EU GDPR

Ogólne Rozporządzenie o Ochronie Danych Osobowych UE

Data wejścia w życie: 25 maja 2018 r. Od tego dnia na organizacje niespełniające wymagań tego rozporządzenia będą nakładane wysokie grzywny.

Ogólne Rozporządzenie o Ochronie Danych Osobowych UE (EU GDPR)

Jedno niewielkie, ale niezwykle ważne uzupełnienie działań nakierowanych na osiągnięcie zgodności z rozporządzeniem GDPR: zapewniające zgodność z nowymi przepisami szyfrowane pamięci firmy Kingston

Zarządzanie zagrożeniami i redukcja ryzyka

Dostępne modele dopasowane do każdych potrzeb: od użytkowników indywidualnych przez korporacyjnych po rządowych.

  • Szyfrowane pamięci USB w pełni zgodne z nowymi przepisami
  • Prostota i łatwość użycia, niewymagane żadne sterowniki ani oprogramowanie
  • Gwarancja szybkiego i skutecznego wdrożenia
EUGDPR Compliance Logos
Keep Compliant with Kingston

EU GDPR: Pięć najważniejszych punktów, o których należy pamiętać

  1. Szyfrowanie danych – standardy bezpieczeństwa przetwarzania danych (Artykuł 32, Bezpieczeństwo przetwarzania)
  2. Wyznaczenie inspektora ochrony danych
  3. Wdrożenie programu cyberbezpieczeństwa
  4. Udokumentowanie zakresów odpowiedzialności
  5. Zrozumienie pojęcia zgody

Co należy wiedzieć?

Jak to wpływa na moją firmę?

  • Na każdym przedsiębiorstwie pracującym z informacjami dotyczącymi obywateli UE spoczywa obowiązek zapewnienia zgodności z wymaganiami nowych regulacji.
  • Warto zwrócić uwagę, że zasady te dotyczą zarówno administratorów, jak i podmiotów przetwarzających dane – czyli rozporządzenie GDPR obejmie także dane przechowywane w chmurach.
  • Rozporządzenie obowiązuje wszystkie organizacje – z i spoza UE – które przetwarzają dane obywateli UE.
  • Organizacje przetwarzające lub przechowujące informacje identyfikowalne osobowo są zobowiązane do wdrożenia odpowiednich środków zabezpieczających, zapobiegających utracie danych osobowych.

Jak można zapewnić zgodność?

  • Samoocena - Przedsiębiorstwa zatrudniające co najmniej 250 osób mają obowiązek powołać inspektora ochrony danych. Organizacje muszą przeprowadzić wewnętrzne przeglądy sposobów przetwarzania informacji identyfikowalnych osobowo swoich pracowników i klientów.
  • Sporządzenie mapy wewnętrznych i zewnętrznych produktów / urządzeń przechowujących dane - Należy prowadzić rejestr urządzeń wykorzystywanych w przedsiębiorstwie do przechowywania danych, szyfrować te dane oraz objąć wspomniane urządzenia polityką bezpieczeństwa danych. Dotyczy to między innymi: serwerów, dysków twardych, dysków SSD, pamięci flash USB, komputerów i urządzeń mobilnych.
  • Inwentaryzacja - Należy ocenić ilość wszystkich przetwarzanych danych osobowych.
  • Likwidacja danych - Należy usunąć archiwa niepotrzebnych informacji identyfikowalnych osobowo.
  • Administratorzy informacji - Należy przeanalizować zagrożenia dla prywatności i wykonać oceny skutków.
  • Umowy - Już teraz można zapewnić sobie zgodność z przepisami wchodzącymi w życie w maju 2018 – wystarczy wdrożyć odpowiednie polityki.
  • Naruszenie ochrony danych - Rozporządzenie wymaga poinformowania o naruszeniu w ciągu 72 godzin.

Rozwiązanie - wdrożenie odpowiednich zabezpieczeń, standardów technicznych i polityk, takich jak szyfrowanie danych osobowych / informacji identyfikowalnych osobowo w celu ograniczenia ryzyka wystąpienia braku zgodności. (Dowiedz się więcej – Najlepsze praktyki dotyczące standardów szyfrowanych pamięci USB)

Szyfrowanie danych

  • Szyfrowana pamięć USB marki Kingston i IronKey to jedno z rozwiązań pozwalających wprowadzić jednolite standardy szyfrowania danych.
  • Wymagane jest wdrożenie „odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi (...) szyfrowanie danych osobowych” (Artykuł 32, Bezpieczeństwo przetwarzania)
  • W propozycji wzywa się organizacje do szyfrowania danych wrażliwych – w trakcie tranzytu i ich przechowywania.
  • Organizacje przetwarzające lub przechowujące informacje identyfikowalne osobowo rezydentów UE są zobowiązane do wdrożenia odpowiednich środków zabezpieczających, zapobiegających utracie danych osobowych.
  • Organizacje mają obowiązek uwzględniać te poprawione standardy przetwarzania danych w umowach zawieranych z zewnętrznymi usługodawcami.

Rozszerzony zasięg terytorialny (właściwość eksterytorialna)

Prawdopodobnie największa zmiana w otoczeniu regulacyjnym prywatności danych.

  • Poszerzona jurysdykcja rozporządzenia GDPR dotyczy wszystkich przedsiębiorstw przetwarzających dane osób przebywających na terenie Unii, których te dane dotyczą, niezależnie od lokalizacji przedsiębiorstwa.

Powiadomienie o naruszeniu ochrony danych

Jeśli to możliwe, powiadomienia o naruszeniu ochrony danych należy przedstawiać w ciągu 72 godzin od stwierdzenia naruszania. Nie ma obowiązku powiadamiania organów ochrony danych, jeśli prawdopodobieństwo, że naruszenie spowoduje zagrożenie praw lub wolności osób, jest niskie.

Nowe prawa konsumentów

Korzyści dla konsumentów

Consumer Benefits

  • Lepsza ochrona dzięki rozporządzeniu GDPR i możliwość zachowania anonimowości.
  • Wzmocnienie prawa konsumentów niechcących udostępniać swoich danych.
  • Nowe, poszerzone prawa konsumentów – prawo do bycia zapomnianym, prawo do przenoszalności danych – wymagające od przedsiębiorstw zaprzestania wykorzystywania danych konsumentów.
  • Przedsiębiorstwa nieprzestrzegające tych praw konsumentów są narażone na większą liczbę pozwów wnoszonych przez konsumentów i podmioty prawne.

Zgoda

Warunki dotyczące zgody uległy wzmocnieniu, przedsiębiorstwa tracą możliwość stosowania długich i nieczytelnych regulaminów naszpikowanych terminami prawniczymi. Prośba o wyrażenie zgody musi mieć zrozumiałą i łatwo dostępną formę. Ponadto konsument wyrażający zgodę musi otrzymać informacje o celu przetwarzania jego danych.

  • Zgoda musi być przejrzysta i oddzielona od innych kwestii, a jej treść musi mieć zrozumiałą i łatwo dostępną formę oraz być napisana przejrzystym i prostym językiem. Wycofanie zgody musi być równie łatwe jak jej udzielenie.

Prawo do bycia zapomnianym

Znane także jako prawo do usunięcia danych, uprawnia każdą osobę, której dotyczą dane do żądania od administratora danych usunięcia jej danych osobowych, zaprzestania ich dalszego udostępniania oraz ewentualnego zażądania przerwania przetwarzania danych przez podmioty trzecie. Warunki usunięcia danych przewidziane w artykule 17 dotyczą także danych, których pierwotny cel przetwarzania ustał lub danych osób wycofujących zgodę.

Należy też zaznaczyć, że to prawo wymaga od administratorów rozpatrujących takie wnioski porównania znaczenia praw osoby z interesem publicznym związanym z dostępnością tych danych.

Czym są informacje identyfikowalne osobowo?

Termin „informacje identyfikowalne osobowo” odnosi się do danych należących do obywateli UE, które w wyniku ujawnienia mogą narazić na szkody osoby, których informacje zostały przejęte. Informacje takie obejmują między innymi dokumentację medyczną, dane biometryczne, numery paszportów oraz finansowe informacje identyfikowalne osobowo, takie jak dane ubezpieczenia społecznego i kart kredytowych. Informacje, które można uznać za niespełniające powyższych warunków, takie jak imię i nazwisko, mogą stać się informacjami identyfikowalnymi osobowo w przypadku ich połączenia z innymi danymi.

  • Zasoby danych organizacji należy uwzględniać w ocenach ryzyka, włącznie ze sposobem ich przechowywania i możliwościami uzyskania dostępu do nich, poziomem narażenia na ryzyko i tym, czy dane te zawierają informacje identyfikowalne osobowo. Zasoby danych mogą być przechowywane w bazach danych aplikacji, systemach plików serwerów i na urządzeniach użytkowników końcowych.
What is Personal Identifiable Information (PII)?

Wyróżnione segmenty

  • Jeden zbiór zasad obowiązujących w całej UE – ocenia się, że harmonizacja przepisów dotyczących ochrony danych w UE przyniesie oszczędności w wysokości 2,3 miliarda euro rocznie.
  • Inspektor ochrony danych, odpowiedzialny za ochronę danych, będzie wyznaczany przez organy publiczne i przedsiębiorstwa przetwarzające dane na dużą skalę.
  • Kompleksowa obsługa – przedsiębiorstwa mają do czynienia z jednym tylko organem nadzorczym (w kraju UE, gdzie mieści się ich główna siedziba).
  • Zasady UE dla przedsiębiorstw spoza UE – przedsiębiorstwa spoza UE muszą stosować te same zasady, jeśli chcą oferować usługi lub towary bądź śledzić zachowania osób w UE.
  • Zasady sprzyjające innowacjom – gwarancja, że zabezpieczenia w zakresie ochrony danych zostaną zintegrowane z produktami i usługami od najwcześniejszych etapów prac rozwojowych (zasada uwzględniania ochrony danych już w fazie prac projektowych oraz jako opcji domyślnej).
  • Techniki sprzyjające prywatności, np. pseudonimizacja (w ramach której części rekordu danych umożliwiające identyfikację osoby zostają zastąpione jednym lub większą liczbą sztucznych identyfikatorów) i szyfrowanie (polegające na zakodowaniu danych uniemożliwiającym ich odczytanie przez osoby niepowołane).
  • Oceny skutków – przedsiębiorstwa mają obowiązek przeprowadzić oceny skutków, jeśli przetwarzanie danych może powodować duże zagrożenie praw lub wolności osób.
  • Przechowywanie dokumentacji – małe i średnie przedsiębiorstwa nie muszą dokumentować działań z zakresu przetwarzania danych, jeśli działania takie nie są prowadzone regularnie, a prawdopodobieństwo powstania zagrożenia dla praw lub wolności osób, których dane są przetwarzane, jest niewielkie.

Więcej

Najważniejsze daty związane z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (GDPR)

  • 31 stycznia 2018 r. PCI-DSS v3.2 – Wymaganie dotyczące uwierzytelniania wieloskładnikowego (8.3.1) – dotyczy organizacji z całego świata
  • 30 czerwca 2018 r. PCI-DSS v3.2 – Wymaganie dotyczące zaktualizowania protokołu szyfrowania SSL (2.2.3, 2.3, 4.1) – dotyczy organizacji z całego świata
  • Kwiecień 2018 r. PSD2 – Dyrektywa w sprawie usług płatniczych 2 – dotyczy przedsiębiorstw europejskich
  • Maj 2018 r GDPR – Ogólne Rozporządzenie o Ochronie Danych Osobowych – dotyczy organizacji z całego świata