W tej witrynie używane są pliki cookie w celu rozszerzenia zakresu funkcji. Korzystanie z witryny jest równoznaczne z zaakceptowaniem tego. Szanujemy Twoją prywatność i bezpieczeństwo danych. Zapoznaj się z naszymi zasadami dotyczącymi plików cookie i polityką prywatności. Oba dokumenty zostały ostatnio zaktualizowane.

Ogólne Rozporządzenie o Ochronie Danych Osobowych UE (EU GDPR)

Data wejścia w życie: 25 maja 2018 r. Od tego dnia na organizacje niespełniające wymagań tego rozporządzenia będą nakładane wysokie grzywny.

Jedno niewielkie, ale niezwykle ważne uzupełnienie działań nakierowanych na osiągnięcie zgodności z rozporządzeniem GDPR: zapewniające zgodność z nowymi przepisami szyfrowane pamięci firmy Kingston: PDF z infografiką dotyczącą szyfrowanych pamięci USB i rozporządzenia GDPR

Keep Compliant with Kingston

Zarządzanie zagrożeniami i redukcja ryzyka

Dostępne modele dopasowane do każdych potrzeb: od użytkowników indywidualnych przez korporacyjnych po rządowych.

  • Szyfrowane pamięci USB w pełni zgodne z nowymi przepisami
  • Prostota i łatwość użycia, niewymagane żadne sterowniki ani oprogramowanie
  • Gwarancja szybkiego i skutecznego wdrożenia

Compliance logos

EU GDPR: Pięć najważniejszych punktów, o których należy pamiętać:
  1. Szyfrowanie danych – standardy bezpieczeństwa przetwarzania danych (Artykuł 32, Bezpieczeństwo przetwarzania)
  2. Wyznaczenie inspektora ochrony danych
  3. Wdrożenie programu cyberbezpieczeństwa
  4. Udokumentowanie zakresów odpowiedzialności
  5. Zrozumienie pojęcia zgody

EU GDPR: Pięć najważniejszych punktów, o których należy pamiętać:

Czy za niezapewnienie zgodności grożą kary?

Czy za niezapewnienie zgodności grożą kary?

  • Zgodnie z rozporządzeniem GDPR na organizacje naruszające te przepisy można nakładać grzywny równe wyższej z dwóch następujących kwot: do 4% ich globalnych rocznych obrotów lub do około 21,952 miliona dolarów (20 milionów euro).
  • Firma może zostać zmuszona do zapłacenia kary w wysokości 2% za nieprawidłowo prowadzoną dokumentację (artykuł 28), niepowiadomienie organu nadzorczego i osoby, której dane dotyczą o naruszeniu rozporządzenia lub nieprzeprowadzenie oceny skutków.
  • Warto zwrócić uwagę, że zasady te dotyczą zarówno administratorów, jak i podmiotów przetwarzających dane – czyli rozporządzenie GDPR obejmie także dane przechowywane w chmurach.
Co należy wiedzieć?
Jak to wpływa na moją firmę?
  • Na każdym przedsiębiorstwie pracującym z informacjami dotyczącymi obywateli UE spoczywa obowiązek zapewnienia zgodności z wymaganiami nowych regulacji.
  • Warto zwrócić uwagę, że zasady te dotyczą zarówno administratorów, jak i podmiotów przetwarzających dane – czyli rozporządzenie GDPR obejmie także dane przechowywane w chmurach.
  • Rozporządzenie obowiązuje wszystkie organizacje – z i spoza UE – które przetwarzają dane obywateli UE.
  • Organizacje przetwarzające lub przechowujące informacje identyfikowalne osobowo są zobowiązane do wdrożenia odpowiednich środków zabezpieczających, zapobiegających utracie danych osobowych.

Jak to wpływa na moją firmę?

Jak można zapewnić zgodność?
  • Samoocena
    Przedsiębiorstwa zatrudniające co najmniej 250 osób mają obowiązek powołać inspektora ochrony danych. Organizacje muszą przeprowadzić wewnętrzne przeglądy sposobów przetwarzania informacji identyfikowalnych osobowo swoich pracowników i klientów.
  • Sporządzenie mapy wewnętrznych i zewnętrznych produktów / urządzeń przechowujących dane
    Należy prowadzić rejestr urządzeń wykorzystywanych w przedsiębiorstwie do przechowywania danych, szyfrować te dane oraz objąć wspomniane urządzenia polityką bezpieczeństwa danych. Dotyczy to między innymi: serwerów, dysków twardych, dysków SSD, pamięci flash USB, komputerów i urządzeń mobilnych.
  • Inwentaryzacja
    Należy ocenić ilość wszystkich przetwarzanych danych osobowych.
  • Likwidacja danych
    Należy usunąć archiwa niepotrzebnych informacji identyfikowalnych osobowo.
  • Administratorzy informacji
    Należy przeanalizować zagrożenia dla prywatności i wykonać oceny skutków.
  • Umowy
    Już teraz można zapewnić sobie zgodność z przepisami wchodzącymi w życie w maju 2018 – wystarczy wdrożyć odpowiednie polityki.
  • Naruszenie ochrony danych
    Rozporządzenie wymaga poinformowania o naruszeniu w ciągu 72 godzin.

