• COMPAREX Blog

    RODO
    w pigułce

07.04.2017 | Grit Heinig

Ogólne rozporządzenie w sprawie ochrony danych osobowych zostało stworzone w celu ujednolicenia zasad w tym zakresie dla całej Europy. Ochrona danych osobowych była dawniej w gestii każdego z krajów unijnych, co prowadziło do istotnych różnic


RODO w pigułce – co trzeba wiedzieć o zmianach dotyczących ochrony danych w Europie

Ogólne rozporządzenie w sprawie ochrony danych osobowych zostało stworzone w celu ujednolicenia zasad w tym zakresie dla całej Europy. Ochrona danych osobowych była dawniej w gestii każdego z krajów unijnych, co prowadziło do istotnych różnic. Teraz ta sytuacja zmieni się wskutek wprowadzenia wyjątkowych przepisów, obowiązujących w równym stopniu dla każdego państwa członkowskiego UE.

Autor artykułu: Grit Heinig, Dyrektor Globalnego Rozwoju Firmy Symantec

 

RODO – kolejny skrót, który warto zapamiętać. Nikt nie lubi być zdezorientowany. Oprócz tego te litery wydają się być nieodwołalnie zakorzenione w branży informatycznej. Grit Heinig zagłębiła się w ten temat i przeanalizowała całe ogólne rozporządzenie w sprawie ochrony danych osobowych (RODO).

W rezultacie wykrystalizowało się 5 głównych kwestii:

Źródło: Symantec

Wszystko zmieni się w 2018 roku

Ogólne rozporządzenie UE w sprawie ochrony danych osobowych zostanie wdrożone w 2018 roku, rozpoczynając nową epokę w dziedzinie bezpieczeństwa danych. Jego centralnym elementem jest idea prywatności jako prawa fundamentalnego, wraz z radykalnymi zmianami w wymaganiach co do sposobu zarządzania danymi przez firmy.

Na horyzoncie

Do 2020 roku liczba gromadzonych danych osiągnie 40 zettabajtów (ZB). Przy takim zalewie informacji firmy tracą kontrolę nad tym, jakie dane znajdują się w ich posiadaniu, kto nimi zarządza i jak mają być przetwarzane.

Co to oznacza dla Twojej firmy?

Unijne przepisy RODO harmonizują regulacje i standardy dotyczące przechowywania danych, ale mogą także nakładać rygorystyczne kary i regulacje. Ponieważ RODO obowiązuje na całym świecie, zgodność z przepisami prawa nie jest już kwestią lokalizacji serwera.

   Rozporządzenie jest już prawomocne

Regulacja ta została przyjęta w kwietniu bieżącego roku przez Parlament Europejski. Weszła w życie 25 maja 2016 r. – 20 dni po ogłoszeniu w Dzienniku Urzędowym Unii Europejskiej. Ciekawostką jest to, że zacznie obowiązywać dopiero dwa lata później – od 25 maja 2018 r.

Oczywiście do tego dnia pozostało jeszcze dużo czasu. Przyglądając się jednak szczegółowo kwestii praw i obowiązków, musimy odpowiedzieć sobie na pytanie: czy Twój dział IT przestrzega wszystkich wymogów?

   Rozporządzenie jest ważne także poza UE

Gdy nasz zespół zajmował się uwzględnieniem RODO w naszym katalogu sprzedaży, koleżanka ze Szwajcarii wspomniała, że jej to nie dotyczy. Wiadomym jest, że Szwajcaria nie należy do Unii Europejskiej. Ale momencik: „To dotyczy obywateli Unii!” – stwierdziliśmy oboje.

RODO obowiązuje dla wszystkich firm na całym świecie, które pracują z wykorzystaniem danych osobowych obywateli UE. Dla zapewnienia zgodności z przepisami wystarczające może być wypełnienie i wysłanie przez klienta prostego formularza ze strony internetowej.

Wnioski: RODO dotyczy nas wszystkich. A może naprawdę chcesz powiedzieć, że nie masz nic, absolutnie nic wspólnego z żadnym obywatelem Unii Europejskiej?

    Rozporządzenie dotyczy przetwarzania i rejestrowania danych osobowych

Brzmi prosto i zasadniczo jest to proste. Jest to jednak 88 stron z 89 artykułami, a każdy z nich zawiera kilka akapitów. Warto poświęcić chwilę, aby dokładnie się im przyjrzeć. Oczywiście można czasem przeczytać garść informacji na temat RODO w różnych czasopismach informatycznych. Albo można wygooglować ten termin, otrzymując tysiące rezultatów wyszukiwania. Ale czy sądzisz, że artykuł może uwzględnić wszystkie informacje zawarte w tekście prawnym? I czy kiedykolwiek zdarzyło Ci się mieć poczucie, że masz pełny przegląd środków, które musisz wdrożyć?

 

Nie chcę jednak rezygnować z okazji do przedstawienia Ci moich „ulubionych”: Przetwarzanie danych osobowych powinno być „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”.

 Okres przechowywania danych jest ograniczony do minimum. Dane osobowe muszą być zgodne z  prawdą i aktualizowane.

Dane osobowe muszą być chronione przed dostępem osób nieuprawnionych, nielegalnym przetwarzaniem i utratą. W tym zakresie rozporządzenie wskazuje na pseudonimizację i szyfrowanie danych. Oprócz tego ważną rolę gra „zdolność do zapewnienia dostępności i elastyczności systemów i usług do przetwarzania danych”.

W tym miejscu chciałbym zwrócić Twoją uwagę na fakt, że firmy dostarczające oprogramowanie zabezpieczające, takie jak  Symantec, oferują wiele produktów, które dokładnie spełniają wymogi RODO. Na przykład Data Loss Prevention wykrywa, monitoruje i chroni Twoje wrażliwe dane. A skoro mowa o szyfrowaniu, na myśl przychodzą takie produkty, jak Endpoint lub Desktop Email Encryption. We wdrażaniu rozporządzenia pomocne będą także Advanced Threat Protection (ATP) lub Control Compliance Suite.

Należy wyznaczyć inspektora ochrony danych, odpowiedzialnego za monitorowanie zgodności z RODO oraz zapewnienie bezpieczeństwa i ochrony danych osobowych.

 Każda osoba ma prawo do otrzymania kopii swoich danych, prawo do korygowania i ograniczenia swoich danych oraz prawo do usunięcia danych.

   Rozporządzenie określa nie tylko prawa, lecz także obowiązki

Jeżeli systemy informatyczne Twojej firmy zostały zaatakowane i/lub jeżeli doszło do naruszenia danych osobowych, masz obowiązek poinformować organ nadzorujący, najlepiej w ciągu 72 godzin. Nie jest to jednak jedyny podmiot, który należy powiadomić. Trzeba poinformować także wszystkie osoby, których dotyczy dana sprawa. Taką informację można przekazać w formie ogłoszenia publicznego. Kto jednak chciałby dobrowolnie przyznać, że luka w zabezpieczeniach wystąpiła na poziomie systemu albo została spowodowana przez pracowników firmy? W dzisiejszych czasach pytanie brzmi nie „CZY”, ale „KIEDY” Twoja firma zostanie zaatakowana. Na szczęście dostępne są również odpowiednie rozwiązania, dzięki którym można obniżyć ryzyko rozległych szkód.

   Rozporządzenie określa konkretne konsekwencje w razie

   nieprzestrzegania wymogów

Co nie mniej ważne, nakładane będą sankcje, które powinny być „skuteczne, stosowne i odstraszające”. Cytat z rozporządzenia! W zależności od rodzaju naruszenia nakładane mogą być kary pieniężne od 2% do 4% całkowitych rocznych obrotów na świecie, nie mniej niż 10-20 mln EUR. To naprawdę odstrasza, czyż nie?

Podsumowując – nie należy lekceważyć RODO. Ignorowanie lub niedocenianie tego rozporządzenia byłoby wielką nieostrożnością. A może chcesz, aby Twoja firma stała się obiektem precedensu, który z pewnością powstanie?
 

 

RODO - gdzie wznieść mury obronne?

Umieszczenie mechanizmów ochronnych w bazie danych zmniejsza powierzchnię ataku i zabezpiecza dane niezależnie od tego w jaki sposób odbywa się dostęp do nich. Umożliwia to również scentralizowany monitoring dostępu do danych. Taki sposób ochrony danych jest zgodny z wytycznymi RODO.

Kontakt

Chcesz wiedzieć więcej? Wyślij swoje zapytanie, nasz ekspert skontaktuje się z Tobą.

Bądź na bieżąco

  Aby regularnie otrzymywać aktualne informacje i artykuły od firmy COMPAREX, kliknij poniżej:
  Bądź z nami w LinkedIn

More Information

 link
 link

Share this Article