Ochrona danych osobowych w przedsiębiorstwie

Wraz z wejściem w życie rozporządzenia o ochronie danych osobowych (RODO) firmy zobowiązane są do bezwzględnego zapewnienia bezpieczeństwa przetwarzanym danym osobowym, a tym samym do wdrożenia rozwiązań IT, które pomogą im dostosować posiadaną infrastrukturę sieciową do wymagań nałożonych przez prawo unijne

ochrona danych osobowych
Czego dotyczą główne zmiany?

 

Głównymi założeniami RODO są: ulepszenie prawa ochrony danych osobowych, zwiększenie obowiązku ochrony danych oraz wprowadzenie obowiązku raportowania o wszelkich wyciekach danych. W przypadku niedostosowania się do tych wymagań na przedsiębiorstwa zostaną nałożone znaczące kary finansowe.

Dane osobowe

Za dane osobowe przyjmuje się wszelkie informacje mogące posłużyć do identyfikacji bezpośredniej (imię i nazwisko) lub pośredniej, czyli umożliwiające wskazanie konkretnej osoby, do której się odnoszą (np. adresy IP, identyfikatory urządzeń mobilnych).

Sześć zasad RODO

  • wymaganie transparentności w procesach przetwarzania i użycia danych osobowych
  • ograniczenie przetwarzania danych osobowych tylko i wyłącznie do wcześniej określonych i zdefiniowanych celów
  • ograniczenie zbierania i przechowywania danych osobowych tylko i wyłącznie do wcześniej określonych i zdefiniowanych celów
  • prawo do korekty lub usunięcia danych osobowych
  • ograniczenie przechowywania identyfikowalnych danych osobistych tylko do czasu do jakiego jest to konieczne
  • zapewnienie odpowiedniej ochrony danych osobowych.

Jakie wymagania stoją przed przedsiębiorstwami?

Wszystkie przedsiębiorstwa będą miały obowiązek:

  • ochrony danych osobowych
  • informowania o zaistniałych wyciekach danych osobowych
  • uzyskania stosownych zgód na przetwarzanie danych osobowych
  • ewidencjonowania sposobu przetwarzania danych osobowych
  • przedstawienia jasnej informacji o zbieraniu danych osobowych
  • przedstawienia celu i sposobu przetwarzania danych
  • zdefiniowania okresu przetwarzania danych oraz polityk ich usuwania
  • przeszkolenia pracowników z zakresu sposobu przetwarzania danych
  • audytowania i uaktualniania polityk odnoszących się do danych
  • wyznaczenia DPO (Data Protection Officer) jeżeli to konieczne
  • stworzenia i zarządzania umowami zgodnymi z RODO.

Osobom prywatnym będzie przysługiwać prawo do:

  • dostępu do swoich danych osobowych
  • poprawy błędów w swoich danych osobowych
  • usunięcia swoich danych osobowych
  • sprzeciwu wobec przetwarzania swoich danych osobowych
  • przesyłania swoich danych osobowych.

Zgoda na przetwarzanie danych

Oświadczenie o wyrażeniu zgody, przygotowane przez administratora, powinno być napisane prostym językiem, mieć jasną i zrozumiałą formę. Osoba, która dobrowolnie wyraża zgodę na przetwarzanie danych, powinna również znać tożsamość administratora oraz cele przetwarzania.

Klauzula może mieć dowolną formę, ale powinna zawierać określone elementy, jak wspomniane wyżej cel przetwarzania i tożsamość administratora, a także zakres przetwarzania. Przykładowa klauzula może mieć następującą formę:

„Administratorem danych jest NAZWA FIRMY z siedzibą MIASTO, KOD POCZTOWY, ULICA. Dane osobowe przetwarzane są w celach związanych z przesyłaniem informacji handlowych i marketingowych drogą elektroniczną. Podanie danych osobowych jest niezbędne do realizacji wyżej wymienionych celów. Każda osoba ma prawo wglądu w swoje dane, możliwość ich poprawienia oraz usunięcia”.

RODO – od czego zacząć?

Inwentaryzacja danych – zdefiniuj, jakimi danymi osobowymi dysponujesz i gdzie one się znajdują

Zarządzanie – określ, w jaki sposób dane osobowe będą/są używane i kto może mieć do nich dostęp

Ochrona – ustanów formy zabezpieczenia do zapobiegania i wykrywania naruszeń, odpowiadania na wykryte podatności

Raportowanie – stwórz dokumentację dotyczącą tego, kto ma dostęp do danych oraz procesów w przypadku wykrycia naruszenia.

RODO i chmura

Dlaczego warto przenieść przetwarzanie danych do chmury? Ponieważ oznacza to przeniesienie ryzyka związanego z przetwarzaniem danych na dostawcę chmury.

Każda osoba, która poniosła szkodę zarówno majątkową, jak i niemajątkową w wyniku naruszenia bezpieczeństwa swoich danych, ma prawo ubiegać się o odszkodowanie za poniesioną szkodę od administratora lub podmiotu przetwarzającego dane. Natomiast podmiot przetwarzający dane odpowiada za szkody wtedy, gdy nie dopełnił obowiązków wynikających z rozporządzenia o ochronie danych osobowych.

Źródło: Microsoft

Więcej na temat przykładowych rozwiązań chmurowych Microsoft w kontekście RODO piszemy tutaj.

W tym:

  • rozwiązania umożliwiające inwentaryzację danych
  • rozwiązania do zarządzania danymi
  • narzędzia ochronne i zapobiegające atakom oraz wyciekom danych
  • narzędzia pozwalające na raportowanie.
Podobał Ci się artykuł? Podziel się nim ze znajomymi!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *