TECH RODO PORTAL  

RODO, z ang. General Data Protection Regulation, GDPR

Rozporządzenie o ochronie danych osobowych (RODO, z ang. General Data Protection Regulation, GDPR), to nowa dyrektywa unijna. Po pierwsze, ustawa zmienia definicję danych osobowych. Po drugie, od maja 2018 roku gromadzone dane osobowe muszą stanowić uporządkowanymi zbiór, które nie tylko musi być łatwy do zlokalizowania, ale również posiadać ograniczony do niego dostęp tylko dla upoważnionych wcześniej osób. Dodatkowo taki zbiór danych osobowych musi posiadać możliwość modyfikacji, a czasem trwałego usuwania część z danych. Po trzecie, rozporządzenie reguluje wszelkie kwestie związane z utratą danych osobowych. Firmy mają 72 godziny od stwierdzenia naruszenia na jego zgłoszenie do właściwego organu nadzorczego, a nieprzestrzeganie tych zasad grozi wysokimi karami.

Podjęcie odpowiednich kroków pozwoli nie tylko przygotować się przedsiębiorstwom do nowych przepisów, ale również postawi bezpieczeństwo w centrum zainteresowania, co powinno przełożyć się na uporządkowanie strategii firmy w zakresie bezpieczeństwa IT i tym samym pozwoli na lepszą ochronę.

 

Już dziś przeanalizuj swoje systemy, ryzyka i strategię pod kątem nowych regulacji GDPR i dostosuj swój biznes do nowej ery przetwarzania danych osobowych. Podstawową i niepodważalną kwestią jest fakt, że regulacja sama w sobie nie jest zbiorem gotowych rozwiązań, które muszą zostać wdrożone w przedsiębiorstwie. Treść ustawy bardzo jasno informuje jak podejść do tematu od strony tworzenia procedur bezpieczeństwa przetwarzania danych, natomiast nie podaje konkretnych rozwiązań technologicznych, które są niezbędne do wdrożenia. Nie ma dziś na rynku jednego, kompleksowego rozwiązania technologicznego, które byłoby w stanie zabezpieczyć firmę całościowo i tym samym pozwolić nam wywiązać się z nowych regulacji. Warto jednak rozważyć wdrożenie kilku rozwiązań, które pozwolą nam znacząco przybliżyć się do stanu idealnego.

Cennik TECH RODO

Zbiór danych oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie (Art. 4 pkt. 6 RODO).

DANE OSOBOWE 

Jak dostosować obecne bazy danych pozyskanych z różnych źródeł do wymogów RODO?  

W przypadku kontroli inspektorzy będą mieli prawo do nałożenia kilku kar pieniężnych za każde z wykrytych uchybień.

PORZĄDEK W BAZACH 

Art. 30 rozporządzenia wprowadza obowiązek prowadzenia przez administratora danych „rejestru czynności przetwarzania”. Należy zaznaczyć, iż za nieprowadzenie rejestru będzie grodziła kara pieniężna w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

REJEST CZYNNOŚCI 

Naruszeniem praw lub wolności osób fizycznych zgodnie z  RODO będzie m.in. powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

UTRATA DANYCH 

Powołanie Inspektora jest obligatoryjne we wskazanych w RODO przypadkach.

INSPEKTOR DANYCH

  • Polityka bezpieczeństwa

  • Rejestr czynności przetwarzania danych osobowych

  • Rejestr naruszeń

  • Rejestr upoważnień

  • Raport z analizy ryzyka

  • Procedura zarządzania użytkownikami i dostępem

  • Standardy zabezpieczeń

WYMAGANA DOKUMENTACJA

Wyróżnia się trzy rodzaje kontroli: doraźne, sektorowe oraz sektorowe sprawdzenia dla GIODO. 

Harmonogram kontroli GIODO.

Wyniki kontroli doraźnych w 2017 roku.

KONTROLE GIODO

Weryfikacja aktualnej sytuacji w firmie w zakresie przetwarzania danych osobowych poprzez ustalenie:

  • Jakie dane osobowe są przetwarzane w firmie

  • W jakiej formie – tj. w elektronicznej, papierowej czy innej

  • Jak można je pogrupować

  • Jaki jest cel i zakres ich przetwarzania

  • Legalności ich przetwarzania: czy są odpowiednie zgody czy też inna podstawa przetwarzania

  • Merytorycznej poprawności danych i ich adekwatności w stosunku do celu przetwarzania

KROK 1 

cena abonamentu miesięcznego: od 500,00 zł do 900,00 zł 

Zamówienia: 

tel. +48 22 219 94 09 

emial: rodo@techcroud.com

email: sales@techcroud.com

Laptopy a RODO 

Laptopy, smartphony czy też tablety to urządzenia, które najłatwiej przejąć fizycznie. W pamięci urządzeń bardzo często przechowujemy dokumenty zawierające dane osobowe. Zgodnie z rozporządzeniem UE takie urządzenie staje się nośnikiem, który powinien być odpowiednio zabezpieczony przed wyciekiem danych. Użytkownicy końcowi bardzo często nie ustawiają haseł uwierzytelniających, nie wykorzystują szyfrowanych kanałów transmisji danych, używają nieautoryzowanego oprogramowania przez centrum bezpieczeństwa firmy, a co najgorsze nie zawsze posiadają oprogramowanie antywirusowe.

 

Należy wiec taki sprzęt zabezpieczyć silnym hasłem, korzystać z nich zgodnie z procedurami dedykowanymi dla urządzeń mobilnych, regularnie sprawdzać stan oprogramowania antywirusowego.

 

Szyfrowanie danych

GDPR wymusza wdrożenie w środowisku firmowym rozwiązań szyfrujących dane, które zapewnią ich skuteczną ochronę – poczynając od komputerów, poprzez udziały sieciowe aż do zasobów klasy cloud. System szyfrowania danych powinien realizować działania na wielu poziomach od sprzętowego do plikowego, dzięki któremu organizacja, oprócz zabezpieczenia danych na dysku fizycznym przed zgubieniem bądź kradzieżą, jest w stanie wdrożyć polityki DLP (ang. Data Leak Prevention) czyli ochrony przed wyciekiem danych. Mają one kluczowe zastosowanie w przypadku wysyłania wiadomości email, zawierających dane osobowe poza organizację lub wykorzystywania w firmie przenośnych USB. Dzięki wdrożeniu odpowiedniego systemu szyfrowania danych jesteśmy chronieni przed odczytaniem danych przez osoby niepożądane podczas ewentualnego wycieku danych z przedsiębiorstwa. Warto dodać, że w przypadku utraty zaszyfrowanych danych firma nie jest zobowiązana do zgłaszania takiego incydentu!

 

UTM

Unified Threat Management UTM jest to klasa urządzeń sieciowych odpowiadająca za kompletną ochronę, nadzorująca ruch w sieci wewnątrz firmowej oraz kontakt-dostęp do zasobów sieci internet. Urządzenia tej klasy pozwalają nam tworzyć polityki dostępów do dedykowanych zasobów – czyli zgodnie z GDPR pozwolą separować dane, a także ograniczać dostęp osób nieuprawnionych do przeglądania danych. Dzięki modułom kontroli pakietów, urządzenie pozwala odpowiednio blokować przepływ danych, tak aby w szczególności dane wrażliwe nie zostały udostępnione. Rozwiązanie tej klasy jest dedykowane dla małych i średnich firm ze względu na optymalną relację pomiędzy skalą firmy w możliwościami urządzenia.

 

SIEM

SIEM są to rozwiązania, które zbierają dane i dostarczają pełną diagnostykę do płynnego analizowania oraz potwierdzania zdarzeń związanych z bezpieczeństwem. Systemy tej klasy stale monitorują całą sieć firmową pod względem bezpieczeństwa oraz rejestrują zdarzenia w niej zachodzące. Co ważne, wszystko odbywa się inline. Przedsiębiorstwo w momencie wystąpienia incydentu jest w posiadaniu wszystkich niezbędnych danych o potencjalnym ryzyku oraz może zareagować natychmiastowo, a także, jak wymagają tego nowe przepisy, zgłosić wyciek danych w odpowiednim czasie. Takie rozwiązanie dedykowane jest dużym przedsiębiorstwom.

 

Cloud

Rozwiązania chmurowe są bardzo dobrą alternatywą podczas próby dostosowania się do wymagań GDPR. W tych technologiach często jest zaimplementowana zgodność z oczekiwaniami regulacyjnymi. Rozwiązania chmurowe wpisują się w wymogi unijnego rozporządzenia GDPR, ze względu na gwarancję bardzo wysokiego poziomu ochrony danych osobowych, które gromadzą i przetwarzają firmy. Dlatego warto rozważyć przeniesienie swojego centrum przetwarza danych do firmy, która ma przygotowanie odpowiednie środowisko oraz kompetencje w świadczeniu usług. Ten model funkcjonowania pozwoli przenieść odpowiedzialność na dostawcę usług w razie ewentualnych wycieków danych.

Są to tylko propozycje rozwiązań technologicznych, które mogą ułatwić dostosowanie się do nowych wytycznych GDPR. Należy pamiętać, że są to tylko narzędzia, które mają za zadanie wspierać procesy ochrony danych wrażliwych oraz ich bezpiecznego przetwarzania. Należy pamiętać o prawidłowo stworzonych oraz wdrożonych procedurach, które pozwolą swobodnie realizować założenia GDPR. Wdrożenie nowych zapisów odnośnie przetwarzania danych osobowych pozwolą zapobiegać akcjom typu: telefon od nachalnego marketingu czy też dziwnym promocjom w skrzynkach pocztowych naszych domów. Jeżeli dojdzie do takiego incydentu wbrew naszej woli, będziemy mogli z dużą łatwością namierzyć osobę łamiącą prawo, a także złożyć odpowiednie zażalenia, czy też nasłać kontrole w celu zdyscyplinowania operatora danych. GDPR to mocny argument dla osób indywidualnych i ogromne zobowiązania dla firm, które zajmują się gromadzeniem lub w jakikolwiek sposób przetwarzają osobowe dane.

 

FAQ 

Często zadawane, praktyczne pytania

Polecane www

  • GOOGLE CLOUD - strona internetowa GOOGLE

  • GIODO.gov.pl - strona internetowa Generalnego Inspektora Ochrony Danych Osobowych

  • sabi.org.pl - strona internetowa stowarzyszenia administratorów bezpieczeństwa informacji

  • niebezpiecznik.pl - o bezpieczeństwie informacji

  • zaufanatrzeciastrona.pl - źródło wiadomości o świecie bezpieczeństwa IT

  • badsector.pl - o bezpieczeństwie informacyjnym i nowych technologii

  • superabi.pl - strona dedykowana administratorom bezpieczeństwa informacji (ABI)