GDPR. Co powiniene wiedzie o oglnym rozporzdzeniu o danych osobowych?

  • Published on
    12-Apr-2017

  • View
    384

  • Download
    1

Transcript

  • Whats next.

    GDPRCo powiniene wiedzie

    o oglnym rozporzdzeniu o danych osobowych?

  • Spis treci04

    Co CIO musi wiedzie o RODO?

    08 Unijna reforma ochrony danych osobowych istotna zmiana, czy tylko zmiany kosmetyczne?

    10Podejcie Microsoft do implementacji RODO

    12 Usugi doradcze w zakresie prywatnoci oferowane przez firm Cisco: Oglne rozporzdzenie o ochronie danych

    14 Badanie Trend Micro i VMware: ponad poowa polskich firm nie syszaa o rozporzdzeniu GDPR

    16 GDPR i nowe wyzwania cyberbez-pieczestwa przemylenia eksperta Dimension Data

    18Potrzeba podjcia odpowiednich rodkw

    20 Przygotowanie do wejcia w ycie oglnego rozporzdzenia o ochronie danych

    22 Komentarz Veeam Software na temat GDPR dla CIONET

    23 Zarzdzanie i ochrona informacji w kontekcie GDPR

    2

  • Przed nami jeszcze rok na przygotowania, a RODO ju staje si

    najbardziej znienawidzonym akronimem XXI wieku. Wydaje si, e

    mamy idealny przykad tego, jak strategia FUD (Fear, Uncertainty,

    Doubt) moe dziaa w skali makro.

    RODO jest daleko idcym aktem prawnym nie pamitam regulacji

    wywoujcej tak due i bezporednie skutki biznesowe, organiza-

    cyjne i technologiczne. Z drugiej strony rynek zalewaj uproszczo-

    ne komunikaty i narracje nastawione na wywoanie strachu, w pod-

    tekcie zachcajce do szybkiego nabywania usug, ktre strach ten

    maj stumi. Jak z kad atw recept na ycie adnie wyglda,

    ale niekoniecznie dziaa.

    Z ca pewnoci RODO jest rzeczywistoci ju teraz i ju teraz

    kada organizacja musi si z t rzeczywistoci zmierzy. Kada na

    swj sposb, stosownie do wasnej specyfiki. Tymczasem, spectrum

    postaw rnych organizacji wobec RODO jest szerokie, od zupe-

    nej niewiadomoci, poprzez ignorowanie lub kwestionowanie

    zmieniajcej si rzeczywistoci i zwizanych z tym zagroe, a po

    skrajn RODO-fobi. Gdzie pomidzy s organizacje, ktre staraj

    si sukcesywnie, ale te ostronie dostosowywa do nowych wy-

    maga, ledzc jednoczenie rozwj sytuacji. Najprawdopodobniej

    te organizacje nie przeinwestuj, ani te nie pozwol si zaskoczy.

    Dostosowanie procesw ochrony danych i ich przetwarzania wy-

    maga czasu, zasobw i przede wszystkim jak najszerszego zaanga-

    owania organizacji w proces transformacji do standardw RODO.

    To wane, bo RODO wymaga transformacji organizacji jako caoci

    i wbudowania w jej DNA dbaoci o prywatno. Z tego powodu

    procesu dostosowania nie da si zleci na zewntrz, tak jak nie da

    si wyoutsourcowa w caoci dziaa zwizanych z zapewnieniem

    bezpieczestwa. We wdroeniu RODO mona zatem pomc, ale nie

    mona wyrczy. Nie istniejedostawca, ktry jednym ruchem do-

    starczy magiczne rozwizanie, wszelkie kopoty usuwajce. aden

    dostawca nie zdoa pozna organizacji tak jak osoba z wewntrz,

    dlatego taki dostawca moe wspiera, konsultowa, doradza, jed-

    nak na kocu tego procesu to organizacja zdoa lub nie zdoa do-

    stosowa si do nowych zasad gry.

    Przetwarzanie danych osobowych jest i bdzie kluczow potrzeb

    wspczesnego biznesu. Nie moemy zapomnie, e nadmiernie

    asekuracyjne podejcie moe utrudnia a nawet blokowa roz-

    wj.Jak to adnie uj prawie sto lat temu John A. Shedd A ship

    in harbor is safe, but that is not what ships are built for.Wygraj

    podmioty, ktre bd potrafiy znale rozsdn rwnowag mi-

    dzy deniem do realizacji celw biznesowych, a zgodnoci z wy-

    maganiami prawa. Takie, ktre bd pyn dalej zgodnie z obran

    strategi i korzystnymi prdami, ale jednoczenie zrobi wszystko,

    eby nie da si zatopi. Przegraj ci, ktrzy zostan w porcie lub

    wypyn nieprzygotowani.

    W wiecie strategii FUD liczy si wiedza i odpowiednie decyzje.

    Konieczne jest budowanie wiadomoci, co dla organizacji jest

    grone, a nastpnie zlokalizowa skuteczne i optymalne dla bizne-

    su metody zapewnienia ochrony przed tymi zagroeniami. RODO

    przetestuje te umiejtnoci jak mao ktry akt prawny. I trzeba

    przyzna, e cho przymusowe, bdzie to najwyszej klasy wy-

    zwanie intelektualne.

    Mec. Marcin Maruta Jeden z najlepszych w Polsce ekspertw w zakresie prawa nowych technologii i wasnoci intelektualnej. Nadzorowa najwiksze kontrakty technologiczne w Polsce, posiada ponad 20 lat dowiadczenia w doradztwie dla dostawcw i klientw sektora ICT.

    3

  • Co CIO musi wiedzie o RODO?

    Sawomir Kowalski, Senior Associate w kancelarii Maruta Wachta sp. j.

    Co CIO musi wiedzie o RODO?

    4

  • Rozporzdzenie oglne o ochronie danych

    osobowych zacznie obowizywa 25 maja

    2018 r. Tego dnia obudzimy si w nowej

    rzeczywistoci ochrony danych osobowych

    - duo bardziej wymagajcej i duo mniej

    przyjaznej, take dla dziaw informatyki

    i CIO. Oto co nas czeka.

    Po pierwsze kary finansowe to na gruncie

    polskim nowo. Obecnie za brak zgodnoci

    z ustaw nie zapacimy ani zotwki, w rze-

    czywistoci RODO ryzykujemy nawet 20 mln

    EUR lub 4% cakowitego rocznego wiato-

    wego obrotu. Dotychczas zaniedbany przez

    wiele organizacji obszar stanie si obszarem

    ryzyka, ktre trudno bdzie bagatelizowa.

    Po drugie zupenie nowe wymagania

    jeli organizacja przetwarza dane osobowe

    zgodnie z aktualnymi regulacjami, to i tak

    bdzie musiaa wykona duo dodatkowej

    pracy. Jeli w obszarze ochrony danych nie

    zrobia dotychczas nic, to bdzie musiaa

    wdroy terapi szokow i mocno zaj si

    tematem, jeli nie chce si znale w grupie

    tych co nie zd. A jak prognozuje Gartner

    nie zdy 50% duych firm.

    Po trzecie nowe, oparte na ryzku podej-

    cie koniec z jednolitym traktowaniem

    wszystkich przetwarzajcych. Im bardziej

    ryzykowne procesy przetwarzania danych,

    tym bardziej trzeba bdzie o nie zadba.

    Jeli przedsibiorca opiera swj biznes na

    przetwarzaniu danych, bdzie musia zrobi

    duo wicej ni ten, ktry dane przetwarza

    jedynie pomocniczo. Jeli kto uwaa, e

    danych osobowych nie przetwarza wcale,

    c jest w bdzie.

    Po czwarte brak twardych wytycznych

    nie bdzie ju odgrnych, w miar jed-

    noznaczych (cho mao aktualnych) wy-

    tycznych jak zmiana hasa co 30 dni. Na

    podstawie analizy ryzyka uwzgldniajcej

    takie czynniki jak rodzaj danych, skal

    i cel przetwarzania oraz jego kontekst,

    trzeba bdzie opracowa dedykowan

    strategi obejmujc m.in. adekwatne

    mechanizmy zabezpiecza-

    jce. Nasza decyzja nasza

    odpowiedzialno.

    Po pite privacy by design

    i privacy by default ko-

    nieczno nieustannego

    dbania o prywatno i wyka-

    zywania inicjatywy w kierun-

    ku jak najlepszej jej ochrony.

    Na kadym etapie procesu od

    planowania, poprzez projek-

    towanie sposobu dziaania,

    a po operacyjne stosowa-

    nie, trzeba bdzie uwzgld-

    nia perspektyw ochrony

    prywatnoci. Powszechne

    obecnie podejcie, polegajce na uzyskaniu

    moliwie szerokiego zakresu danych (a nu

    si przyda) i ich przetwarzaniu w sposb

    maksymalizujcy korzyci (bo czemu nie)

    raczej si nie sprawdzi w czasach RODO.

    Po szste rozliczalno trzeba bdzie

    wykaza, e rzeczywicie przestrzegamy

    RODO. Aktualne na dzi polityki mog nie

    wystarczy bo z reguy s pisane na spo-

    kojne czasy, w ktrych zgodno z checkli-

    st w jest w praktyce zgodnoci z prawem.

    Rozliczalno natomiast wymaga wykazania,

    e polityki przetwarzania danych s ywe,

    z realn egzekucj i realnymi rodkami wy-

    muszania wewntrznego podporzdkowa-

    nia organizacji zasadom ochrony danych.

    Po sidme zarzdzanie dostawcami

    zgodnie z RODO nie bdzie mona zleca

    przetwarzania niezweryfikowanemu pod-

    miotowi. Dopuszczalne bdzie korzystanie

    tylko z takich dostawcw, ktrzy gwarantuj,

    e przetwarzanie przez nich danych bdzie

    bezpieczne i zgodne z prawem. Trzeba b-

    dzie sprawdzi obecnych dostawcw i za-

    dba o to, eby w przyszoci wybiera tylko

    takich, ktrzy zapewniaj stabilno i bezpie-

    czestwo na odpowiednim poziomie.

    Po sme budowanie wiadomoci klucz

    do zgodnoci z RODO. Musimy wiedzie

    kto, co i dlaczego przetwarza, komu prze-

    kazuje, od kogo i na jakiej podstawie dosta-

    je. Bez tego ani rusz. Najlepsze procedury

    i systemy nie uratuj organizacji, ktra nie

    ma penej wiadomoci tego, co robi z da-

    nymi osobowymi.

    Po dziewite umacnianie kultury organi-

    zacyjnej uniknicie bolesnej konfrontacji

    z RODO wymaga wyksztacenia wraliwo-

    ci na ochron prywatnoci u osb, ktre

    przetwarzaj dane. Generalnie wszystkich,

    chocia najwaniejsze, aby tak wraliwo

    miay osoby zarzdzajce procesami prze-

    twarzania danych i decydujce o nowych

    sposobach ich wykorzystania. W gwnej

    mierze od tych osb zaley czy nasza orga-

    nizacja okae si RODO-proof.

    Po dziesite mocne przeoenie na ob-

    szar IT i systemy informatyczne brak

    konkretnych wytycznych odnoszcych

    si do IT moe powodowa bdne i nie-

    bezpieczne wraenie, e tego obszaru nie

    trzeba bdzie dostosowa do RODO.

    Tymczasem, wymagania dla IT s pochod-

    n innych wymaga, jakie przetwarzajcy

    dane bd musieli speni. Realizacji cz-

    ci obowizkw wynikajcych z RODO

    po prostu nie sposb sobie wyobrazi

    bez sprawnie dziaajcego i odpowiednio

    przygotowanego IT.

    5

  • Obowizek zapewnienia bezpieczestwa

    danych osobowych, poprzez zastosowanie

    rodkw takich jak szyfrowanie czy

    pseudonimizacja i przygotowanie

    procedur awaryjnych business

    continuity czy disaster recovery, w zakresie

    odpowiadajcym wnioskom z oceny

    ryzyka przetwarzania danych.

    Trzeba wzi pod uwag, e koszty

    dostosowania systemw i procedur IT oraz

    czas potrzebny na ich przeprowadzenie, to

    najprawdopodobniej najwiksze wyzwanie

    jakie stawia nam RODO. Polityki mona

    opracowa szybko, ale rozszerzenie

    funkcjonalnoci systemw IT to proces

    duszy, w wiecie PZP nawet bardzo dugi.

    03

    05

    Obowizki w zakresie zarzdzania cyklem

    ycia danych (od zebrania a do usunicia)

    i realizowania po drodze praw podmiotw

    danych, m.in. prawa do informacji, prawa

    do usunicia czci lub caoci danych

    (prawo do bycia zapomnianym) czy prawo

    do sprzeciwu wobec przetwarzania danych

    w rnych odmianach.

    Obowizek notyfikowania narusze

    ochrony danych osobowych do organu

    nadzorczego oraz podmiotw danych, przy

    czym notyfikacja do organu nadzorczego

    powinna nastpi w cigu 72 godzin od

    stwierdzenia naruszenia.

    02

    04

    Obowizek zapewnienia przenoszalnoci

    danych, to jest umoliwienia podmiotom

    danych zabranie danych ze sob (pobrania),

    w popularnym formacie, nadajcym si

    do maszynowego odczytu, np. w celu

    przekazania ich innemu usugodawcy.

    01

    Kilka przykadw wymaga, ktre bd miay wpyw na IT:

    6

  • Inwentaryzacja sprawdmy co mamy. Jakie procesy przetwarzania, jakie systemy,

    jakie dane, jakich dostawcw. To punkt wyjcia do dalszych dziaa

    i od tego trzeba zacz.

    Identyfikacja okrelmy obszary, ktre wymagaj dostosowania do wymaga

    RODO. To nam pozwoli okreli ilo pracy, zaplanowa zasoby

    i budet.

    Step plan i jego realizacja rozpiszmy dziaania dostosowujce na 2017 i 2018, tj.

    opracowanie polityk, ocena ryzyka, przygotowanie nowych wzorw

    umw i klauzul (zgody i informacyjnych), dostosowanie systemw,

    szkolenie personelu ostatecznie mamy jeszcze prawie ptora

    roku. W tym czasie duo mona zrobi.

    Monitoring sprawdzajmy, jak zmienia si otoczenie RODO. Samo

    rozporzdzenie to nie wszystko, bd dodatkowe wytyczne,

    bdzie nowa polska ustawa o ochronie danych osobowych i bdzie

    dyskusja jak to wszystko przeoy na praktyk. Warto by na

    bieco z tematem.

    01

    02

    03

    04

    Jak to ugry?

    Jeli chcemy by RODO-ready w maju 2018 to musimy wystartowa ju. To jest jeden

    z tych tematw, w ktrych ASAP oznacza wczoraj. S tacy, ktrzy twierdz, e jeli

    kto jeszcze nie zacz, to ju nie zdy. A tak le raczej nie jest, ale warto ju teraz

    przyjrze si nastpujcym obszarom:

    7

  • Rozporzdzenie RODO dotyczy

    praktycznie wszystkich Organiza-

    cji przetwarzajcych dane osobowe

    i wprowadza szereg istotnych zmian

    takich jak konieczno pozyska-

    nia zgody na przetwarzanie danych

    w sposb jednoznaczny w stosunku

    do okrelonego celu przetwarzania,

    brak koniecznoci zgaszania zbio-

    rw danych osobowych do rejestru

    prowadzonego przez GIODO, ko-

    nieczno przeprowadzania analizy

    ryzyka danych osobowych i stosowa-

    nia adekwatnych do poziomu ryzyka

    zabezpiecze technicznych oraz

    organizacyjnych, prawna dopusz-

    czalno pseudoanonimizacji i szy-

    frowania danych, czy te prawo do

    bycia zapomnianym lub zaprzestania

    przetwarzania danych. A to ju nie s

    zmiany kosmetyczne.

    Warto rwnie odnotowa istotne

    wzmocnienie znaczenia organw

    nadzoru poprzez rozszerzenie kata-

    logu ich zada oraz dostpnych na-

    rzdzi. Organ nadzorczy jakim jest

    GIODO bdzie musia by informo-

    wany o naruszeniach dotyczcych

    gromadzonych i przetwarzanych

    danych osobowych nie pniej ni

    w terminie 72 godzin po stwierdze-

    niu naruszenia wraz z informacjami

    odnonie charakteru naruszenia czy

    konsekwencji z niego wynikajcych

    dla osb ktrych incydent dotyczy.

    Wyjtkiem maj by sytuacje kiedy

    naruszenie stwarza niskie prawdo-

    podobiestwo aby skutkowao ry-

    zykiem dla praw osb fizycznych.

    Jednak w przypadku zgoszenia na-

    stpujcego po upywie 72 godzin

    podmiot bdzie mia obowizek

    doczenia wyjanienia przyczyn

    opnienia. Chocia praktyka w tym

    zakresie z przyczyn oczywistych ni

    ostaa jeszcze wypracowana, wydaje

    si by nieuchronne, e oczekiwa-

    niem regulatora bdzie, e elemen-

    tem skadowym takiego wyjanienia

    bdzie analiza wpywu naruszenia

    i zwizanego z nim ryzyka.

    Wbrew pozorom zdolno organiza-

    cji do zgoszenia naruszenia we wa-

    ciwym terminie nie musi by zada-

    niem trywialnym. Przede wszystkim

    organizacja musi posiada mecha-

    nizmy umoliwiajce jej zidentyfiko-

    wanie naruszenia. Mechanizmy inne

    ni informacja w mediach, e dane

    np. klientw s dostpne gdzie na

    serwerach a Internecie. Jeeli zgo-

    szenie odbdzie si poprzez me-

    dia mona oczekiwa, e Regulator

    szczeglnie uwanie moe zechcie

    przejrze si, czy organizacja doo-

    ya naleytej starannoci projektu-

    jc swj system zabezpiecze i do-

    statecznie powanie podchodzi do

    Unijna reforma ochrony danych osobowych istotna zmiana, czy tylko zmiany kosmetyczne?

    Konsekwencje finansowe do 4% globalnych przychodw grupy:

    Kary finansowe za brak zgodnoci

    mog wynie do 4% globalnych

    przychodw grypy lub 20 milinw

    EUR, w zalenoci od tego ktra

    z kar jest bardziej dotkliwa. Kraje

    czonkowskie mog uzupeni kata-

    log sankcji o dodatkowe elementy.

    Inspektor Ochrony Danych osobowych:

    Musi zosta powoany inspektor

    ochrony danych osobowych (DPO)

    w jednostkach publicznych oraz

    jednostkach gdzie dziaalno pod-

    stawowa wie si z regularnym

    i systematycznym monitorowa-

    niem i przetwarzaniem specjalnych

    kategorii danych osobowych.

    Szeroka definicja danych osobowych:

    GDPR/RODO definiuje dane oso-

    bowe jako jakiekolwiek informacje

    odnoszce si do zidentyfikowanej

    lub identyfikowalnej osoby w tym

    dane pseudoanonimowe.

    Zgoszenie naruszenia:

    RODO wymaga aby nie pniej ni

    w terminie 72 godzin po stwierdze-

    niu naruszenia zostao ono zgo-

    szone waciwemu organowi nad-

    zorczemu.

    Odpowiedzialno:

    Organizacje s zobowizane usta-

    nowi kultur odpowiedzialnoci

    oraz wiadomego rejestrowania

    jakie dane osobowe posiadaj, do

    czego s wykorzystywane, zakres

    kontroli majcych zapewni mi-

    nimalizacj przetwarzania danych

    oraz ich retencji, w tym ustano-

    wienie polityk oraz stosownych

    procedur.

    Materia przygotowany przez firm:

    8

  • swoich obowizkw wynikajcych

    z Rozporzdzenia. A konsekwencje ja-

    kie moe wycign Regulator mog

    by bardzo bolesne

    Po wtre samo wykrycie incydentu

    to jeszcze zbyt mao. Wiele podmio-

    tw funkcjonujcych na rynku nie do

    koca posiada, lub wrcz zupenie

    zaniedbao wypracowanie procedur

    w zakresie zarzdzania kryzysowego

    w tym zasady komunikacji wewntrz

    i na zewntrz organizacji, w tym z Za-

    rzdem firmy, mediami i regulatorem.

    Nawet jeeli zasady takie istniej to

    czsto nie brano pod uwag rygoru

    72 godzinnego okienka, kiedy taka

    komunikacja musi zaistnie.

    Reagowanie na naruszenie danych b-

    dzie wymagao dobrze przemylane-

    go zbioru dziaa przeprowadzonych

    przez rnych ludzi, a raportowanie

    do Regulatora bdzie jednym z tych

    dziaa. Definiowanie tych dziaa

    i prewencyjne testowanie bdzie tylko

    usprawnia cay proces oraz skraca

    czas odpowiedzi przy rzeczywistym

    naruszeniu danych.

    Nowe obowizki Przetwarzania DanychJedn z najbardziej istotnych wrd

    nowych regulacji dotyczcych prze-

    twarzania danych jest przekazanie

    odpowiedzialnoci jednostkom kon-

    trolujcym oraz przetwarzajcym

    dane poprzez wdroenie organiza-

    cyjnych i technicznych rodkw ma-

    jcych na celu zapewnienie bezpie-

    czestwa przetworzonych danych

    osobowych.

    Podczas gdy Dyrektywa z 1995 przy-

    pisywaa t odpowiedzialno tylko

    kontrolerom danych, teraz rwnie

    w obszarze procesu przetwarzania

    danych naley wdroy odpowied-

    nie zabezpieczenia w celu osigni-

    cia wymaga ustalonych w RODO.

    Jednostki przetwarzajce dane bd

    musiay oceni, czy wdroone rod-

    ki s wystarczajce jeli chodzi o cel

    i zakres przetwarzania, ilo zebra-

    nych danych, okres skadowania da-

    nych oraz dostp do danych. Umowa

    przetwarzania pozostanie podstaw

    ustalenia celu i zakresu czynnoci

    przetwarzania pomidzy kontrolowa-

    niem a przetwarzaniem danych, gdzie

    okrelenie rodkw bezpieczestwa

    jest moliwe (i podane).

    Pomimo tego, i moliwe bd tak do-

    tkliwe kary, nie spodziewamy si, aby

    regulator nakada na przedsibior-

    stwa nie wywizujce si ze swoich

    obowizkw wynikajcych z rozpo-

    rzdzenia najdotkliwsze z dostpnych

    sankcji. Przynajmniej nie w cigu

    najbliszych kilku lat. Due organi-

    zacje, ktre przetwarzaj praktycznie

    nieograniczone iloci danych osobo-

    wych, powinny jednak pamita, e

    bd jednymi z pierwszych do ktrych

    organy ochrony danych zapukaj do

    drzwi w celu sprawdzenia zgodnoci

    procesw z RODO.

    Niemniej jednak, warto aby kada

    z organizacji, a zwaszcza te prze-

    twarzajce dane osobowe na skal

    masow, zweryfikoway na jakim eta-

    pie s w swojej drodze do uzyskania

    zgodnoci z wymogami wynikajcy-

    mi z unijnego rozporzdzenia. Jeeli

    nie zaczlimy jeszcze drogi, warto

    sign po owoce wiszce najniej

    analiza luki jako punkt wyjcia wydaje

    si by najbardziej sensownym punk-

    tem wyjcia. Po wtre dokumenta-

    cja. Polityki, procedury, opis rodo-

    wiska przetwarzania danych i zasady

    ich zabezpieczania. Bez tego trudno

    bdzie dowie, e organizacja doo-

    ya naleytej starannoci w zakresie

    ochrony danych osobowych, ktre

    zostay jej powierzone.

    Ocena wpywu:

    Powinien zosta ustanowiony pro-

    ces regularnego testowania I oceny

    skutecznoci technicznych I orga-

    nizacyjnych mechanizmw wdro-

    onych przez organizacj maj-

    cych na celu zapewni bezpie-

    czestwo zgromadzonych danych

    osobowych.

    Zarzdzanie dostawcami:

    Podmioty ktrym powierzono

    przetwarzanie danych rwnie

    s obarczone odpowiedzialnoci

    I podlegaj rozporzdzeniu. S zo-

    bowizani do utrzymywania rejestru

    dziaalnoci jeeli przetwarzaj dane

    osobowe.

    Transgraniczne przetwarza-nie danych osobowych:

    Osoba odpowiedzialna za za dane

    osobowe zobowizana jest zna

    wszystkie podmioty przetwarzajce

    dane osobowe za ktre s odpo-

    wiedzialni. Osoba ta jest odpowie-

    dzialna wsplnie z przetwarzajcy-

    mi dane za zapewnienie zgodnoci

    z wymogami RODO.

    Rozszerzenie indywidualnego prawa do prywatnoci:

    Osobom, ktrych dane s gro-

    madzone nadano dodatkowe

    uprawnienia w zakresie dostpu

    do danych, udzielania zgody na

    ich gromadzenie i przetwarzanie,

    w tym profilowanie na potrzeby

    marketingu.

    Prywatno by design and default:

    RODO modyfikuje wymogi tech-

    niczne w zakresie ochrony danych

    osobowych tak aby byy one brane

    pod uwag na etapie projektowania

    mechanizmw zabezpieczajcych.

    9

  • 10

  • Microsoft tworzy i udostpnia usugi sto-

    sujc si do czterech zasad: zapewnienia

    bezpieczestwa, ochrony prywatnoci, za-

    pewnienia zgodnoci z wymaganiami prawa

    oraz przejrzystoci. Przy wdroeniu RODO

    nasi klienci mog oczekiwa:

    Technologii, ktre speniaj wyma-

    gania prawne szeroka gama usug

    w chmurze obliczeniowej moe by

    wykorzystana do wdroenia wymogw

    RODO, m.in. usuwania, modyfikacji,

    przesyania, dostpu i sprzeciwu wobec

    przetwarzania danych osobowych.

    Zobowiza umownych wspieramy

    dziaania naszych klientw w zobowi-

    zaniach umownych dotyczcych usug

    wchmurze, np. wsparcia bezpieczestwa

    i powiadomie o naruszeniu bezpiecze-

    stwa danych zgodnych z nowymi wymo-

    gami RODO. W najbliszym czasie nasze

    umowy licencyjne bd zawieray zobo-

    wizania zgodnoci z RODO.

    Dzielenia si dowiadczeniami dzie-

    limy si naszymi dowiadczeniami we

    wdraaniu zapisw RODO bazujc na

    naszej praktyce.

    Podejcie Microsoft do implementacji RODO

    Jak Microsoft moe pomc w przygotowaniach do wdroenia RODO?

    Celem Microsoft jest uatwienie proce-

    su wdroenia rozporzdzenia u naszych

    klientw i partnerw. Staramy si to osi-

    gn dziki naszym technologiom, do-

    wiadczeniom oraz oboplnej wsppra-

    cy. Pomoemy zbudowa bezpieczniejsze

    rodowisko, uprocimy wdroenie zgod-

    noci z RODO oraz udostpnimy narzdzia

    i rodki potrzebne, by zapewni zgodno

    z obowizujcym prawem.

    The newGeneral Data Protection Regulation (GDPR) is the most significant

    change to European Union (EU) privacy law in two decades. The GDPR re-

    quires that organizations respect and protect personal data no matter

    where it is sent, processed or stored. Complying with the GDPR will not be

    easy. To simplify your path to compliance, Microsoft is committing to be

    GDPR compliant across our cloud services when enforcement begins on

    May 25, 2018.1

    Brendon Lynch Chief Privacy Officer, Microsoft

    Opublikowano: 15 lutego 2017 r.

    1 blogs.microsoft.com/on-the-issues/2017/02/15/get-gdpr-compliant-with-the-microsoft-cloud/ #sm.0000ehu9cr12jneqsqmjpj68sf1df, dostp: 27 lutego 2017r.

    Materia przygotowany przez firm:

    11

  • W zwizku z rosnc wiadomoci konsumen-

    tw na temat konsekwencji narusze danych

    osobowych i moliwoci ich nielegalnego wy-

    korzystania, w prowadzeniu dziaalnoci biz-

    nesowej na znaczeniu zyskuj takie czynniki jak

    zaufanie i odpowiedzialne praktyki w zakresie za-

    rzdzania informacjami. Jest to szczeglnie istot-

    ne w kontekcie rozwiza cyfrowych umoli-

    wiajcych gromadzenie i analiz coraz wikszych

    iloci informacji o klientach i pracownikach.

    Do roku 2018 organizacje znajdujce si

    w posiadaniu danych dotyczcych obywateli

    UE, na podstawie ktrych moliwa jest iden-

    tyfikacja osoby fizycznej, bd musiay dosto-

    sowa si do zapisw Oglnego Rozporz-

    dzenia o Ochronie Danych (ang. General Data

    Protection Regulation, GDPR).

    Rozporzdzenie GDPR wprowadza kryterium

    odpowiedzialnoci, zgodnie z ktrym podmio-

    ty gospodarcze musz zarwno przestrzega

    regulacji, jak i wykaza zgodno z ich zapisa-

    mi. Artyku rozporzdzenia GDPR 5 (1f) stano-

    wi, e dane osobowe musz by przetwarzane

    w sposb zapewniajcy odpowiednie bezpie-

    czestwo danych osobowych, w tym ochron

    przed niedozwolonym lub niezgodnym z pra-

    wem przetwarzaniem oraz przypadkow utra-

    t, zniszczeniem lub uszkodzeniem, za pomo-

    c odpowiednich rodkw technicznych lub

    organizacyjnych (integralno i poufno).

    Artyku 32 (1) nakada na przedsibiorstwa

    obowizek wdroenia odpowiednich rodkw

    technicznych i organizacyjnych, aby zapewni

    stopie bezpieczestwa odpowiadajcy temu

    ryzyku. W rozporzdzeniu GDPR nie okrelo-

    Korzyci

    Zakomunikowanie dobrej znajomoci wymogw rozporzdzenia GDPR w odniesieniu do prywatnoci i ochrony danych

    Opracowanie i wdroenie skutecznego programu GDPR

    Wiedza o skutkach rozporzdzenia GDPR w zakresie cyfryzacji i rozwiza IoT

    Wiksze zaufanie klientw dziki wdroeniu efektywnego programu zgodnoci z rozporzdzeniem GDPR

    Plan rozwoju opartego o transformacj i przystosowanie si do rozporzdze obowizujcych w skali globalnej

    Ograniczenie kosztw staych i ryzyka naruszenia danych

    Szybsza implementacja programu GDPR przy wsparciu dowiadczonych konsultantw i wykorzystaniu sprawdzonej metodologii

    Najwaniejsze jest zaufanie klientw

    Usugi doradcze w zakresie prywatnoci oferowane przez firm Cisco: Oglne rozporzdzenie o ochronie danych

    Materia przygotowany przez firm:

    12

  • Analiza wpywu i zakresu

    rozporzdzenia GDPR

    Odniesienie si do wymogw regulacyjnych okrelonych w rozporzdzeniu GDPR

    Ocena poziomu, w jakim dane, partnerzy i podmioty organizacji maj odpowi-

    ada zapisom rozporzdzenia GDPR

    Poznanie biecego stanu wdraanego programu zgodnoci oraz zdefiniowan-

    ie krokw, ktre naley podj w celu opracowania skutecznego programu pry-

    watnoci speniajcego kryteria okrelone w rozporzdzeniu GDPR

    Analiza programu zgodnoci z rozporzdzeniem GDPR majca na celu dostoso-

    wanie go do zmian w usugach biznesowych, nowych rynkw, wprowadzania

    rozwiza technologicznych, wsppracy z partnerami i zmian regulacyjnych

    Identyfikacja pozostaych zobowiza w obszarze zgodnoci, uwzgldnionych

    w planach biznesowych

    Opracowanie i ocena programu

    GDPR

    Opracowanie programu ochrony danych i prywatnoci zgodnego z rozporzdze-

    niem GDPR, uwzgldniajcego konkretne potrzeby organizacji i nowe regulacje

    Ewaluacja kryteriw i obowizkw okrelonych w rozporzdzeniu GDPR

    Poznanie konkretnych potrzeb biznesowych, cyklu ycia informacji, planw

    rozwojowych i sposobw wykorzystania technologii

    Ocena wpywu na prywatno (ang. Privacy Impact Assessment) w celu zdefin-

    iowania informacji umoliwiajcych identyfikacj osb chodzi o to, jakie dane

    s gromadzone, w jakim celu, jak zostan wykorzystane i zabezpieczone, jak

    bd przechowywane i przekazywane.

    Ocena istniejcego programu i porwnanie go ze standardowym zestawem

    odpowiednich zaoe odnoszcych si do dojrzaoci procesw

    Opracowanie kompleksowego planu dotyczcego programu prywatnoci, ktry

    speni zarwno oczekiwania przedsibiorstwa, jak i wymogi rozporzdzenia

    GDPR w zakresie zgodnoci

    GDPR wsparcie w zakresiezgodnoci

    i certyfikacji

    Konsolidacja i przyspieszenie skutecznej implementacji istniejcych inicjatyw

    w programie GDPR

    Udzielanie niezalenych i cennych sugestii dotyczcych tego, jak w praktyczny

    sposb sprosta wymaganiom dotyczcym prywatnoci i ochrony danych

    Szybsze przygotowanie i wdroenie programu GDPR dotyczcego prywatnoci

    i ochrony danych

    Przeksztacenie wymogw rozporzdzenia GDPR w zakresie zgodnoci w prak-

    tyczny program i plan implementacji

    Analiza mechanizmw nadzoru nad istniejcym programem GDPR w zakresie

    zgodnoci oraz ocena gotowoci do certyfikacji

    GDPR usugi w zakresie ochrony danych

    Opis wiadczonych usugno konkretnej metody bezpiecznego prze-twarzania danych firmy same musz zadba

    o wdroenie mechanizmw kontrolnych do-

    stosowanych do poziomu ryzyka, na ktre na-

    raone s dane osobowe. Najwikszy sukces

    osign organizacje, ktre zdecyduj si na

    wspprac z partnerami rozumiejcymi jed-

    nolity rynek cyfrowy UE i potraficymi speni

    kryteria zgodnoci obowizujce w technicz-

    nej strukturze ramowej.

    Firma Cisco ju od kilku dekad koncentruje

    si na tworzeniu i ochronie sieci (oraz zarz-

    dzaniu nimi), ktre cz systemy z ich uyt-

    kownikami. Nasze rozwizania umoliwiaj

    skuteczne poznanie technologii, ich segmen-

    tacj i zarzdzanie nimi w samym sercu po-

    czonego wiata na poziomie sieci, ser-

    werw, aplikacji, uytkownikw i danych. To

    wanie ta dogbna znajomo skompliko-

    wanych powiza midzy rnymi domena-

    mi technicznymi oraz interakcji z procesami

    biznesowymi i wymogami zgodnoci pozwa-

    la firmie Cisco pomaga klientom w przygo-

    towaniu i wdroeniu odpowiednich mecha-

    nizmw zarzdzania informacj. A wszystko

    to z myl o realizacji skutecznych strategii

    w dziedzinie ochrony prywatnoci i danych

    w cyfrowym wiecie.

    Usugi doradcze w zakresie prywatnoci i ochrony danych oferowane przez

    firm Cisco zapewniaj rzetelne i wszechstronne wsparcie. Nasi dowiadcze-

    ni konsultanci ds. technologicznych i prywatnoci okrel kryteria wynikajce

    ze zobowiza biznesowych i regulacyjnych odnoszcych si do zarzdzania

    informacjami umoliwiajcymi identyfikacj osb (ang. Personally Identifiable

    Information, PII) oraz innymi wraliwymi danymi klientw. Eksperci ds. bez-

    pieczestwa pomagaj naszym partnerom pozna konkretne wymogi doty-

    czce odpowiedniego programu zarzdzania informacjami, oceniaj ich ak-

    tualny potencja i opracowuj indywidualnie dopasowan infastruktur umo-

    liwiajc lepsz ochron prywatnoci. Pomagamy rwnie w lepszym zrozu-

    mieniu kryteriw biznesowych, opcji rozwoju i prognozowanych przypadkw

    uytkowych, co sprzyja tworzeniu zrwnowaonej struktury ramowej GDPR

    i opracowaniu planu wdroenia dziaa w obszarze zgodnoci zwizanych

    z inicjatywami cyfrowymi i technologicznymi.

    W efekcie powstaje projekt dojrzaego, kontrolowanego i zgodnego

    z zapisami rozporzdzenia GDPR programu w dziedzinie prywatnoci,

    ktry pozwala utrzyma zaufanie klientw w kwestii inicjatyw cyfrowych

    i wprowadzanie innowacyjnych technologii.

    13

  • Trend Micro oraz VMware we wsppracy

    z agencj badawcz ARC Rynek i Opinia

    przeprowadziy wrd polskich przedsi-

    biorcw badanie powicone znajomoci

    unijnego rozporzdzenia o ochronie da-

    nych (GDPR). Wyniki s niepokojce: po-

    nad poowa (52%) firm nigdy nie syszaa

    o GDPR, natomiast a dwie trzecie (67%)

    z nich nie zdaje sobie sprawy z tego, ile cza-

    su pozostao na wdroenie rozporzdzenia.

    Dokadnie 25 maja 2018 r. zaczn funkcjo-

    nowa nowe przepisy dotyczce ochrony

    danych, a firmy bd musiay przej przez

    mudny proces weryfikacji wewntrznych

    procedur cyberbezpieczestwa. Cho-

    dzi o oglne rozporzdzenie o ochronie

    danych osobowych, czyli GDPR (od an-

    gielskiej nazwy General Data Protection

    Regulation). Nowe prawo bdzie mie

    zastosowanie w przedsibiorstwach oraz

    instytucjach przetwarzajcych lub groma-

    dzcych dane osobowe osb przebywaj-

    cych w krajach UE. Zmianie ulegn zasady

    rejestrowania, przechowywania, przetwa-

    rzania i udostpniania danych wszystkich

    osb fizycznych.

    Dokument GDPR jest sformuowany

    w sposb odmienny od obecnie obowizu-

    jcych przepisw. Dotychczasowe podej-

    cie polegao na stosowaniu okrelonych

    procedur w przetwarzaniu informacji oso-

    bowych w celu uwiadomienia obywatelom

    samego faktu ich zbierania. Obecne rozpo-

    rzdzenie skupia si na problemie jawnoci

    bezpieczestwa zbioru danych kady

    przypadek naruszenia bezpieczestwa,

    strategia cyberbezpieczestwa do 25 maja 2018 r.

    CEL

    Czas dziaa!

    FIRM NIE SYSZAO JESZCZE O GDPR

    FIRM NIE WIE, ILE CZASU POZOSTAO

    NA WDROENIE ROZPORZDZENIA

    FIRM JEST CAKOWICIE PEWNYCH

    POSIADANYCH ZABEZPIECZE

    KARY FINANSOWE

    ODPOWIEDZIALNO TAKE POZA UE

    INFORMOWANIE O NARUSZENIACH

    PRAWO DO BYCIA ZAPOMNIANYM

    FIRM ZA BARDZO DOTKLIW UZNAO MAKSYMALN MOLIW KAR:

    4% ROCZNEGO OBROTU

    FIRM NIE WIE, KTO PONOSI ODPOWIEDZIALNO W SYTUACJI

    NARUSZENIA DANYCH PRZEZ USUGODAWC Z USA

    NIE MA WDROONYCH ADNYCH PROCEDUR INFORMOWANIA ORGANU OCHRONY DANYCH O ZAISTNIAYCH

    NARUSZENIACH

    FIRM NIE DYSPONUJE NARZDZIAMI I TECHNOLOGIAMI DAJCYMI

    KONSUMENTOWI PRAWO DO BYCIA ZAPOMNIANYM

    Oglne rozporzdzenie o ochronie danych*

    52% 67% 26%

    72%

    42%

    96%

    50%

    14

  • wyciek lub modyfikacja musi by ujawnia-

    ny klientom firmy, a odpowiednie organa

    powiadamiane o fakcie wamania. Ma to

    ukrci dotychczasow praktyk ukrywania

    faktw narusze bezpieczestwa przed opi-

    ni publiczn, co powodowao powszech-

    ne ignorowanie tego problemu jako rze-

    komo mao istotnego i niewymagajcego

    jakichkolwiek inwestycji. Dlatego kolejn

    nowoci wprowadzan przez GDPR jest

    konieczno zastosowania adekwatnych

    zabezpiecze technologicznych. Nie s

    przy tym wskazywane konkretne technolo-

    gie, ale stawiany jest wymg odpowiedniej

    jakoci owych zabezpiecze. wiadczy to

    o strategicznym podejciu UE, ktre ma za-

    chci firmy do tego, aby mylay o bezpie-

    czestwie w bardziej kompleksowy sposb

    mwi Micha Jarski, Regional Director

    CEE w firmie Trend Micro.

    Rozporzdzenie GDPR przyznaje rwnie

    osobom fizycznym prawo do bycia zapo-

    mnianym, czyli zadania niezwocznego

    usunicia danych osobowych. Wobec tego

    organizacje musz na yczenie usun

    wszystkie dane osobowe i zwizane z nimi

    odnoniki. Alarmujcy jest fakt, e jak

    wynika z badania a poowa ankietowa-

    nych firm (50%) nie dysponuje procedurami

    i technologiami zapewniajcymi konsu-

    mentowi prawo do bycia zapomnianym

    To nie koniec niepokojcych informacji.

    Niestety a 42% organizacji nie ma wdro-

    onych adnych procedur informowania

    organu ochrony danych o zaistniaych na-

    ruszeniach. A takie s niezbdne do tego,

    aby realizowa zaoenia nowego prawa,

    ktre obliguje firmy do zgoszenia incy-

    dentu w cigu maksymalnie 72 godzin od

    jego wystpienia. W razie zaniechania ta-

    kiego dziaania, przedsibiorstwa te mog

    by ukarane grzywn w wysokoci nawet

    4% rocznych obrotw. Prawie trzy czwar-

    te firm (72%) uwaa, e taka kara jest bar-

    dzo dotkliwa.

    Zachowanie zgodnoci z nowym prawem

    nie podlega dyskusji i to w interesie orga-

    nizacji ley dooenie wszelkich stara, aby

    ostronie i z rozmysem zaplanowa wszyst-

    kie kroki majce zapewni pene przestrze-

    ganie zasad zawartych w rozporzdzeniu.

    Szkolenia s tu nieodzowne mwi Pawe

    Korzec, Regional Presales Manager, Eastern

    Europe w firmie VMware.

    Nowe przepisy stworz organom regula-

    cyjnym realne moliwoci przeciwdzia-

    ania naduyciom. Nie bdzie ju miejsca

    na nieprzestrzeganie zasad, a firmy, ktre

    zlekcewa zapisy rozporzdzenia, bd

    surowo karane. Aby unikn takich sytu-

    acji, w cigu nadchodzcych kilkunastu

    miesicy przedsibiorstwa powinny opra-

    cowa i wdroy odpowiedni strategi

    cyberbezpieczestwa.

    O badaniuBadanie przeprowadzono jesieni 2016 r. na

    grupie odpowiedzialnych za ochron da-

    nych przedstawicieli 200 firm zatrudniaj-

    cych powyej 100 osb. Struktura prby jest

    reprezentatywna ze wzgldu na proporcje

    sektorowe (przemys/usugi/handel).

    Polscy przedsibiorcy wci nie s przygotowani na wejcie w ycie

    unijnego rozporzdzenia oochronie danych

    Badanie Trend Micro i VMware: ponad poowa polskich firm nie syszaa o rozporzdzeniu GDPR

    Pena wersja raportu jest

    do pobrania na stronie VMware

    http://bit.ly/raportGDPR_PL

    Materia przygotowany przez firm:

    15

  • Materia przygotowany przez firm:

    Biece przygotowania przedsibiorstw na

    spotkanie z rozporzdzeniem unijnym GDPR

    i wynikajcymi z tego nowymi przepisami pol-

    skimi RODO oscyluj przede wszystkim wok

    wyznaczenia ABI (Administrator Bezpiecze-

    stwa Informacji), przygotowania nowej treci

    zgd oraz analizy celw przetwarzania. Cz

    przedsibiorcw uwaa, i nowe przepisy nie

    wymusz zmian w procesie zarzdzania danymi

    osobowymi wewntrz ich firm, gdy w ich prze-

    konaniu wczeniejsze przystosowanie proce-

    sw do dotychczas obowizujcych przepisw

    ju ich do tego przygotowao. Ponadto liczba

    osb skazanych prawomocnie w procesach kar-

    nych za amanie obecnie obowizujcej ustawy

    jest do tej pory tak niska, i aspekt konsekwencji

    nie jest czynnikiem motywujcym. W naszym

    przekonaniu nowa regulacja zmieni ten stan

    i drastycznie zwikszy liczb takich przypadkw.

    W brany wida wyczekiwanie na projekt pol-

    skiej wersji unijnej regulacji, ktry najpewniej

    pojawi si na wiosn br. oraz tego jak bdzie

    wygldaa nowa organizacja GIODO i jej plany

    zwizane z realizacj nowej ustawy. Patrzc

    na to, jak przygotowuj si urzdy w innych

    krajach na moment wejcia regulacji w ycie,

    zwizany z tym wzrost zatrudnienia w urz-

    dach i fiskalny charakter tych przygotowa -

    naley oczekiwa, e polscy urzdnicy pjd

    w t sam stron.

    Warto podkreli, i dobrze skompletowa-

    na skarga skierowana do GIODO ju dzi-

    siaj skutkuje wizyt prokuratora a nie in-

    spektora. Zaoenie, e inspektorzy skieruj

    si w maju przyszego roku (wejcie w ycie

    RODO) przede wszystkim w stron bogatszych

    bran i e nie wystarczy im zasobw do tego,

    aby uruchomi strumie kar naszym zdaniem

    jest bdne. Ju dzisiaj urzd w duym stopniu

    angauje ABI w kompletowanie informacji nt.

    przetwarzania danych w wybranych gaziach

    gospodarki. Niestety cz z nich zmaga si

    z problemem braku zrozumienia dla wymo-

    gw nowej regulacji na poziomie zarzdw

    firm, braku akceptacji wnioskw na niezbdne

    inwestycje i przygotowanie firmy nie tylko na

    audyty RODO, ale na inwestycje w IT.

    Przepisy RODO oznaczaj konieczno wy-

    posaenia ABI w odpowiednie narzdzia a po-

    tencjalne kary finansowe wynikajce z niewy-

    penienia nowych regulacji, nienaleytego

    zabezpieczenia infrastruktury i przygotowania

    pracownikw powinny by motywacj do in-

    westycji. Z naszych dowiadcze wynika, e

    zakupy narzdzi security nastpuj przewanie

    po odnotowaniu incydentu, choby ze wzgl-

    du na to, e ta cz IT zawsze bya postrze-

    gana, jako koszt nie biorcy udziau w budo-

    waniu przewagi konkurencyjnej. Wysoko kar

    zapisanych w nowej unijnej regulacji zapewne

    skoni przedsibiorcw do wczeniejszego

    zadbania o ten obszar.

    Ponadto naley mie na uwadze inny aspekt,

    czyli jak zmieni si zachowania osb fizycz-

    GDPR i nowe wyzwania cyberbezpieczestwa przemylenia eksperta Dimension Data

    Mieszko Jeliski, Business Line Manager Security, Dimension Data Polska

    Co CIO musi wiedzie o RODO?

    Skuteczne i kompleksowe

    zabezpieczenie przedsi-

    biorstwa stao si bar-

    dzo kosztowne a rozwj

    metod hakerskich sprawia

    i nie ma 100% zabezpie-

    czenia przed atakiem.

    16

  • nych, ktre nie tylko najprawdopodobniej za-

    lej firmy wnioskami o udzielenie informacji

    ale take, co nieuniknione, skargami w stron

    GIODO. Nie ma brany, ktra moe spa spo-

    kojnie co wida na przykadzie ostatnich

    kontroli GIODO w przychodniach medycz-

    nych po skargach pacjentw.

    Security Operations CenterSkuteczne i kompleksowe zabezpieczenie

    przedsibiorstwa stao si bardzo kosztowne

    a rozwj metod hakerskich sprawia i nie ma

    100% zabezpieczenia przed atakiem. Wysiek

    specjalistw zmierza w kierunku umoliwienia

    firmom radzenia sobie ze skutkami, oceny ja-

    kie dane zostay wykradzione. Same produkty

    zabezpieczajce nie s tak kosztowne jak bu-

    dowa wasnego zespou Security Operations

    Center (SoC) i odpowiednie doposaenie

    tego zespou w narzdzia. Regulacja RODO

    nakazuje poinformowa GIODO nie pniej,

    ni w przecigu 72 godzin od momentu po-

    wzicia wiadomoci o wycieku, a osoby kt-

    rych dane dotycz nakazuje poinformowa

    bez zbdnej zwoki.

    Specyfika regulacji zobowizuje przedsibior-

    cw do posiadania rodkw technicznych,

    ktre umoliwi stwierdzenie, jakie dane pod-

    legay naruszeniu. Ta cz jest najbardziej

    kosztowna i w praktyce bardzo trudna do

    zrealizowania poza grup najwikszych przed-

    sibiorstw z budetami IT umoliwiajcymi

    odpowiednie inwestycje. Problemem jest tak-

    e brak moliwoci zatrudnienia fachowcw,

    gdy luka pomidzy poda i popytem na ryn-

    ku pracy szybko ronie.

    W uproszczeniu kosztowno wyposaenia

    firmy w zdolno do udokumentowania ta-

    kiego naruszenia polega na wyposaeniu

    zespou SoC w narzdzia do monitoro-

    wania i nagrywania kadego istotnego

    przepywu danych wszelkimi wykorzy-

    stywanymi w firmie kanaami, zbieraniu

    logw z zachowania urzdze informa-

    tycznych, w ktre firma jest wyposao-

    na a w przypadku wystpienia incydentu

    zaangaowanie tego zespou, z koniecznoci

    bdcego elit wrd fachowcw IT, w zi-

    dentyfikowanie miejsca i zakresu naruszenia.

    Nieuchronno wejcia nowych przepisw

    w ycie spowodowaa nasilenie rekrutacji na

    i tak ju mocno wydrenowanym ze specjali-

    stw rynku. Ekspert sta si najbardziej rzadkim

    zasobem w procesie przygotowywania firm do

    RODO. Ponadto liczba integratorw w kraju

    majcych kompetencje we wdraaniu i utrzy-

    mywaniu tak zaawansowanych systemw bez-

    pieczestwa jest ograniczona.

    Z du doz prawdopodobiestwa mona za-

    oy, i dua grupa przedsibiorstw o narusze-

    niach ochrony danych osobowych dowie si,

    jak to si niestety dzieje obecnie, w ramach po-

    stpowania kontrolnego lub prokuratorskiego.

    Z naszych obserwacji wynika, e spora cz

    przedsibiorcw oczekujc na polsk wersj

    regulacji RODO nie podejmuje adnej konkret-

    nej decyzji w tym obszarze. Brak adekwatnej

    reakcji zarzdw na oczywiste potrzeby za-

    pewnienia zgodnoci z przepisami i nowymi

    wymogami w chwili obecnej spitrzy problem

    w momencie, gdy nowe GIODO zacznie eg-

    zekwowa zapisy ustawy. W konsekwencji

    zapewne otworzy to drog do popularyzacji

    usug outsourcingu funkcji ABI, gdy kontrak-

    ty B2B efektywniej ogranicz ryzyka pracy ta-

    kiego ABI operujcego w trudnych warunkach

    bez wsparcia Zarzdu w porwnaniu do umw

    o prac.

    Model subskrypcyjny usuga bez inwestycjiAlternatyw do wysokich kosztw inwestycji

    w zabezpieczenia rodowiska IT ju w tej chwi-

    li s usugi outsourcingu platform i procesw

    zapewniajcych bezpieczestwo z zespoem

    SoC pracujcym dla wielu klientw dostarcza-

    jcym uytkownikom kocowym niezbdne

    licencje narzdzi security w modelu subskryp-

    cyjnym. Taki model wyniesienia zadania wy-

    posaenia przedsibiorstwa w zdolno do

    przejcia certyfikacji RODO na zewntrz moe

    okaza si te jedynym pasujcym do kalenda-

    rza. Powd? niesamowicie trudno jest zbu-

    dowa kompleksowe rodowisko speniajce

    wymagania nowych regulacji w krtkim czasie

    oraz przy duym problemie z rekrutacj spe-

    cjalistw. Przykadem wspomnianej usugi jest

    platforma zbudowana wsplnie przez NASK

    oraz Dimension Data.

    Usugi bezpieczestwa dostarczane wsplnie przez Dimension Data i NASK

    Usugi oferowane wsplnie przez Dimen-

    sion Data i NASK zapewniaj kompleksowe

    zabezpieczenie danych, aplikacji i systemw

    wraz z zarzdzaniem rodowiskiem IT.

    RODO

    Security Ops

    Center

    Monitoringbaz danych

    Strategiarozwoju

    cyber-sec

    Audyt RODO

    Obieg dokumentw

    Systemy Security

    DLP

    ABI

    Elementy usugi ochrony rodowiska IT

    17

  • ZALETY proaktywnej ochrony

    Proaktywna ochrona rde danych war-

    tociowych i wraliwych, a take urzdze

    kocowych i poczty elektronicznej pra-

    cownikw, stwarza moliwo powstania

    data lake, ktre dla caego przedsibior-

    stwa przekada si na realne korzyci. Ta-

    kie podejcie eliminuje w praktyce potrze-

    b utrzymywania oddzielnych zbiorw

    danych, zrzutw caej zawartoci dyskw

    i masowych zrzutw danych (np. na po-

    trzeby eDiscovery lub dochodze), co

    zwykle wie si z duymi kosztami prze-

    twarzania i analizy. Data Lake pozwala

    rwnie na ograniczenie lub nawet na

    wyeliminowanie zewntrznych narzdzi

    do synchronizacji i udostpniania danych

    oraz kosztownych platform wyszukiwania

    klasy korporacyjnej. Zapewniony jest przy

    tym atwy dostp do zdecydowanej wik-

    szoci - istotnych danych.

    Szefowie odpowiedzialni za prac dziaw

    IT musz teraz podj wiadome i moli-

    wie najbardziej perspektywiczne decyzje

    w kwestii inwestycji w rozwj struktury sys-

    temw. Istotne jest utrzymanie rwnowagi

    pomidzy koniecznoci skonsolidowania

    zarzdzania danymi, a potrzeb rozwizy-

    wania biecych problemw operacyjnych

    w tym zakresie.

    Dedykowanym rozwizaniem s wyspecja-

    lizowane produkty suce centralizacji za-

    rzdzania danymi. Wprowadzenie GDPR jest

    wic jednoczenie czynnikiem, ktry stymulu-

    je rynek dostawcw specjalistycznego opro-

    gramowania.

    DANE NIEUSTRUKTURYZOWANE - NAJ-

    WIKSZE WYZWANIE Najwikszym spord

    wyzwa, z ktrymi bd musieli si zmierzy

    managerowie IT, bdzie zapewnienie firmie

    kontroli nad danymi nieustrukturyzowany-

    mi. Jakkolwiek rozwizania do przetwarza-

    nia danych strukturalnych zawieraj funkcje

    zarzdzania ich zgodnoci z przepisami,

    to trudno mwi tu o zapewnieniu takiej

    zgodnoci w przypadku danych niestruktu-

    ralnych. Zwaszcza dla mobilnych czy sta-

    cjonarnych urzdze kocowych wiadomo-

    ci e-mail czy serwerw z setkami, a nawet

    tysicami autoryzowanych uytkownikw.

    Pord tych wtpliwoci rodzi si kolejne

    pytanie: Jak najbardziej optymalnie i kom-

    pleksowo rozwiza ten problem bez korzy-

    stania z wielu niszowych produktw?

    KOMPLEKSOWE ROZWIZANIE KWE-

    STII ZGODNOCI Z GDPR Commvault

    Data Platform integruje operacje zwizane

    z ochron danych o znaczeniu krytycznym,

    zapewnieniem ich zgodnoci i wyszukiwa-

    niem informacji wszystko w ramach jed-

    nego, spjnego rozwizania. Dziki temu na-

    rzdziu moliwe jest nie tylko weryfikowanie

    posiadanych danych nieustrukturyzowanych,

    ale i wypenianie obowizkw definiowanych

    przez Rozporzdzenie o Ochronie Danych

    Osobowych oraz wykazywanie zgodnoci

    dziaa firmy z jego przepisami wobec orga-

    nw regulacyjnych.

    Materia przygotowany przez firm:

    POTRZEBA PODJCIA ODPOWIEDNICH RODKW

    18

  • E-maile lokalne lub w chmurze

    Uytkownicy zdalni i lokalni

    Rozwizania do przetwarzania w chmurze

    Centrum przetwarzania danych

    PROAKTYWNA OCHRONA

    Zintegrowany backup i odtwarzanie kopii zapasowych oraz archiwizacja

    Zintegrowane, wirtualne repozytorium danych docelowych, umoliwiajce wyszukiwanie

    Automatyczne zarzdzanie danymi

    Globalne zmniejszenie kosztw przechowywania i zarzdzania danymi

    Niezaleno od platformy sprztowej i dostawcy chmury

    DOSTP ANALIZA ZARZDZANIE WYTWARZANIE LUB KASOWANIE

    Bezpieczny dostp uytkownikw

    Wtyczki do programw Outlook i Explorer dania dostpu lub

    kasowania danych

    eDiscovery i przeprowadzanie dochodze

    Retencja z uwzgldnieniem typu zawartoci

    Wykrywanie wyciekw danych

    Mapowanie danych

    Lepsza widzialno dziki federacyjnemu wyszukiwaniu danych

    Pracownicy i rda danych Warstwy 1 CAB

    Dostp na potrzeby zapewnienia zgodnoci

    XML

    Usuwanie

    30 LAT

    Pracownicy i rda danych maego ryzyka

    1 ROK

    B

    B

    C

    A

    A

    Z automatyczn obsug storage tiering

    Commvault Data Platform integruje funkcje zapisywania i odtwa-

    rzania kopii zapasowych oraz archiwizacji danych, co pozwala na

    utworzenie jednego, zintegrowanego repozytorium wartociowych

    informacji nieustrukturyzowanych. Co wane - dane te mog by

    z atwoci przeszukiwane. To wszystko sprawia, e omawiane roz-

    wizanie stanowi solidny fundament do prowadzenia nadzoru korpo-

    racyjnego nad danymi. Zapewnia ono bowiem nie tylko jasny wgld,

    ale i pen kontrol nad danymi, co jest niezbdne do wypenienia

    obowizkw nakadanych przez GDPR.

    UZYSKAJ PEEN WGLD W DANE OSOBOWE PRZECHOWYWANE

    PRZEZ KADY DZIA TWOJEJ FIRMY

    Dostp do informacji o miejscach przechowywania danych osobo-

    wych w obrbie caego przedsibiorstwa pozwala na optymalizacj

    kontroli dostpu, a take konsolidacj oraz ustalanie odpowiednich

    priorytetw dziaaniom na rzecz bezpieczestwa.

    DYNAMICZNA REAKCJA NA WNIOSKI PODMIOTW, KTRYCH DO-

    TYCZ PRZECHOWYWANE DANE

    Postaw prewencyjnie na rozwizanie, dziki ktremu zminimali-

    zujesz lub nawet wyeliminujesz mao wydajne operacje dokony-

    wane ad-hoc w chaotycznym zbiorze danych. Przyspiesz proces

    wyszukiwania, tworzenia oraz - w razie potrzeby - usuwania da-

    nych osobowych.

    ZAUTOMATYZUJ RESPEKTOWANIE POLITYKI DOTYCZCEJ PRZE-

    CHOWYWANIA DANYCH

    Biece usuwanie nieaktualnych danych z urzdze kocowych,

    poczty elektronicznej czy rde w centrach przetwarzania danych,

    a take kopii zapasowych i archiwalnych, w celu respektowania prze-

    pisw dotyczcych przechowywania danych.

    UCZY ATWIEJSZYM PRZESTRZEGANIE ZASAD BEZPIECZESTWA

    I PRYWATNOCI DANYCH

    Wykrywaj ewentualne wycieki danych, co minimalizuje potrzeb nie-

    wydajnego sprawdzania systemw i urzdze kocowych.

    Usuwaj dane objte szczegln ochron z nieautoryzowanych loka-

    lizacji.

    Uzyskaj dodatkow ochron przed zagroeniami typu ransomware.

    Skorzystaj z szybkiej, alternatywnej metody oceny skali zagroenia

    w przypadku naruszenia ochrony. Uatwiaj tym samym prawnym in-

    teresariuszom zaplanowanie powiadomienia o naruszeniu.

    ELASTYCZNO I DOSTPNO NARZDZIA

    Szybkie odzyskiwanie danych w przypadku incydentu.

    Moliwo odtworzenia danych do dowolnej lokalizacji (fizycznej lub

    do chmury), a nawet w kilku lokalizacjach jednoczenie.

    SOLIDNY FUNDAMENT DO WPROWADZENIA zintegrowanego nadzoru korporacyjnego nad danymi

    19

  • Pierwsze wyzwanie zwizane ze spenieniem

    wymogw okrelonych w oglnym rozporz-

    dzeniu o ochronie danych dotyczy zbadania

    i w stosownych przypadkach zmodyfikowania

    sposobu, w jaki organizacja gromadzi, prze-

    chowuje i przetwarza dane osobowe zgodnie

    z tymi prawami. W przypadku niektrych orga-

    nizacji moe by to dobra okazja do uproszcze-

    nia operacji poprzez zaprzestanie gromadzenia

    niepotrzebnych danych oraz ograniczenie ich

    przetwarzania wycznie do zakresu, w jakim

    jest to niezbdne do realizacji podstawowych

    celw biznesowych.

    Zgaszanie przypadkw naruszeniaW oglnym rozporzdzeniu o ochronie danych

    nakada si rwnie na organizacje nowy obo-

    wizek powiadamiania waciwych organw

    o naruszeniu ochrony danych osobowych1,

    ktre moe wiza si z wysokim ryzykiem na-

    ruszenia praw lub wolnoci osb fizycznych.

    W przypadku uznania ryzyka za wysokie za-

    wiadomienie naley skierowa rwnie do osb

    bdcych przedmiotem naruszenia, ktrych

    dane dotycz. Zawiadomienia naley dokona

    bez zbdnej zwoki, a jeeli jest to wykonalne,

    nie pniej ni w terminie 72 godzin po stwier-

    dzeniu naruszenia.

    Istotn kwesti, ktr naley podkreli, jest

    zwizek midzy wykryciem a zgoszeniem na-

    ruszenia. Zgodnie z przepisami zawiadomienia

    naley dokona w cigu 72 godzin. Pierwszy

    nieautoryzowany dostp, ktrego dopuci si

    haker, mg jednak mie miejsce na wiele dni,

    tygodni lub nawet miesicy przed faktycznym

    naruszeniem danych. Wedug sprawozdania

    M-Trends z 2016 r. redni czas miedzy pierw-

    szym nieautoryzowanym dostpem a jego wy-

    kryciem wynosi 146 dni. Zasadnicze znaczenie

    dla powodzenia naruszenia ochrony danych ma

    pojawienie si okazji, a zmniejszenie prawdo-

    podobiestwa lub cakowite uniemoliwienie

    jej wystpienia jest niezbdne do zapewnienia

    ochrony danych organizacji. Poniewa kade

    naruszenie ochrony danych rozpoczyna si

    od pierwszego nieautoryzowanego dostpu,

    pierwszym krokiem w kierunku ochrony da-

    nych i przestrzegania przepisw oglnego roz-

    porzdzenia o ochronie danych powinno by

    zapewnienie wystarczajcego bezpieczestwa

    wykorzystywanej sieci.

    Zabezpieczanie sieciDlaczego wci dochodzi do takich przypad-

    kw naruszenia ochrony danych

    Jedn z przyczyn jest z pewnoci trudno

    w dotrzymaniu kroku zmieniajcemu si cha-

    rakterowi zagroe. Ogromne zyski pynce

    z cyberprzestpczoci, nie wspominajc o po-

    Materia przygotowany przez firm:

    Przygotowanie do wejcia w ycie oglnego rozporzdzenia o ochronie danych

    Patrick Grillo, EMEA Sales and Marketing Director, Fortinet

    tencjale tego procederu w kontekcie prowa-

    dzenia wojny zastpczej, zapewniaj sprawcom

    takich przestpstw zasoby i moliwo korzy-

    stania z innowacyjnych rozwiza, ktre mog

    istotnie przewysza zasoby i moliwoci do-

    stpne dla pojedynczych przedsibiorstw czy

    nawet rzdw pastw.

    Jednak czynnikiem, ktry naley uzna za jesz-

    cze istotniejszy w tym kontekcie, jest kwestia

    kierunku, w jakim sie dziaajca w przedsi-

    biorstwach ewoluowaa na przestrzeni cza-

    su. W miar jak przedsibiorstwa przyswajay

    rnego rodzaju technologie, m.in. internet,

    dostp bezprzewodowy i przechowywanie da-

    nych w chmurze, aby czerpa z nich konkretne

    korzyci biznesowe, kada z tych technologii

    generowaa rwnie nowe zagroenia dla bez-

    pieczestwa sieci. W wikszoci przypadkw

    dochodzio do zmiany topologii, ale nie ochro-

    ny obwodowej sieci, co sprawiao, e stawaa

    si ona podatna na nowe kierunki atakw. T

    cech sieci powszechnie okrela si jako jej

    bezgraniczno.

    Inn powszechn praktyk powizan z bez-

    granicznym charakterem sieci, ale odrbn

    od tej cechy, jest czenie i dopasowywanie

    rnych technologii bezpieczestwa dostar-

    czanych przez rnych dostawcw, czsto

    w reakcji na ostatnie przypadki naruszenia

    ochrony danych. Cho poszczeglne pro-

    dukty, z jakich korzysta dane przedsibior-

    stwo, mog dziaa zgodnie ze swoim prze-

    znaczeniem, w wielu przypadkach zdarza si,

    e twrcy tych produktw nie przewidzieli

    moliwoci ich skutecznego wspdziaania

    1 W niniejszym dokumencie naruszenie ochrony danych definiuje si jako jakiekolwiek naruszenie bezpieczestwa skutkujce zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostpem do danych osobowych.

    20

  • WIADOMA ZGODA prawo do uzyskania jasnych informacji

    na temat tego, dlaczego dane s potrzebne

    oraz w jaki sposb zostan wykorzystane.

    Zgoda musi zosta udzielona w sposb

    wyrany i moe zosta wycofana

    w dowolnym momencie;

    DOSTPprawo do nieodpatnego dostpu do wszystkich

    zgromadzonych danych oraz do uzyskania

    potwierdzenia co do sposobu ich przetwarzania;

    KOREKTAprawo do skorygowania danych,

    jeeli s nieprawidowe;

    ZAPEWNIENIE PRAWA DO BYCIA ZAPOMNIANYMprawo do zwrcenia si o usunicie danych

    dotyczcych danej osoby;

    MOLIWO PRZENOSZENIA DANYCH prawo do pobrania i ponownego wykorzystania danych

    osobowych do celw wasnych w zakresie rnych usug.

    Prawa osb fizycznychPodstaw oglnego rozporzdzenia o ochronie danych jest okrelenie praw osb fizycznych w zakresie ochrony danych.

    Prawa te mona zasadniczo podsumowa w nastpujcy sposb:

    z pozostaymi technologiami wchodzcymi

    w skad sieci sytuacja ta komplikuje sposb

    dziaania sieci, co moe doprowadzi do b-

    dw w jej konfiguracji i innego rodzaju bdw

    ludzkich. Poniewa wikszo tych produktw

    wymaga dostpu do bazy danych dotyczcej

    zagroe, aby mc peni swoje funkcje, za-

    rzdzanie szeregiem rde danych na temat

    zagroe bez gwarancji, e wszystkie te rda

    pozwol w jednakowym stopniu przeciwdzia-

    a zagroeniom i je wykrywa, zwiksza ryzy-

    ko wystpienia luk w poziomie ochrony, ktre

    bd mogy zosta nastpnie wykorzystane

    przez cyberprzestpc lub hakera.

    Ostatnim problemem, z jakim musz si obec-

    nie mierzy organizacje, jest problem wydajno-

    ci, ktry nie wynika jednak z niedostatecznej

    przepustowoci. Jeeli chodzi o przepusto-

    wo sieci, w ostatnich latach mona byo

    zaobserwowa bardzo istotn popraw tego

    parametru obecnie wikszo sieci dziaa

    z prdkoci 10 Gb/s lub wysz. Problem po-

    lega na tym, e wikszo sieciowych narz-

    dzi bezpieczestwa nie jest przystosowana do

    dziaania z tak prdkoci. W konsekwencji

    przedsibiorstwa s zmuszone do obnienia

    poziomu swojej ochrony, aby utrzyma wy-

    dajno dziaania aplikacji. Jest to decyzja, do

    podjcia ktrej adna organizacja nie powinna

    zosta zmuszona. Cho istnieje bardzo wiele

    powodw, dla ktrych uzyskanie nieautory-

    zowanego dostpu do sieci moe przekszta-

    ci si w skuteczn prb naruszenia ochrony

    danych, sie naraona na oddziaywanie tych

    trzech czynnikw bezgranicznoci, powol-

    nego dziaania i zoonoci okae si atwym

    celem dla cyberprzestpcy lub hakera.

    Fortinet Security Fabric bezpieczestwo od samego pocztkuFortinet Security Fabric to wizja technologicz-

    na przedsibiorstwa Fortinet majca na celu

    rozwizanie biecych problemw bezgra-

    nicznoci, powolnego dziaania i zoonoci

    oraz cigy rozwj, aby mc rozwizywa pro-

    blemy, jakie mog pojawi si w przyszoci.

    Jej filozofia jest prosta oferujc pen gam

    rozwiza Fortinet, Fortinet Security Fabric

    moe zapewni szerokie, silne i automatyczne

    bezpieczestwo.

    Fortinet Security Fabric osiga to poprzez

    umieszczenie odpowiednich technologii zabez-

    pieczajcych we waciwych miejscach w caej

    sieci. Ze wzgldu na architektur ASIC jednost-

    ki procesora zabezpieczajcego poszczeglne

    produkty s w stanie speni wszystkie oczeki-

    wania zwizane z dziaaniem i umoliwiaj opa-

    calne skalowanie w celu spenienia rosncych

    wymogw w zakresie wydajnoci.

    Po uruchomieniu technologie te wsppra-

    cuj ze sob w celu usunicia zoonoci

    i w pierwszej kolejnoci zablokowania cy-

    berprzestpcy przed wejciem do sieci oraz

    w celu wykrycia wszelkich przypadkw nie-

    autoryzowanego dostpu, jakie miay miej-

    sce w przeszoci. Tego rodzaju wielopo-

    ziomowe podejcie jest moliwe tylko dziki

    cisej integracji midzy poszczeglnymi

    elementami rozwiza i ma decydujce zna-

    czenie dla utrzymania najwyszego poziomu

    integralnoci sieci oraz zminimalizowania

    lub nawet wyeliminowania okien umoliwia-

    jcych uzyskanie dostpu, z ktrych chc

    skorzysta hakerzy. Po wykryciu nieautory-

    zowanego dostpu informacje o aktywno-

    ci w sieci mona nastpnie wykorzysta do

    przeprowadzenia analizy, dlaczego i w jaki

    sposb doszo do nieautoryzowanego do-

    stpu, przyspieszajc tym samym proces

    ograniczania wyciekw i odzysku.

    Chocia ochrona danych i bezpieczestwo

    sieci funkcjonuj na rnych poziomach

    w organizacji, nie mona zignorowa zwiz-

    kw midzy nimi. Bez zabezpieczonej sieci

    zdolnej do zablokowania zagroe i wykrycia

    nieautoryzowanego dostpu okazja, na jak

    liczy haker, bdzie dostpna wystarczajco

    dugo, aby doszo do naruszenia ochrony da-

    nych. Fortinet Security Fabric zapewnia wizj

    realizowan poprzez szereg rozwiza Forti-

    net, ktrej celem jest zapewnienie bezpiecznej

    podstawy wymaganej do uniemoliwienia po-

    jawiania si takich okazji i wspieranie ochro-

    ny danych w caej organizacji.

    21

  • Cho unijne rozporzdzenie o ochronie danych osobowych (GDPR)

    wejdzie w ycie dopiero w maju 2018 roku, ju dzi perspektywa

    jego przyszej implementacji wpywa na podmioty tworzce krajo-

    braz cyfrowej transformacji w Polsce i caej Europie. Do wymogw

    nowego prawa musz si zastosowa wszystkie przedsibiorstwa

    oraz instytucje przetwarzajce lub gromadzce dane osb prze-

    bywajcych w krajach UE. Dokument GDPR podkrela ogrom-

    ne znaczenie danych elektronicznych a jego wdroenie stawia

    przed organizacjami take wyzwania natury technologicznej. Aby

    mc respektowa prawa uytkownikw zapisane w nowym roz-

    porzdzeniu, przedsibiorstwa musz zagwarantowa m.in. sta

    dostpno danych w centrach, ktre su ich przechowywaniu

    i przetwarzaniu. Musz rwnie zapewni sobie narzdzia sku-

    tecznie chronice przed utrat danych i przestojami w dostpie

    do nich. Jednym z praw sformuowanych w rozporzdzeniu GDPR

    jest moliwo dania przez uytkownika dostpu do swoich da-

    nych, przechowywanych przez okrelon firm lub instytucj. Je-

    li obywatel bdzie chcia skorzysta z prawa dostpu do danych,

    administrator bdzie musia przekaza mu nie tylko informacje

    o kategoriach zbieranych danych osobowych, jak dzieje si obec-

    nie, ale rwnie wyda kopi danych podlegajcych przetwarzaniu.

    W przypadku, gdy firma utraci te informacje, np. w skutek awarii

    w centrum danych, bdzie naraona na dotkliwe konsekwencje

    prawne i kary finansowe. Dlatego ju dzi przedsibiorstwa powin-

    ny zainwestowa w modernizacj swojego zaplecza IT, tak by prze-

    twarzane dane byy zawsze dostpne na kade danie upowanio-

    nych do tego osb czy organw administracyjnych.

    Jak wskaza niedawny sonda ARC Rynek i Opinia, 52 proc. rodzi-

    mych przedsibiorcw nigdy nie syszao o GDPR, natomiast a 67

    proc. z nich nie zdaje sobie sprawy z tego, ile czasu pozostao na

    wdroenie rozporzdzenia. Std problem naley potraktowa po-

    wanie, podejmujc dziaania dostosowujce zaplecze IT do no-

    wych przepisw Unii Europejskiej.

    Komentarz Veeam Software na temat GDPR dla CIONET Krzysztof Rachwalski, Regional Director, Eastern Europe Veeam Software

    Materia przygotowany przez firm:

    22

  • Zarzdzanie i ochrona informacji w kontekcie GDPR

    GDPR, czyli nowa regulacja europejska

    General Data Protection Regulation, kt-

    ra wprowadza znaczce obostrzenia do-

    tyczce ochrony informacjizawierajcych

    dane osobowe. W szczeglnoci zakada

    data privacy by design and default tak,

    by prywatno bya norm a nie wyjt-

    kiem. Czy w takim razie musimy kom-

    pletnie przeprojektowa nasze systemy

    informatyczne i kultur organizacyjn, by

    w maju 2018 r. zapewni zgodno z wy-

    maganiami GDPR?

    Materia przygotowany przez firm:

    Od jakich krokw naley rozpocz przygotowania?

    01Wsppraca z Zarzdem 06

    Przeprowad inwentaryzacj procesw przetwarzania danych

    02Rozwa powoanie Inspektora Ochrony Danych

    07Odtwrz przepywy danych w ramach organizacji

    03Przejrzyj dotychczasowe polityki, instrukcje, materiay szkoleniowe itp

    08Zweryfikuj dotychczasowe umowy dot. przetwarzania danych osobowych

    04Zweryfikuj podstawy przetwarzania danych

    09Zweryfikuj podstawy przetwarzania danych

    05Rozwa skorzystanie z narzdzi w zakresie compliance

    Oce gotowo Twojej organizacji do

    rozporzdzenia GDPR z narzdziem GDPR

    Compliance Assessment dostpnym na stronie:

    www.gdprcomplianceassessment.com

    23

  • info_pl@cionet.com www.cionet.com

    Docz do spoecznoci CIONET Polska na LinkedIn:

    www.linkedin.com/company/cionet-polska

    Whats next.

    Premium Business Partners:

    Business Partners: