Rozporzdzenie o Ochronie Danych Osobowych - RODO ? Rozporzdzenie o Ochronie Danych Osobowych -

  • Published on
    04-Jun-2018

  • View
    212

  • Download
    0

Transcript

Rozporzdzenie o Ochronie Danych Osobowych - RODO(z ang. General Data Protection Regulation - GDPR)PRZEWODNIKGeneral Data Protection Regulation (GDPR) czyli Rozporzdzenie o Ochronie Danych Osobowych (RODO) zastpuje dyrektyw 95/46/WE Parlamentu Europejskiego i Rady WE z 1995r. Cele Rozporzdzenia to: 1) wzmocnienie i ujednolicenie praw dotyczcych prywatnoci w sieci i ochrony danych osb fizycznych na terenie Unii Europejskiej 2) uproszczenie regulacji bezpieczestwa dla firm i organizacji obsugujcych mieszkacw UE Wsplne Rozporzdzenie zunifikuje i zastpi 28 dotychczasowych regulacji poszczeglnych pastw czonkowskich, ktre Dyrektyw z 1995r. wdraay w rnym stopniu i na rne sposoby. 8 kwietnia 2016r. Rada UE przyja rozporzdzenie RODO i powizan z nim Dyrektyw. 14 kwietnia 2016r. Rozporzdzenie i Dyrektywa zostay przyjte przez Parlament Europejski, a 4 maja 2016r. ich oficjalne teksty opublikowano w Dzienniku Urzdowym Unii Europejskiej. Rozporzdzenie zacznie obowizywa od 25 maja 2018 roku.Rozporzdzenie o Ochronie Danych Osobowych (RODO) - przewodnikCO SI ZMIENIA?Kluczowe zmiany w reformie obejmuj1: Prawo do wiedzy o naruszeniu bezpieczestwa danych. Firmy i organizacje musz 1) informowa kompetentne organy publiczne zajmujce si ochron danych osobowych o kadym przypadku naruszenia bezpieczestwa danych w przypadku, gdy moe ono narazi osob, ktrej dane zostay naruszone oraz 2) informowa o naruszeniu samych zainteresowanych tak, by mogli przedsiwzi odpowiednie kroki bezpieczestwa. W Polsce organem publicznym zajmujcym si ochron danych jest Generalny Inspektor Ochrony Danych Osobowych - GIODO. Silniejsze egzekwowanie zasad bezpieczestwa. Organy ochrony danych bd mogy kara firmy nie stosujce przepisw UE grzywn w wysokoci nawet do 4% ich rocznego globalnego obrotu. Kary administracyjne nie s obligatoryjne, a o ich naoeniu ma kadorazowo decydowa rozpatrzenie indywidualnego przypadku. Organ nakadajcy kar nie bdzie bada winy ani jej stopnia, a jedynie fakt zaistnienia danego naruszenia przepisw o ochronie danych osobowych. Jedno europejskie prawo ochrony danych zastpuje 28 regulacji dziaajcych do tej pory w pastwach czonkowskich EU. Korzyci finansowe z unifikacji prawa dla firm operujcych w UE szacowane s na okoo 2,3 mld rocznie. 72 godziny - w takim czasie naley poinformowa organ nadzorczy (GIODO) o wykryciu naruszenia bezpieczestwa danych. Prawa UE musz by stosowane przy 1) przekazywaniu za granic danych osobistych przez aktywne w UE firmy oferujce swoje produkty i usugi (w tym bezpatne) obywatelom UE oraz 2) gdy firmy te monitoruj zachowania osb w UE. Zasada prywatnoci w ustawieniach domylnych i Zasada prywatnoci w fazie projektowania. Ich podstawowym celem jest wbudowanie zasad ochrony prywatnoci w kady projekt zakadajcy przetwarzanie danych osobowych tak, by od samego pocztku jego istnienia ochrona prywatnoci stanowia jego cz skadow. 1 Skrt informacji prasowej: http://www.europarl.europa.eu/news/pl/news-room/20160407IPR21776/ochrona-danych-parlament-przyj%C4%85%C5%82-nowe-przepisy-przystosowane-do-ery-cyfrowejZwikszenie przez UE bezpieczestwa danych obliguje firmy i organizacje do adekwatnej ochrony wraliwych danych osobistych, zdefiniowanych jako:"informacje o zidentyfikowanej lub moliwej do zidentyfikowania osobie fizycznej (osobie, ktrej dane dotycz); moliwa do zidentyfikowania osoba fizyczna to osoba, ktr mona bezporednio lub porednio zidentyfikowa, w szczeglnoci na podstawie identyfikatora takiego jak imi i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bd kilka szczeglnych czynnikw okrelajcych fizyczn, fizjologiczn, genetyczn, psychiczn, ekonomiczn, kulturow lub spoeczn tosamo osoby fizycznej;"2Tak szeroka definicja pozwala uj nawet najprostsze informacje odnoszce si do konkretnej osoby nawet niebezporednio.2 http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PLOCHRONA DANYCH Art. 32. RODO3 powicony bezpieczestwu przetwarzania danych stwierdza:1. Uwzgldniajc stan wiedzy technicznej, koszt wdraania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolnoci osb fizycznych o rnym prawdopodobiestwie wystpienia i wadze zagroenia, administrator i podmiot przetwarzajcy wdraaj odpowiednie rodki techniczne i organizacyjne, aby zapewni stopie bezpieczestwa odpowiadajcy temu ryzyku, w tym midzy innymi w stosownym przypadku:a) pseudonimizacj i szyfrowanie danych osobowych;b) zdolno do cigego zapewnienia poufnoci, integralnoci, dostpnoci i odpornoci systemw i usug przetwarzania;c) zdolno do szybkiego przywrcenia dostpnoci danych osobowych i dostpu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skutecznoci rodkw technicznych i organizacyjnych majcych zapewni bezpieczestwo przetwarzania.Szyfrowanie jest najprostsz i najbezpieczniejsz metod ochrony danych speniajc wymogi Artykuu 32. RODO i ustalonym rodkiem ochrony danych. RODO zawiera te wytyczne dla efektywnego dziaania strategii disaster recovery, odzyskiwania hase i systemw zarzdzania kluczami dostpu.Artyku 30. RODO3 wymaga, by rejestr czynnoci przetwarzania danych osobowych by prowadzony z uwzgldnieniem technicznych i organizacyjnych wymogw bezpieczestwa opisanych w Artykule 32. Oznacza to, e firmy i organizacje musz by w stanie udowodni, e ich dane i systemy s bezpieczne, a zaszyfrowane dane moliwe do odzyskania po awarii technicznej. 3 http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PLPOWIADOMIENIAO NARUSZENIACH BEZPIECZESTWA Artyku 33. RODO3 wymaga powiadamiania organu nadzorczego o kadym przypadku naruszenia bezpieczestwa danych osobowych. W razie takiego naruszenia organ ten musi zosta powiadomiony najpniej w cigu 72 godzin od wykrycia naruszenia. Po upywie tego czasu kade powiadomienie bdzie naleao opatrzy wyjanieniem, dlaczego dokument wpywa po terminie przewidzianym w Rozporzdzeniu.Artyku 34. RODO zawiera zalecenia dot. zawiadamiania osoby, ktrej dane dotycz, o naruszeniu ochrony danych osobowych:1. Jeeli naruszenie ochrony danych osobowych moe powodowa wysokie ryzyko naruszenia praw lub wolnoci osb fizycznych, administrator bez zbdnej zwoki zawiadamia osob, ktrej dane dotycz, o takim naruszeniuJednake dalej ten sam artyku stwierdza:3. Zawiadomienie, o ktrym mowa w ust. 1, nie jest wymagane, w nastpujcych przypadkach:a) administrator wdroy odpowiednie techniczne i organizacyjne rodki ochrony i rodki te zostay zastosowane do danych osobowych, ktrych dotyczy naruszenie, w szczeglnoci rodki takie jak szyfrowanie, uniemoliwiajce odczyt osobom nieuprawnionym do dostpu do tych danych osobowych;b) administrator zastosowa nastpnie rodki eliminujce prawdopodobiestwo wysokiego ryzyka naruszenia praw lub wolnoci osoby, ktrej dane dotycz, o ktrym mowa w ust. 1;c) wymagaoby ono niewspmiernie duego wysiku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny rodek, za pomoc ktrego osoby, ktrych dane dotycz, zostaj poinformowane w rwnie skuteczny sposb.Badania wykazay, e im wczeniej powiadamia si o naruszeniu bezpieczestwa danych, tym dotkliwsze s konsekwencje dla firmy, ktra do takiego naruszenia dopucia. W tym przypadku szyfrowanie uwaane jest za wystarczajcy rodek uniemoliwiajcy naruszenie bezpieczestwa i pozwalajcy chroni reputacj firm, ktre naruszenia dowiadczyy.Rozporzdzenie o Ochronie Danych Osobowych (RODO) - przewodnikKARY Sam system kar zosta znaczco rozbudowany, a ich wysoko znacznie wzrosa. Wedle Artykuu 83. - Oglne warunki nakadania administracyjnych kar pieninych - punkt 44 w zalenoci od skali zaniedbania moe wynie odpowiednio do 10 000 000 EUR lub 2% cakowitego rocznego wiatowego obrotu z poprzedniego roku (decyduje warto wysza) i do 20 000 000 EUR lub 4% cakowitego rocznego wiatowego obrotu z poprzedniego roku.Do tej pory w przypadku naruszenia bezpieczestwa danych winowajca mia czas na uszczelnienie luk w ich ochronie. Przekroczenie wyznaczonego terminu lub niedopenienie wymogw prawnych skutkowao kar administracyjn. Po wejciu RODO kara administracyjna bdzie moga by wymierzana z automatu bez moliwoci odwoania si.Przykady zaniedba podlegajcych grzywnie:- Jeli Administrator Danych Osobowych (ADO) nie wdroy odpowiednich rodkw technicznych i organizacyjnych majcych na celu ochron praw osb, ktrych dane dotycz,- Jeli ADO nie uwzgldni ochrony danych w fazie projektowania (na etapie projektowania systemu informatycznego),- Jeli ADO nie zgosi incydentu w cigu 72h po stwierdzeniu naruszenia, organowi nadzorczemu (jeli incydent skutkowa naruszeniem praw lub wolnoci osb fizycznych). Z kolei Artyku 5. - Zasady dotyczce przetwarzania danych osobowych - stwierdza:1. Dane osobowe musz by:f) przetwarzane w sposb zapewniajcy odpowiednie bezpieczestwo danych osobowych, w tym ochron przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow utrat, zniszczeniem lub uszkodzeniem, za pomoc odpowiednich rodkw technicznych lub organizacyjnych (integralno i poufno).Pastwa czonkowskie EU maj czas na wdroenie regulacji RODO do maja 2018. Niektre kraje UE ju rozpoczy prace nad dostosowaniem swoich przepisw do Rozporzdzenia. W maju 2015r. holenderski senat zatwierdzi projekt korygujcy ustaw o ochronie danych osobowych pod ktem RODO. Tym samym Holandia opucia grup pastw z najsabszymi systemami prawnej ochrony danych stajc si obecnie jednym z europejskich liderw bezpieczestwa danych. 4 http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL ROZWIZANIE: SZYFROWANIE RODO wymaga od wszystkich firm i organizacji wdroenia nowych procesw i polityk dajcych osobom wiksz kontrol nad swoimi danymi osobowymi. Wymusi to powstanie nowych procesw i instrukcji, ponownego przeszkolenia osb uprawnionych do przetwarzania danych osobowych i dostosowania obecnych systemw do nowych realiw prawnych. Kluczowe bdzie te wdroenie nowych praktyk bezpieczestwa ze szczeglnym naciskiem na szyfrowanie przetwarzanych danych, bo jedn z kluczowych wytycznych RODO jest zapewnienie odpowiedniego bezpieczestwa danych osobowych, a wedug artykuu 32. ("Bezpieczestwo przetwarzania) szyfrowanie jest waciwym do tego rodkiem. Wdroenie szyfrowania prcz spenienia wymogw RODO przyniesie Administratorom Danych Osobowych (ADO) rwnie wymierne korzyci biznesowe - utrata urzdzenia (np. laptopa czy pamici flash) zawierajcego dane osobowe nie bdzie musiaa prowadzi do kary, jeli tylko zostao ono wczeniej zaszyfrowane sprawdzonym rozwizaniem bezpieczestwa. Takim rozwizaniem jest oprogramowanie DESlock+, ktre od lat pomaga firmom kadej wielkoci szyfrowa laptopy, noniki wymienne i pliki. Produkty DESlock+ chroni wszystkie wersje systemu Windows od XP do Windows 10 szyfrowaniem zgodnym ze standardem FIPS 140-2, a ich system zarzdzania kluczami i unikalny serwer zarzdzajcy s przedmiotami zarejestrowanych patentw. Rozporzdzenie o Ochronie Danych Osobowych (RODO) - przewodnikDESlock Encryption od ESET to rozwizanie zaprojektowane z myl o spenieniu wymogw RODO w prosty i efektywny sposb.Cel DESlock Encryption od ESET Ochrona danych w ramach organizacjiDESlock Encryption oferuje szyfrowanie plikw, folderw i nonikw wymiennych (USB) jako standardow funkcj ochrony danych na stacji roboczej.Ochrona danych podczas transportuDESlock+ Pro umoliwia szyfrowanie caej powierzchni dysku, nonikw wymiennych i optycznych w celu ochrony danych podczas ich przenoszenia.Ochrona danych a telepracaW ramach 1 komercyjnej licencji DESlock Encryption uytkownik moe zaszyfrowa wszystkie swoje komputery z systemem Windows. Dodatkowo aplikacja DESlock+ Go pozwala rwnie na odszyfrowanie i zaszyfrowanie plikw na komputerze bez zainstalowanego rozwizania DESlock+.Ochrona przesyu danych midzy lokalizacjamiWszystkie wersje DESlock Encryption posiadaj wtyczk do klienta poczty MS Outlook, opcj szyfrowania zawartoci schowka systemowego (umoliwiajc przesyanie zaszyfrowanych wiadomoci dowolnym klientem poczty z poziomu przegldarki www) i szyfrowania zacznikw. Szyfrowanie nonikw optycznych pozwala na bezpieczny transport danych na dyskach CD i DVD.Blokowanie / ograniczony dostp do wybranych danych Unikalna, opatentowana technologia wsp--dzielenia kluczy szyfrujcych uatwia wdraanie i zarzdzanie rozbudowanymi rodowiskami.Dostp do chronionych danych na danie DESlock+ Enterprise Server umoliwia zdalne zarzdzanie uytkownikami oraz prawami dostpu przy uyciu bezpiecznego cza. Klucze mog by przyznawane centralnie, a w razie potrzeby byskawicznie odwoywane. Bezpieczestwo danych osobowychDESlock Encryption wykorzystuje zaufane i potwierdzone algorytmy oraz metody szyfrowania zgodne ze standardem FIPS-140-2.Bezpieczne usuwanie danychNarzdzie DESlock+ Desktop Shredder bezpiecznie niszczy dane standardem DoD-5220.22-M, dziki czemu ich odzyskanie jest ju niemoliwe. Dlaczego warto wybra DESlock+?A co jeszcze? Zapytaj swojego lokalnego dostawc rozwiza ESET! 1) Rozwizanie jest transparentne dla uytkownikw, oferujc bardzo wysoki poziom bezpieczestwa przy utrzymaniu prostoty korzystania jak z niezaszyfrowanych danych2) Wygodne centralne zarzdzanie z konsoli administratora: wdraanie rozwizania, szyfrowanie wszystkich komputerw i zarzdzanie caym rodowiskiem z jednego miejsca. 3) Uytkownicy mog pracowa na komputerach poddawanych szyfrowaniu bez adnego spadku wydajnoci. 4) W przypadku kontroli spowodowanej np. utrat komputera rozwizanie oferuje moliwo udowodnienia, e utracone urzdzenie rzeczywicie byo zaszyfrowane.5) Moliwo zdalnego odzyskania hasa, gdy uytkownik zapomni go np. przebywajc w delegacji.6) Pene wsparcie techniczne w jzyku polskim. Rozporzdzenie o Ochronie Danych Osobowych (RODO) - przewodnik