Czym jest RODO

GDPR (General Data Protection Regulation), w polskim prawodawstwie zwana RODO (Rozporządzenie o Ochronie Danych Osobowych) lub Ogólnym Rozporządzeniem o Ochronie Danych to Rozporządzenie Parlamentu Europejskiego i Rady (UE)2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE1.
Unijne ogólne rozporządzenie o ochronie danych osobowych (RODO), które zacznie być bezpośrednio stosowane od 25 maja 2018 r., zobowiązuje administratorów danych do właściwego zabezpieczania danych osobowych.

Każdy, kto przetwarza dane osobowe, musi więc wdrożyć – podobnie jak dotąd – odpowiednie środki techniczne i organizacyjne zabezpieczające dane osobowe, tak by uniemożliwić ich nieuprawnione udostępnienie, utratę czy uszkodzenie bądź zniszczenie.

Jedną z głównych zmian w regulacjach dotyczących ochrony danych osobowych jest rozwinięcie definicji “danych osobowych”. Od tej chwili do zbioru danych osobowych należą także adresy IP, identyfikatory cookies, numery identyfikacyjne urządzeń mobilnych czy inne tego typu wirtualne identyfikatory. Podobnie jak inne informacje mogące przyczynić się do identyfikacji tożsamości osoby (imię, nazwisko, data urodzenia, adres, dane biometryczne etc.) muszę one zostać objętą szczególną ochroną

Według przepisów ujętych w RODO dane osobowe można przetwarzać gdy:

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

RODO nie określa minimalnych standardów technicznych mających na celu zabezpieczenie danych ani nie podaje konkretnych przykładów najlepszych rozwiązań. Pozostawia decyzje o wyborze odpowiedniej ochrony osobom pracującym w danej organizacji. Należy pamiętać że od 25.05. 2018 r. każdy administrator – biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych – będzie musiał samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdrożyć.

Jak stanowi art. 32 ust. 1 ogólnego rozporządzenia, administrator danych w zarządzaniu bezpieczeństwem przetwarzanych danych powinien uwzględnić stan wiedzy technicznej w zakresie zarządzania bezpieczeństwem danych w środowisku, w jakim przetwarza dane, oraz koszty wdrożenia i utrzymania zastosowanych środków. Przepis ten wskazuje również, że w stosownym przypadku środkami, które należy wdrożyć, aby złagodzić występujące ryzyko, tj. osiągnąć odpowiedni poziom bezpieczeństwa, mogą być:

• środki zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• pseudonimizacja i szyfrowanie danych osobowych;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ustalona kara za naruszenie RODO to według Rozporządzenia, które ujednolica oraz znacząco podwyższa kary finansowe za naruszenie przepisów o ochronie danych osobowych, może wynieść do 4% całkowitego światowego obrotu za rok poprzedni. Maksymalna wysokość kar przewidzianych w Rozporządzeniu jest wielokrotnie wyższa niż wysokość kar nakładanych obecnie przez GIODO. Sankcje mogą wynieść do 20.000.000 EUR lub do 4% całkowitego światowego obrotu za rok poprzedni za uchybienia w ochronie danych osobowych.

Ważne jest aby stosowane zasady bezpieczeństwa odnosiły się do wszystkich urządzeń wykorzystywanych do przetwarzania danych, w tym do urządzeń mobilnych, z odpowiednim uwzględnieniem dodatkowych zagrożeń, jakie są związane z mobilnością (zgubienie urządzenia, kradzież itp.).

W zależności od środowiska przetwarzania i celów odpowiednie polityki mogą przewidywać np. obowiązek szyfrowania danych przechowywanych na urządzeniach mobilnych, wyposażenia w nakładki polaryzujące na monitor, które utrudniają podgląd informacji pod kątem, czy wyposażenie w przycisk bezpieczeństwa, którego w przypadku zagrożenia można użyć w celu usunięcia lub zaszyfrowania aktualnie przetwarzanych informacji.

Administrator danych powinien również uwzględnić fakt, że coraz więcej pracowników używa dla celów służbowych swoich własnych urządzeń typu smartfony, tablety, a nawet laptopy, które jeśli chodzi o zainstalowane na nich systemy ochrony antywirusowej czy antywłamaniowej mogą znacznie odbiegać od tych udostępnianych służbowo, znajdujących się pod kontrolą administratora danych. Stąd powszechną praktyką wielu firm dopuszczających wykorzystywanie prywatnego sprzętu w celach służbowych stało się przygotowywanie specjalnych wytycznych dla pracowników.

Zachęcamy do zapoznania się z szeregiem oferowanych przez Nas rozwiązań, które pozwolą czuć się pewnie w czasie obowiązywania RODO:

• FAMOC – bezpieczeństwo mobilne, system MDM
• WHEEL FUDO PSM – urządzenie do stałego monitoringu, kontroli i rejestracji zdalnych sesji dostępu do systemów informatycznych
• Blancco bezpieczne rozwiązania do usuwania danych
• IT Manager – zarządzanie stacjami roboczymi (Inwentaryzacja, help desk)
• NetIQ Network Advanced Authentication Framework – zaawansowany system uwierzytelniania
  

Jeśli interesuję cię dostosowanie infrastruktury IT do rozporządzenia RODO. Napisz do nas: