Czym jest GDPR/RODO i jak się do niego przygotować?

25 maja 2018 wejdzie w życie nowa regulacja UE o nazwie GDPR (General Data Protection Regulation) i będzie obowiązywała we wszystkich krajach UE. Większość firm w Polsce będzie objętych tą regulacją. Czy twoja firma jest przygotowana na nadchodzące zmiany dotyczące ochrony danych osobowych?

Czym jest GDPR? Kogo dotyczy?

Regulacja o nazwie GDPR, a w Polsce nosząca nazwę RODO (Rozporządzenie o Ochronie Danych Osobowych) dotyczyć będzie ochrony danych osobowych, które są gromadzone i/lub przetwarzane przez organizacje (firmy lub instytucje publiczne) działające na terenie UE. Ustawa RODO w Polsce zastąpi dotychczas obowiązującą ustawę o ochronie danych osobowych.

Podstawową i niepodważalną kwestią jest fakt, że regulacja sama w sobie nie jest zbiorem gotowych rozwiązań, które muszą zostać zastosowane w instytucji. Ustawa nie podaje konkretnych rozwiązań problemów jakie generują się w związku z ochroną danych osobowych, lecz pozwala dostosować jego wymogi do skali i krytyczności danych osobowych.

Regulacje będą dotyczyły każdego podmiotu przetwarzającego dane osobowe na terenie UE począwszy od działalności jednoosobowych po duże międzynarodowe korporacje.

Czym są „dane osobowe” w rozumieniu nowej ustawy o ochronie danych osobowych? Danymi osobowymi są wszystkie dane dzięki którym jesteśmy wstanie w bezpośrednio sposób powiązać dane z jej „właścicielem”. Na przykład, danymi osobowymi nie są nagrania z monitoringu sklepu spożywczego, lecz są już nagranie w połączeniu z transakcją kartą zbliżeniową pozwalającą na identyfikację osoby z zapisu nagrania video. W rozumieniu nowej ustawy o ochronie danych osobowych dane, które mogę być osobowymi, np.: transakcje w sklepie internetowym, pliki cookie, adres IP, imię/nazwisko/pesel, zdjęcie w połączeniu z wartościami pozwalającymi zidentyfikować osobą (zdjęcie osoby w samochodzie – np. numer rejestracyjny pojazdy) itd.

Konsekwencje nie podporządkowania się regulacji.

Aktualna ustawa o ochronie danych osobowych pozwala nałożyć na organizację za pośrednictwem GIODO jednorazową maksymalną kary w wysokości 50 tyś zł. Nowa ustawa będzie zawierała nieporównywalnie wyższe kary za niespełnienie jej wymagań. Najwyższą karą za nieprzestrzeganie wymagań ustawy GDPR/RODO jest 20 mln EUR lub 4% globalnych obrotów firmy.

Szczegóły GDPR/RODO

Szczegółowe normy przetwarzania danych osobowych w odniesieniu do regulacji UE oraz różnice w stosunku do aktualnej regulacji GIODO.

Kiedy dane osobowe mogę być przetwarzane? - zgodności z prawem:

  • gdy jest zgoda osoby, której dane mają być przetwarzane,
  • gdy jest to niezbędne do wykonania umowy – dane są wymagane do np. realizacji zlecenia umowy kupna-sprzedaży,
  • gdy jest to niezbędne ze względu na inne prawo – instytucje publiczne,
  • gdy jest to niezbędne dla interesu publicznego – policja, wojsko, służby itd.

Rzetelności i prawidłowości przetwarzania danych osobowych

Podstawową kwestią związaną z ochroną danych osobowych jest to, że dane, które są gromadzone lub przetwarzane muszą być poprawne, aktualne a ich przetwarzanie powinno przebiegać bez zakłóceń. Innymi słowy regulacja nakłada na organizację wymóg posiadania wdrożonych środków technicznych i organizacyjnych pozwalających na modyfikacje/korektę danych, zmniejszenie ryzyka błędów oraz usunięcie nieprawidłowych danych. Rozwiązaniem technicznym pozwalające spełnić „zasadę rzetelności i poufności” mogą być systemy umożliwiające szyfrowanie przechowywanych danych, jednym z przedstawicieli tych rozwiązań są takie systemy jak np.:

  • IBM Spectrum Protect – wysokiej klasy rozwiązanie do backupu danych zawierające szereg funkcjonalności oraz posiada możliwość zaszyfrowania utworzonych backupów algorytmem AES 256.
  • IBM Spectrum Virtualize – obsługuje szyfrowanie danych w spoczynku, a także chroni przed potencjalnym narażeniem wrażliwych danych użytkownika i metadanych użytkowników przechowywanych na uszkodzonych, zagubionych lub skradzionych urządzeniach pamięci masowej.
  • IBM Spectrum Scale – bardzo praktyczny oraz elastyczny, globalny system plików. W odniesieniu do GDPR posiada przydatną funkcją jaką jest polityka automatyzacji ruchu danych między
różnymi warstwami przechowywania. Rozwiązanie oferuje również szyfrowanie plików, które zapewnia bezpieczne przechowywanie jak i bezpieczne usuwanie danych.

IBM jako jedna z niewielu firm oferuje od dawna rozwiązania pozwalające zabezpieczać dane i nie są to produkty, przygotowane tylko pod tą konkretną dyrektywę.

Ograniczenia celu przetwarzania danych osobowych

Dane osobowe mogą być zbierane tylko i wyłączenie w ściśle określonym celu, na który zgodę wyraża osoba której dane będą przetwarzane. Każdy nowy cel przetwarzania danych osobowych, który nie był zawarty w bieżącej umowie pomiędzy stronami wymaga uzyskania kolejnej akceptacji.

Powyższe wymagania dotyczą również zgód marketingowych i profilowania danych.

Minimalizacji danych

Zakres pozyskiwanych danych musi być adekwatny i ograniczony do minimum niezbędnego dla realizacji wskazanego celu: ma zawierać tylko niezbędne dane do realizacji danego celu oraz powinien zostać z góry zdefiniowany okres czasu, w którym będą przetwarzane dane osobowe.

Integralności i poufności

Zasada integralności i poufności danych osobowych bezpośrednio odnosi się do bezpieczeństwa danych osobowych, które są przetwarzane przez organizacje. Aby firma spełniała założenia regulacji powinna:

  • zagwarantować odpowiedni poziom bezpieczeństwa przetwarzanych danych osobowych,
  • zagwarantować, że dane nie zostaną w sposób nieautoryzowany usunięte, dodane, zmodyfikowane czy ujawnione,
  • gwarantować domyślną ochronę danych.

Jest to jeden z podpunktów, który wymaga użycie środków technicznych do realizacji konkretnego punktu regulacji. Godnymi uwagi z możliwych rozwiązań, które pozwolą zapewnić integralność i poufność danych są np. systemy typu SIEM takie jak: IBM QRadar oraz Database Firewall - np. IBM Guardium.

IBM QRadar - system typu SIEM, który konsoliduje dane z logów systemów oraz dane o ruchu sieciowym. System pozwala korelować słabe punkty w infrastrukturze i na tej podstawie ułatwiać priorytetyzacje najbardziej krytycznych elementów infrastruktury, co wpływa pozytywnie na efektywność pracy administratora a bezpośrednio przekłada się na poziom bezpieczeństwa infrastruktur IT. Główne funkcje systemu QRadar SIEM:

  • zapewnia widoczność całej infrastruktury informatycznej w kontekście zagrożeń i ustalania ich priorytetów,
  • ogranicza liczbę alertów i określa ich priorytety,
  • efektywne wykrywanie zagrożeń i reagowanie na nie,
  • generuje szczegółowe raporty o dostępie do danych i aktywności użytkowników.

IBM Security Guardium - to rodzina rozwiązań zapewniających zabezpieczenie i monitorowanie danych w czasie bliskim rzeczywistemu. Produkty z serii Guardium wspierają zapewnienie bezpieczeństwa, prywatności i integralności informacji w centrum przetwarzania danych. Poniżej zostały wymienione główne produkty z linii Guardium:

  • IBM Security Data Privacy for Hadoop – pozwala na deidentyfikację oraz monitorowanie danych objętych szczególną ochroną w środowiskach typu „big data”,
  • IBM Security Guardium Data Protection for Databases – monitoruje aktywność pod kątem wykrywania nietypowych działań na wrażliwych danych, blokuje dostęp osób nieupoważnionych do danych, alarmuje o podejrzanych działaniach, automatyzuje procesy zapewnienia zgodności z wymogami formalnymi i chroni przed zagrożeniami wewnętrznymi i zewnętrznymi,
  • IBM Security Guardium Data Protection for Files – spełnia założenia powyższego rozwiązania z uwzględnieniem monitorowania danych w plikach oraz systemach plików z wyłączeniem baz danych.
  • IBM Security Guardium Express Data Protection for Databases - umożliwia monitorowanie aktywności w bazach danych pod kątem zgodności dostępu.
  • IBM Security Guardium Vulnerability Assessment – skaner infrastruktury baz danych zapewniający wykrycie słabych punktów zabezpieczeń i zasugerowanie działań zaradczych.
  • IBM Security Guardium for Applications – ochrona danych poufnych i/lub objętych szczególną ochroną w aplikacjach WWW, nie wymaga modyfikacji samej aplikacji.

W celu zwiększenia poziomu bezpieczeństwa organizacji należy docelowo rozważyć wprowadzenia złożonych i kompleksowych rozwiązań bezpieczeństwa, które pozwolą uszczelnić pozostałe słabe punkty („weak points”) takich jak np. ochrona urządzeń końcowych (systemy tupu „End Point Security”), ochrona urządzeń mobilnych, NAC itd. Dodatkową dobrą polityką firmy są okresowe badania aktualnego rzeczywistego poziomu bezpieczeństwa organizacji za pomocą testów penetracyjnych skupionych nie tylko na infrastrukturze IT, lecz również na aspektach socjotechnicznych.

Rozliczalności

Administrator danych osobowych powinien umieć wykazać, że stosowane przez niego metody (wdrożone środki techniczne i/lub organizacyjne) są zgodne z rozporządzeniem oraz są skuteczne. Jedna z podstawowych ale nie najbardziej efektywnych metod jest tworzenie skrupulatnej dokumentacji, lecz w przypadku złożonych infrastruktur należałoby się zastanowić nad wdrożeniem odpowiednich mechanizmów pozwalających usprawnić ten proces. Wdrożenie środków technicznych pozwala znacznie zautomatyzować i uprościć pracę administratora danych osobowych oraz ułatwić kontrolowanie przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Narzędzia typu IBM QRadar i IBM Guardium pozwalają generować raporty, które są bezpośrednimi wynikami skuteczności wdrożonych środków technicznych oraz pośrednim wynikiem wdrożenia środków proceduralnych w organizacji.

Przejrzystości umów dotyczących przetwarzania danych osobowych

Umowy dotyczące przetwarzania danych osobowych powinny być sformułowane prostym oraz zrozumiałem językiem, domyślnie oznacza to iż umowy mają zawierać krótkie komunikaty i nie mogą zawierać informacji umieszczonych tzw. „drobnym drukiem”.

Kluczowe daty i liczby

4 maja 2016 roku – publikacja regulacji GDPR

25 maja 2018 roku – regulacja wejdzie w życie na teranie całej UE

72 godziny – tyle czasu od momentu wykrycia zdarzenia posiada administrator danych osobowych na zgłoszenie incydentu bezpieczeństwa bezpośrednio zagrażającemu reputacji osób, których dane są przetwarzane, do odpowiedniego organu (w przypadku Polski organem odpowiedzialnym za regulacje związaną z ochroną danych osobowych jest GIODO)

20 mln EUR lub 4% (globalnych obrotów firmy) – w takiej wysokości sankcje grożą firmom, które nie dostosują się do nowych regulacji

Dowiedz się więcej, ściągnij Przewodnik po GDPR - http://gdpr.vernity.pl/

Kontakt

Vernity Sp. z o.o.

ul. Polska 60

60-595 Poznań

Telefon: +48 61 624 34 04

Fax: +48 61 646 77 56

E-mail: [email protected]

www.vernity.pl