RODO - Що це таке?
Європейський парламент та Рада Європейського Союзу прийняли Загальний регламент про захист даних RODO (GDPR General Data Protection Regulation). Він регулює захист фізичних осіб у зв'язку з обробкою їхніх персональних даних, що змінює принципи, встановлені чинними правовими актами, які регулюють захист персональних даних. GDPR також вносить зміни до правил, передбачених польським законом GIODO. Принципи регламенту набувають чинності 25 травня 2018 року.
Що змінюється з набуттям чинності RODO?
- Загальний принцип збору персональних даних. "Конфіденційність за задумом" означає, що будь-який суб'єкт, який обробляє дані фізичних осіб, повинен забезпечити як їхню технічну безпеку (захист від знищення, несанкціонованої зміни або несанкціонованого доступу, так і належний санкціонований доступ), так і права особи на належне розпорядження своїми даними.
- Персональні дані розглядаються як актив фізичної особи, яка має всі права, як у випадку з майновими правами, а їх додавання до будь-якої бази даних рівнозначне довіренню їх суб'єкту, і цей суб'єкт несе за них повну відповідальність.
- Фінансова відповідальність обробника даних збільшується до 20 мільйонів євро або 4% від доходу за попередній рік.
- Оскільки кожен суб'єкт несе відповідальність за персональні дані, повідомлення не вимагається.
- Кожна нова або вже існуюча система реєстрації персональних даних повинна бути захищена і оброблятися таким чином, щоб дані, зібрані в ній, були в безпеці вже на етапі проектування і впровадження даної бази даних, незалежно від того, чи було про неї попередньо повідомлено GIODO.
Що означає RODO на практиці?
Що потрібно зробити, щоб уникнути ризику покарання за RODO?
- Визначте, які персональні дані ви зберігаєте на вашому підприємстві, веб-сайті, веб-порталі чи форумі.
- Перевірте, чи відповідають RODO зобов'язання компанії перед особами, які надають свої дані, описані в її положеннях та умовах і контрактах.
- Переконатися, що особи, чиї дані ми зберігаємо в наших файлах, надали свою інформовану згоду на зберігання їхніх даних, і, якщо попередні умови не відповідали RODO, звернутися за поновленою згодою.
- Забезпечувати фізичну безпеку наборів даних, які ми зберігаємо, як на рівні додатків, так і на рівні мережі, щоб несанкціоновані особи не могли отримати доступ до даних, які там зберігаються. Ми пропонуємо нашим клієнтам необхідні для цього заходи, такі як сканери вразливостей або брандмауери.
- Перевірте, чи захищає оператор, який забезпечує підключення до серверів, наше з'єднання від DDOS-атак, щоб користувачі могли отримати доступ до своїх даних і керувати ними.
- Впроваджувати систематичний і періодичний моніторинг безпеки на основі фіксованої процедури, яка з часом вдосконалюється.
- У разі витоку даних, що призводить до високого ризику порушення прав і свобод фізичних осіб, контролер також буде зобов'язаний інформувати зацікавлених осіб про ризик, а в разі значного витоку даних - також через засоби масової інформації.
Чи відповідають послуги DataHouse.pl вимогам RODO.
Наш багаторічний досвід роботи як оператора дата-центру, так і телекомунікаційного оператора з самого початку вимагав найвищих стандартів безпеки даних. Всі послуги, які ми пропонуємо, повністю відповідають як поточним вимогам GIODO, так і вимогам RODO, що набувають чинності. Як оператор, ми з самого початку застосовуємо принцип "конфіденційності за задумом". Крім того, наша пропозиція включає всі технічні інструменти, необхідні для належної реалізації принципів RODO, такі як:
- Системи періодичного моніторингу безпеки.
- Системи моніторингу безперервності бізнесу.
- Системи міжмережевого захисту на рівні мережі та додатків.
- Cистеми захисту від DDOS-атак.
- Розширені системи фільтрації трафіку.
- Системи представлення даних на основі "замків даних".
- Забезпечуємо фізичну безпеку на рівні доступу, електроживлення, умов навколишнього середовища, протипожежного захисту.
- Забезпечуємо санкціонований і каталогізований фізичний доступ до пристроїв, що містять персональні бази даних.
- Забезпечуємо системи сповіщення про загрози.
- Системи криптографічного шифрування передачі даних.
- Системи віддаленого копіювання захищених даних.
Всі ці елементи необхідні для правильної технічної реалізації вимог нового регламенту RODO.Які персональні дані є чутливими даними в розумінні RODO?
Персональні дані в розумінні RODO (чутливі дані) включають в себе наступне:
- Основні дані: ім'я, прізвище, адреса проживання, ідентифікаційний номер (PESEL, NIP, номери інших особистих документів)
- Дані про расу та релігію
- Дані, що визначають фізичну, фізіологічну, генетичну, психічну, економічну, культурну або соціальну ідентичність фізичної особи
- Дані про поточне або минуле географічне місцезнаходження фізичної особи.
- Інтернет та електронні ідентифікатори фізичної особи.
- Політичні погляди
- Членство в профспілках
- Дані про сексуальність та сексуальну орієнтацію.
- Дані про стан здоров'я
- Біометричні дані
RODO проти ISO 27001
Чи обов'язково організація повинна бути сертифікована за стандартом ISO 27001, щоб відповідати вимогам RODO?
Відповідь проста: ні формально, ні технічно RODO не зобов'язує організацію мати будь-яку сертифікацію, включаючи ISO 27001 або ISO 9001. Багато компаній, що займаються такою сертифікацією, пов'язують RODO з цими сертифікатами, що не має жодного юридичного обґрунтування і не є вимогою будь-якого виду. Звичайно, можна припустити, що компанія, яка має механізми, необхідні для сертифікації ISO, легко виконає вимоги RODO. Однак слід зазначити, що вимоги стандарту ISO 27001 та RODO мало чим перетинаються.
Які персональні дані перестануть бути конфіденційними після набуття чинності RODO?
Як тільки правила RODO набудуть чинності, інформація про конфіденційні дані (наразі описана в правилах UODO) перестане бути конфіденційною інформацією:
- Філософські переконання,
- Релігійна приналежність,
- Партійну приналежність,
- Судимості,
- Судимості, вироки та штрафи
- Інші рішення, прийняті в судовому або адміністративному порядку
- Залежності
Чи потрібно буде повідомляти GIODO про бази персональних даних після того, як правила RODO набудуть чинності?
Після набуття чинності правил RODO бази персональних даних не підлягатимуть повідомленню, але будь-яка база персональних даних повинна відповідати критеріям, встановленим Регламентом RODO, і відповідальність за її безпеку покладатиметься на власника бази даних або, частково, на "обробника бази даних".
Чи потрібна функція Адміністратора даних після набуття чинності RODO?
RODO не вимагає і не визначає поняття Адміністратора персональних даних. Натомість він запроваджує обов'язкову функцію інспектора з питань захисту персональних даних.
Обов'язки Інспектора із захисту даних значно розширені порівняно з обов'язками Адміністратора персональних даних. Зокрема, до обов'язків Інспектора входить повідомлення про випадки порушення системи реєстрації даних, а також вирішення запитів від осіб, чиї дані зберігаються в базі даних.