODO, która w praktyce jest tym, co UODO sprawdza najpierw, a naruszenie zasady minimalizacji danych może skutkować wysoką karą finansową: nie treść polityki, lecz dowód, że decyzje o zakresie danych były świadome. Polityka minimalizacji zapisana w dokumentacji SZBI, ale niepodparta zgodnie z zasadą minimalizacji - czy pola w formularzach i bazach nadal odpowiadają zadeklarowanym celom - jest w praktyce martwym zapisem. Rozbieżność między tym, co system faktycznie przechowuje, a tym, co wynika z rejestru czynności przetwarzania, jest najczęstszym ustaleniem kontroli, i najłatwiejszym do uniknięcia, jeśli przegląd jest zaplanowany, a nie doraźny czy reaktywny.

Część 2. Nadmiarowe dane jako ryzyko ochrony danych osobowych

Z perspektywy SZBI każdy zbiór danych osobowych przechowywany bez uzasadnionej potrzeby jest aktywem podlegającym ocenie ryzyka na tych samych zasadach co inne aktywa informacyjne. Nadmiarowość nie jest neutralna - generuje konkretne zagrożenia i podatności. Rozszerzenie powierzchni ataku i skali incydentu. Im więcej danych osobowych w zasięgu systemu, tym większy zakres naruszenia przy udanym ataku ransomware czy eksfiltracji - co przekłada się wprost na wysokość kar z RODO oraz na obowiązki raportowe wobec CSIRT wynikające z ustawy o KSC, zwłaszcza, gdy incydent dotyczy danych osób fizycznych i wymaga działań zgodnych z RODO dla zabezpieczenia ich praw i wolności. Rozproszenie danych poza kontrolowane repozytoria. Pola tekstowe formularzy, logi, kopie zapasowe i archiwa aplikacyjne systematycznie gromadzą dane osobowe, które nigdy nie miały tam trafić - i przeżywają tam znacznie dłużej niż deklarowany okres retencji, nawet po „skasowaniu" rekordu w systemie produkcyjnym. Administrator powinien stosować zabezpieczenia oraz odpowiednie środki bezpieczeństwa przechowywania danych, aby chronić je przed nieuprawnionym dostępem i nieuprawnionym korzystaniem. To podatność szczególnego rodzaju: nie da się zabezpieczyć ani terminowo usunąć danych, o których istnieniu organizacja nie wie. Zwiększone ryzyko nadużycia wewnętrznego. Większy zbiór danych dostępny dla większej liczby osób zwiększa prawdopodobieństwo nieuprawnionego wykorzystania niezależnie od intencji - to efekt czysto statystyczny, spotęgowany przez wspomnianą już zasadę wiedzy koniecznej, czyli ograniczanie dostępu do danych wyłącznie do osób upoważnionych, z zachowaniem odpowiedniej poufności. Wydłużone okno ekspozycji i ryzyko łańcucha dostaw. Dane przechowywane dłużej niż to konieczne pozostają narażone przez cały ten czas, a zestawienie pozornie nieszkodliwych atrybutów bywa wystarczające do reidentyfikacji nawet po pseudonimizacji. Ekspozycja rośnie dodatkowo, gdy nadmiarowe dane trafiają do podwykonawców - obszar, na który nowelizacja ustawy KSC kładzie wyraźny nacisk w ocenie ryzyka w łańcuchu dostawców. Takim przetwarzaniem należy zarządzać tak, by było zgodne z prawem i służyło ochronie danych osobowych, a nie utrzymywaniu zbędnych danych po osiągnięciu celu.

Minimalizacja w planie postępowania z ryzykiem przetwarzania danych osobowych

W terminologii ISO 27001 minimalizacja jest formą redukcji ryzyka poprzez usunięcie aktywa, a nie tylko dodanie zabezpieczeń - mniej danych oznacza mniej ryzyka do traktowania w ogóle. Uzupełniają ją zabezpieczenia z Załącznika A normy, m.in. usuwanie informacji czy maskowanie danych. W planie postępowania z ryzykiem te zagrożenia - brak widoczności nadmiarowych danych oraz brak mechanizmu ich cyklicznego usuwania - adresują dwa zintegrowane ze sobą narzędzia z oferty Wizards: Detecto i Oblivio.

**Detecto** wykrywa dane osobowe i inne dane wrażliwe w bazach danych - łączy się z bazami, analizuje strukturę tabel i próbki danych, a kolumny z informacjami wrażliwymi klasyfikuje na podstawie reguł, wyrażeń regularnych, słowników i heurystyk. Sygnalizuje moment, w którym nowa tabela czy kolumna wymaga objęcia procesem anonimizacji, zanim stanie się nadmiarowym aktywem poza kontrolą - działa jednorazowo lub w trybie ciągłego monitoringu. W jednym z wdrożeń objął ponad 8000 tabel w dwudziestoletnim systemie firmy energetycznej. **Oblivio** realizuje proces retencji danych osobowych i obsługę prawa do bycia zapomnianym w systemach IT, automatyzując usuwanie i anonimizację zgodnie z politykami retencji oraz wymaganiami RODO, NIS2, KSC i DORA. Konfiguruje źródła danych (bazy, repozytoria plików, systemy ERP/CRM/HR) i reguły retencji oparte o czas, zdarzenia biznesowe lub wyzwalacze zewnętrzne, zabezpieczając też przed nieprawidłowym lub nadmiarowym usuwaniem danych. Integruje się z Detecto oraz z Revelio, korzystając z ich wyników do zlokalizowania danych podlegających retencji zarówno w bazach ustrukturyzowanych, jak i rozproszonych poza nimi.

To połączenie odpowiada wprost na zdiagnozowane wcześniej podatności: Detecto i Revelio eliminują brak widoczności nadmiarowych danych, Oblivio zamyka okno ekspozycji zamiast pozostawiać je otwartym mimo formalnie zadeklarowanej retencji. Takie zabezpieczenia powinny mieć w SZBI przypisanych właścicieli ryzyka i podlegać przeglądowi skuteczności. Potrzebne są też regularne szkolenia pracowników z zakresu ochrony danych oraz rozsądne działania organizacyjne wspierające wykonywanie tych procedur. Minimalizacja danych jest rzadkim przypadkiem, w którym spełnienie obowiązku prawnego zmniejsza jednocześnie realną powierzchnię ryzyka. Dla kierownictwa ponoszącego dziś osobistą odpowiedzialność za cyberbezpieczeństwo to argument, żeby traktować minimalizację jako ważną pozycję w rejestrze ryzyka (zwłaszcza, że dotyczy wielu aktywów informacyjnych), a nie tylko w rejestrze czynności przetwarzania.