Rozwiązanie - wdrożenie odpowiednich zabezpieczeń, standardów technicznych i polityk, takich jak szyfrowanie danych osobowych / informacji identyfikowalnych osobowo w celu ograniczenia ryzyka wystąpienia braku zgodności.

(Dowiedz się więcej – Najlepsze praktyki dotyczące standardów szyfrowanych pamięci USB)

Szyfrowanie danych
  • Szyfrowana pamięć USB marki Kingston i IronKey to jedno z rozwiązań pozwalających wprowadzić jednolite standardy szyfrowania danych.
  • Wymagane jest wdrożenie „odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi (...) szyfrowanie danych osobowych” (Artykuł 32, Bezpieczeństwo przetwarzania)
  • W propozycji wzywa się organizacje do szyfrowania danych wrażliwych – w trakcie tranzytu i ich przechowywania.
  • Organizacje przetwarzające lub przechowujące informacje identyfikowalne osobowo rezydentów UE są zobowiązane do wdrożenia odpowiednich środków zabezpieczających, zapobiegających utracie danych osobowych.
  • Organizacje mają obowiązek uwzględniać te poprawione standardy przetwarzania danych w umowach zawieranych z zewnętrznymi usługodawcami.

Szyfrowanie danych

Rozszerzony zasięg terytorialny (właściwość eksterytorialna)

Prawdopodobnie największa zmiana w otoczeniu regulacyjnym prywatności danych.

  • Poszerzona jurysdykcja rozporządzenia GDPR dotyczy wszystkich przedsiębiorstw przetwarzających dane osób przebywających na terenie Unii, których te dane dotyczą, niezależnie od lokalizacji przedsiębiorstwa.

Rozszerzony zasięg terytorialny

Powiadomienie o naruszeniu ochrony danych

Jeśli to możliwe, powiadomienia o naruszeniu ochrony danych należy przedstawiać w ciągu 72 godzin od stwierdzenia naruszania. Nie ma obowiązku powiadamiania organów ochrony danych, jeśli prawdopodobieństwo, że naruszenie spowoduje zagrożenie praw lub wolności osób, jest niskie.

Nowe prawa konsumentów
Korzyści dla konsumentów
  • Lepsza ochrona dzięki rozporządzeniu GDPR i możliwość zachowania anonimowości.
  • Wzmocnienie prawa konsumentów niechcących udostępniać swoich danych.
  • Nowe, poszerzone prawa konsumentów – prawo do bycia zapomnianym, prawo do przenoszalności danych – wymagające od przedsiębiorstw zaprzestania wykorzystywania danych konsumentów.
  • Przedsiębiorstwa nieprzestrzegające tych praw konsumentów są narażone na większą liczbę pozwów wnoszonych przez konsumentów i podmioty prawne.

Korzyści dla konsumentów

Zgoda

Warunki dotyczące zgody uległy wzmocnieniu, przedsiębiorstwa tracą możliwość stosowania długich i nieczytelnych regulaminów naszpikowanych terminami prawniczymi. Prośba o wyrażenie zgody musi mieć zrozumiałą i łatwo dostępną formę. Ponadto konsument wyrażający zgodę musi otrzymać informacje o celu przetwarzania jego danych.

  • Zgoda musi być przejrzysta i oddzielona od innych kwestii, a jej treść musi mieć zrozumiałą i łatwo dostępną formę oraz być napisana przejrzystym i prostym językiem. Wycofanie zgody musi być równie łatwe jak jej udzielenie.
Prawo do bycia zapomnianym

Znane także jako prawo do usunięcia danych, uprawnia każdą osobę, której dotyczą dane do żądania od administratora danych usunięcia jej danych osobowych, zaprzestania ich dalszego udostępniania oraz ewentualnego zażądania przerwania przetwarzania danych przez podmioty trzecie. Warunki usunięcia danych przewidziane w artykule 17 dotyczą także danych, których pierwotny cel przetwarzania ustał lub danych osób wycofujących zgodę.

Należy też zaznaczyć, że to prawo wymaga od administratorów rozpatrujących takie wnioski porównania znaczenia praw osoby z interesem publicznym związanym z dostępnością tych danych.

Czym są informacje identyfikowalne osobowo?

Termin „informacje identyfikowalne osobowo” odnosi się do danych należących do obywateli UE, które w wyniku ujawnienia mogą narazić na szkody osoby, których informacje zostały przejęte. Informacje takie obejmują między innymi dokumentację medyczną, dane biometryczne, numery paszportów oraz finansowe informacje identyfikowalne osobowo, takie jak dane ubezpieczenia społecznego i kart kredytowych. Informacje, które można uznać za niespełniające powyższych warunków, takie jak imię i nazwisko, mogą stać się informacjami identyfikowalnymi osobowo w przypadku ich połączenia z innymi danymi.

  • Zasoby danych organizacji należy uwzględniać w ocenach ryzyka, włącznie ze sposobem ich przechowywania i możliwościami uzyskania dostępu do nich, poziomem narażenia na ryzyko i tym, czy dane te zawierają informacje identyfikowalne osobowo. Zasoby danych mogą być przechowywane w bazach danych aplikacji, systemach plików serwerów i na urządzeniach użytkowników końcowych.

Czym są informacje identyfikowalne osobowo?

Wyróżnione segmenty
  • Jeden zbiór zasad obowiązujących w całej UE – ocenia się, że harmonizacja przepisów dotyczących ochrony danych w UE przyniesie oszczędności w wysokości 2,3 miliarda euro rocznie.
  • Inspektor ochrony danych, odpowiedzialny za ochronę danych, będzie wyznaczany przez organy publiczne i przedsiębiorstwa przetwarzające dane na dużą skalę.
  • Kompleksowa obsługa – przedsiębiorstwa mają do czynienia z jednym tylko organem nadzorczym (w kraju UE, gdzie mieści się ich główna siedziba).
  • Zasady UE dla przedsiębiorstw spoza UE – przedsiębiorstwa spoza UE muszą stosować te same zasady, jeśli chcą oferować usługi lub towary bądź śledzić zachowania osób w UE.
  • Zasady sprzyjające innowacjom – gwarancja, że zabezpieczenia w zakresie ochrony danych zostaną zintegrowane z produktami i usługami od najwcześniejszych etapów prac rozwojowych (zasada uwzględniania ochrony danych już w fazie prac projektowych oraz jako opcji domyślnej).
  • Techniki sprzyjające prywatności, np. pseudonimizacja (w ramach której części rekordu danych umożliwiające identyfikację osoby zostają zastąpione jednym lub większą liczbą sztucznych identyfikatorów) i szyfrowanie (polegające na zakodowaniu danych uniemożliwiającym ich odczytanie przez osoby niepowołane).
  • Oceny skutków – przedsiębiorstwa mają obowiązek przeprowadzić oceny skutków, jeśli przetwarzanie danych może powodować duże zagrożenie praw lub wolności osób.
  • Przechowywanie dokumentacji – małe i średnie przedsiębiorstwa nie muszą dokumentować działań z zakresu przetwarzania danych, jeśli działania takie nie są prowadzone regularnie, a prawdopodobieństwo powstania zagrożenia dla praw lub wolności osób, których dane są przetwarzane, jest niewielkie.

Więcej

Najważniejsze daty związane z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (GDPR)
  • 31 stycznia 2018 r. PCI-DSS v3.2
    Wymaganie dotyczące uwierzytelniania wieloskładnikowego (8.3.1) – dotyczy organizacji z całego świata
  • 30 czerwca 2018 r. PCI-DSS v3.2
    Wymaganie dotyczące zaktualizowania protokołu szyfrowania SSL (2.2.3, 2.3, 4.1) – dotyczy organizacji z całego świata
  • Kwiecień 2018 r. PSD2 – Dyrektywa w sprawie usług płatniczych 2 – dotyczy przedsiębiorstw europejskich
  • Maj 2018 r GDPR – Ogólne Rozporządzenie o Ochronie Danych Osobowych – dotyczy organizacji z całego świata

Niniejsze informacje zostają udostępnione wyłącznie w celach informacyjnych. Firma Kingston nie świadczy żadnych usług konsultacyjnych ani pomocy prawnej dotyczących zgodności z rozporządzeniem EU GDPR. Więcej informacji o rozporządzeniu EU GDPR znaleźć można na witrynie poświęconej tej tematyce: https://www.eugdpr.org

        Back To Top