Unijne Rozporządzenie o Ochronie Danych Osobowych (RODO)
RODO - Czym jest ?
Parlament Europejski i Rada Unii Europejskiej przyjęły Rozporządzenie Ogólne o Ochronie Danych Osobowych RODO (ang. GDPR General Data Protection Regulation). Reguluje ono ochroną osób fizycznych w związku z przetwarzaniem ich danych osobowych, która zmienia zasady ustalane obecnymi aktami prawnymi regulującymi ochronę danych osobowych. RODO zmienia też zasady wynikające z polskiej ustawy GIODO. Zasady rozporządzenia wchodzą w życie 25 maja 2018 roku.
Co zmienia się wraz z wejściem w życie RODO ?
- Ogólna zasada zbierania danych osobowych. "Privacy by design" oznacza iż każdy podmiot przetwarzający dane osób fizycznych musi zadbać zarówno o ich bezpieczeństwo techniczne (ochronę przed ich zniszczeniem, nieuprawnioną zmianą czy nieuprawnionym dostępem, ale także właściwą uprawnioną dostępnością), jak i o prawa osoby fizycznej do właściwego zarządzania swoimi danymi.
- Dane osobowe są traktowane jak dobro osoby fizycznej, która ma wszelkie prawa takie jak w przypadku prawa własności, a ich dodanie do jakiejkolwiek bazy danych jest równoznaczne z powierzeniem jej danemu podmiotowi i ten podmiot ponosi za nie pełną odpowiedzialność.
- Odpowiedzialność finansowa podmiotu przetwarzającego dane zwiększa się do 20 mln EURO lub 4 % przychodu za poprzedni rok.
- Ponieważ na każdym podmiocie spoczywa odpowiedzialność za dane osobowe nie jest wymagane jakiekolwiek zgłoszenie.
- Każdy nowy zbiór danych osobowych lub obecnie istniejący musi być tak chroniony i obsługiwany by dane tam zgromadzone były bezpieczne już na etapie projektowani i wdrożenia danej bazy , niezależnie czy uprzednio była ona zgłaszana do GIODO.
Co w praktyce oznacza RODO?
Co trzeba zrobić by nie narażać się na ryzyko kar wynikających z
RODO ?
- Zidentyfikować jakie dane osobowe przechowujemy w swoim przedsiębiorstwei, na stronie internetowej, portalu internetowym, lub forum.
- Sprawdzić czy zobowiązania przedsiębiorstwa wobec osób fizycznych udzielających swoich danych opisane w regulaminach i umowach są zgodne z RODO.
- Sprawdzić czy osoby fizyczne, których dane utrzymujemy w naszych zbiorach wyraziły świadomą zgodę na ich utrzymywanie, a w przypadku, gdy wcześniejsze zapisy regulaminu nie były zgodne z RODO wystąpić o ponowna zgodę.
- Zadbać o bezpieczeństwo fizyczne zbiorów danych, które utrzymujemy zarówno na poziomie aplikacyjnym, jak i sieciowym. tak by nieuprawnione osoby nie miały dostępu do danych tam zgromadzonych. Niezbędne do tego środki takie jak exploit scannery, czy firewalle oferujemy naszym klientom.
- Sprawdzić, czy operator dostarczjący łacznośc do serwerów zabezpiecza nasze łacze przed atakami DDOS, by zapewnić użytkownikom dostęp i zarządzanie swoimi danymi.
- Wdrożyć systematyczny i periodyczny monitoring bezpieczeństwa oparty na stałej ale ulepszanej w czasie procedurze.
- W przypadku, gdy nastąpi wyciek danych skutkujący wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator będzie miał obowiązek poinformowania o zagrożeniu także osoby, których to dotyczy, a przy wycieku znacznej ilość danych – także poprzez media.
Czy usługi DataHouse.pl spełniają wymogi RODO.
Wieloletnie doświadczenie zarówno jako operatora centrum danych, jak i operatora telekomunikacyjnego od samego początku wymogło na nas najwyższe standardy bezpieczeństwa danych. Wszystkie oferowane przez nas usługi w pełni spełniają zarówno obecne wymogi
GIODO jak i wchodzące w życie wymogi
RODO. Jako operator od samego początku stosowaliśmy zasadę "privacy by design". Dodatkowo w naszej ofercie znajdują się wszelkie techniczne narzędzia niezbędne do prawidłowego wdrożenia zasad
RODO takie jak:
- Systemy periodycznego nadzoru bezpieczeństwa.
- Systemy monitoringu ciągłości działania.
- Systemy Firewall na poziomie sieci i aplikacji.
- Systemy mitygacji ataków DDOS.
- Systemy zaawansowanego filtrowania ruchu.
- Systemy prezentacji danych w oparciu o "śluzy danych"
- Zapewniamy bezpieczeństwo fizyczne na poziomie dostępu, zasilania, warunków środowiskowych, ochrony przeciwpożarowej.
- Zapewniamy autoryzowany i katalogowany dostęp fizyczny do urządzeń utrzymujących bazy danych osobowych.
- Zapewniamy systemy raportowania zagrożeń.
- Kryptograficze systemy kodowania transmisji.
- Systemy zdalnej kopii bezpieczeństwa.
Wszystkie te elementy są niezbędne do prawidłowego wdrożenia technicznego wymogów stawianych przez nowe rozporządzenie RODO.
Jakie dane osobowe są danymi wrażliwymi w rozumieniu RODO?
Daneo osobowe w rozumieniu RODO (dane wrażliwe) obejmują następujące zagadnienia:
- Dane podstawowe : Imię, nazwisko, adres zamieszkania, numer identyfikacyjny (PESEL, NIP, numery innych dokumentów osobstych)
- Dane o rasie i wyznaniu
- Dane określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej
- Dane o bieżącej lub przeszłej lokalizacji geograficznej osoby fizycznej.
- Identyfikatory internetowe i elektroniczne osoby fizycznej.
- Poglądy polityczne
- Przynależnośc do związków zawodowych
- Dane o seksualności i orientacji seksualnej.
- Dane o stanie zdrowia
- Dane biometryczne
RODO a ISO 27001
Czy do zgodności z RODO niezbędne jest posiadanie przez podmiot certyfikatu ISO 27001?
Odpowiedź jest prosta: Ani formalnie, ani technicznie RODO nie zobowiązuje podmiotu do posiadania jakiegokolwiek certyfikatu, w tym ISO 27001 czy ISO 9001. Wiele firm zajmujących się taką certyfikacja wiąże RODO z tymi certyfikatami, co nie ma prawnego uzasadnienia, ani nie jest jakimkolwiek wymogiem. Można oczywiście przypuszczać, że przedsiębiorstwo, które ma wdrożone mechanizmy wymagane do certyfikatu ISO w łatwy sposób dostosuje się do wymagań RODO. Należy jednak zwrócić uwagę iż wymogi wynikające z normy ISO 27001 w niewielkim stopniu pokrywają się z wymogami stawianymi przez RODO.
Jakie dane osobowe przestaną mieć charakter danych wrażliwych po wejściu w życie RODO?
Po wejściu w życie zasad RODO przestaną mieć charakter danych wrażliwe (obecnie opisanych w zasadach UODO) informacje o:
- przekonaniach filozoficznych,
- przynależności wyznaniowej ,
- przynależności partyjnej,
- skazaniach,
- orzeczeniach o ukaraniu i mandatach karnych,
- innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym
- nałogach
Czy bazy danych osobowych po wejściu w Życie zasad RODO będzie trzeba zgłaszać do GIODO?
Po wejściu w życie zasad RODO bazy danych osobowych nie będą podlegały zgłoszeniu, ale każda baza danych osobowych musi spełniać kryteria określane przez rozporządzenie RODO, a odpowiedzialność za jej bezpieczeństwo spoczywa na właścicielu bazy lub częściowo na "procesorze bazy danych"
Czy funkcja Administratora Danych osobowych jest niezbędna po wejściu w życie RODO ?
RODO nie wymaga i nie definiuje pojęcia Administratora Danych Osobowych. Za to wprowadza obligatoryjną funkcję Inspektora Danych Osobowych.
Obowiązki Inspektora danych osobowy są znacznie rozszerzone w stosunku do obowiązków Administratora danych osobowych. W szczególności to na Inspektorze spoczywa odpowiedzialność za informowanie o incydentach naruszenia zbioru danych, oraz na rozwiązywaniu zgłoszeń osób których dane są przechowywane w bazie.