gru 2018

Ogólne Rozporządzenie o Ochronie Danych Osobowych UE (EU GDPR)

Jedno niewielkie, ale niezwykle ważne uzupełnienie działań nakierowanych na osiągnięcie zgodności z rozporządzeniem GDPR: zapewniające zgodność z nowymi przepisami szyfrowane pamięci firmy Kingston

Zarządzanie zagrożeniami i redukcja ryzyka

Dostępne modele dopasowane do każdych potrzeb: od użytkowników indywidualnych przez korporacyjnych po rządowych.

Szyfrowane pamięci USB w pełni zgodne z nowymi przepisami
Prostota i łatwość użycia, niewymagane żadne sterowniki ani oprogramowanie
Gwarancja szybkiego i skutecznego wdrożenia

EU GDPR: Pięć najważniejszych punktów, o których należy pamiętać

Szyfrowanie danych – standardy bezpieczeństwa przetwarzania danych (Artykuł 32, Bezpieczeństwo przetwarzania)
Wyznaczenie inspektora ochrony danych
Wdrożenie programu cyberbezpieczeństwa
Udokumentowanie zakresów odpowiedzialności
Zrozumienie pojęcia zgody

Czy za niezapewnienie zgodności grożą kary?

Are there any penalties for non-compliance?

Zgodnie z rozporządzeniem GDPR na organizacje naruszające te przepisy można nakładać grzywny równe wyższej z dwóch następujących kwot: do 4% ich globalnych rocznych obrotów lub do około 21,952 miliona dolarów (20 milionów euro).
Firma może zostać zmuszona do zapłacenia kary w wysokości 2% za nieprawidłowo prowadzoną dokumentację (artykuł 28), niepowiadomienie organu nadzorczego i osoby, której dane dotyczą o naruszeniu rozporządzenia lub nieprzeprowadzenie oceny skutków.
Warto zwrócić uwagę, że zasady te dotyczą zarówno administratorów, jak i podmiotów przetwarzających dane – czyli rozporządzenie GDPR obejmie także dane przechowywane w chmurach.

Co należy wiedzieć?

Jak to wpływa na moją firmę?

Na każdym przedsiębiorstwie pracującym z informacjami dotyczącymi obywateli UE spoczywa obowiązek zapewnienia zgodności z wymaganiami nowych regulacji.
Warto zwrócić uwagę, że zasady te dotyczą zarówno administratorów, jak i podmiotów przetwarzających dane – czyli rozporządzenie GDPR obejmie także dane przechowywane w chmurach.
Rozporządzenie obowiązuje wszystkie organizacje – z i spoza UE – które przetwarzają dane obywateli UE.
Organizacje przetwarzające lub przechowujące informacje identyfikowalne osobowo są zobowiązane do wdrożenia odpowiednich środków zabezpieczających, zapobiegających utracie danych osobowych.

Jak można zapewnić zgodność?

Samoocena - Przedsiębiorstwa zatrudniające co najmniej 250 osób mają obowiązek powołać inspektora ochrony danych. Organizacje muszą przeprowadzić wewnętrzne przeglądy sposobów przetwarzania informacji identyfikowalnych osobowo swoich pracowników i klientów.
Sporządzenie mapy wewnętrznych i zewnętrznych produktów / urządzeń przechowujących dane - Należy prowadzić rejestr urządzeń wykorzystywanych w przedsiębiorstwie do przechowywania danych, szyfrować te dane oraz objąć wspomniane urządzenia polityką bezpieczeństwa danych. Dotyczy to między innymi: serwerów, dysków twardych, dysków SSD, pamięci flash USB, komputerów i urządzeń mobilnych.
Inwentaryzacja - Należy ocenić ilość wszystkich przetwarzanych danych osobowych.
Likwidacja danych - Należy usunąć archiwa niepotrzebnych informacji identyfikowalnych osobowo.
Administratorzy informacji - Należy przeanalizować zagrożenia dla prywatności i wykonać oceny skutków.
Umowy - Już teraz można zapewnić sobie zgodność z przepisami wchodzącymi w życie w maju 2018 – wystarczy wdrożyć odpowiednie polityki.
Naruszenie ochrony danych - Rozporządzenie wymaga poinformowania o naruszeniu w ciągu 72 godzin.

Rozwiązanie - wdrożenie odpowiednich zabezpieczeń, standardów technicznych i polityk, takich jak szyfrowanie danych osobowych / informacji identyfikowalnych osobowo w celu ograniczenia ryzyka wystąpienia braku zgodności. (Dowiedz się więcej – Najlepsze praktyki dotyczące standardów szyfrowanych pamięci USB)

Szyfrowanie danych

Szyfrowana pamięć USB marki Kingston i IronKey to jedno z rozwiązań pozwalających wprowadzić jednolite standardy szyfrowania danych.
Wymagane jest wdrożenie „odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi (...) szyfrowanie danych osobowych” (Artykuł 32, Bezpieczeństwo przetwarzania)
W propozycji wzywa się organizacje do szyfrowania danych wrażliwych – w trakcie tranzytu i ich przechowywania.
Organizacje przetwarzające lub przechowujące informacje identyfikowalne osobowo rezydentów UE są zobowiązane do wdrożenia odpowiednich środków zabezpieczających, zapobiegających utracie danych osobowych.
Organizacje mają obowiązek uwzględniać te poprawione standardy przetwarzania danych w umowach zawieranych z zewnętrznymi usługodawcami.

Rozszerzony zasięg terytorialny (właściwość eksterytorialna)

Prawdopodobnie największa zmiana w otoczeniu regulacyjnym prywatności danych.

Poszerzona jurysdykcja rozporządzenia GDPR dotyczy wszystkich przedsiębiorstw przetwarzających dane osób przebywających na terenie Unii, których te dane dotyczą, niezależnie od lokalizacji przedsiębiorstwa.

Powiadomienie o naruszeniu ochrony danych

Jeśli to możliwe, powiadomienia o naruszeniu ochrony danych należy przedstawiać w ciągu 72 godzin od stwierdzenia naruszania. Nie ma obowiązku powiadamiania organów ochrony danych, jeśli prawdopodobieństwo, że naruszenie spowoduje zagrożenie praw lub wolności osób, jest niskie.

Nowe prawa konsumentów

Korzyści dla konsumentów

Consumer Benefits

Lepsza ochrona dzięki rozporządzeniu GDPR i możliwość zachowania anonimowości.
Wzmocnienie prawa konsumentów niechcących udostępniać swoich danych.
Nowe, poszerzone prawa konsumentów – prawo do bycia zapomnianym, prawo do przenoszalności danych – wymagające od przedsiębiorstw zaprzestania wykorzystywania danych konsumentów.
Przedsiębiorstwa nieprzestrzegające tych praw konsumentów są narażone na większą liczbę pozwów wnoszonych przez konsumentów i podmioty prawne.

Zgoda

Warunki dotyczące zgody uległy wzmocnieniu, przedsiębiorstwa tracą możliwość stosowania długich i nieczytelnych regulaminów naszpikowanych terminami prawniczymi. Prośba o wyrażenie zgody musi mieć zrozumiałą i łatwo dostępną formę. Ponadto konsument wyrażający zgodę musi otrzymać informacje o celu przetwarzania jego danych.

Zgoda musi być przejrzysta i oddzielona od innych kwestii, a jej treść musi mieć zrozumiałą i łatwo dostępną formę oraz być napisana przejrzystym i prostym językiem. Wycofanie zgody musi być równie łatwe jak jej udzielenie.

Prawo do bycia zapomnianym

Znane także jako prawo do usunięcia danych, uprawnia każdą osobę, której dotyczą dane do żądania od administratora danych usunięcia jej danych osobowych, zaprzestania ich dalszego udostępniania oraz ewentualnego zażądania przerwania przetwarzania danych przez podmioty trzecie. Warunki usunięcia danych przewidziane w artykule 17 dotyczą także danych, których pierwotny cel przetwarzania ustał lub danych osób wycofujących zgodę.

Należy też zaznaczyć, że to prawo wymaga od administratorów rozpatrujących takie wnioski porównania znaczenia praw osoby z interesem publicznym związanym z dostępnością tych danych.

Czym są informacje identyfikowalne osobowo?

Termin „informacje identyfikowalne osobowo” odnosi się do danych należących do obywateli UE, które w wyniku ujawnienia mogą narazić na szkody osoby, których informacje zostały przejęte. Informacje takie obejmują między innymi dokumentację medyczną, dane biometryczne, numery paszportów oraz finansowe informacje identyfikowalne osobowo, takie jak dane ubezpieczenia społecznego i kart kredytowych. Informacje, które można uznać za niespełniające powyższych warunków, takie jak imię i nazwisko, mogą stać się informacjami identyfikowalnymi osobowo w przypadku ich połączenia z innymi danymi.

Zasoby danych organizacji należy uwzględniać w ocenach ryzyka, włącznie ze sposobem ich przechowywania i możliwościami uzyskania dostępu do nich, poziomem narażenia na ryzyko i tym, czy dane te zawierają informacje identyfikowalne osobowo. Zasoby danych mogą być przechowywane w bazach danych aplikacji, systemach plików serwerów i na urządzeniach użytkowników końcowych.

What is Personal Identifiable Information (PII)?

Wyróżnione segmenty

Jeden zbiór zasad obowiązujących w całej UE – ocenia się, że harmonizacja przepisów dotyczących ochrony danych w UE przyniesie oszczędności w wysokości 2,3 miliarda euro rocznie.
Inspektor ochrony danych, odpowiedzialny za ochronę danych, będzie wyznaczany przez organy publiczne i przedsiębiorstwa przetwarzające dane na dużą skalę.
Kompleksowa obsługa – przedsiębiorstwa mają do czynienia z jednym tylko organem nadzorczym (w kraju UE, gdzie mieści się ich główna siedziba).
Zasady UE dla przedsiębiorstw spoza UE – przedsiębiorstwa spoza UE muszą stosować te same zasady, jeśli chcą oferować usługi lub towary bądź śledzić zachowania osób w UE.
Zasady sprzyjające innowacjom – gwarancja, że zabezpieczenia w zakresie ochrony danych zostaną zintegrowane z produktami i usługami od najwcześniejszych etapów prac rozwojowych (zasada uwzględniania ochrony danych już w fazie prac projektowych oraz jako opcji domyślnej).
Techniki sprzyjające prywatności, np. pseudonimizacja (w ramach której części rekordu danych umożliwiające identyfikację osoby zostają zastąpione jednym lub większą liczbą sztucznych identyfikatorów) i szyfrowanie (polegające na zakodowaniu danych uniemożliwiającym ich odczytanie przez osoby niepowołane).
Oceny skutków – przedsiębiorstwa mają obowiązek przeprowadzić oceny skutków, jeśli przetwarzanie danych może powodować duże zagrożenie praw lub wolności osób.
Przechowywanie dokumentacji – małe i średnie przedsiębiorstwa nie muszą dokumentować działań z zakresu przetwarzania danych, jeśli działania takie nie są prowadzone regularnie, a prawdopodobieństwo powstania zagrożenia dla praw lub wolności osób, których dane są przetwarzane, jest niewielkie.

Więcej

Najważniejsze daty związane z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (GDPR)

31 stycznia 2018 r. PCI-DSS v3.2 – Wymaganie dotyczące uwierzytelniania wieloskładnikowego (8.3.1) – dotyczy organizacji z całego świata
30 czerwca 2018 r. PCI-DSS v3.2 – Wymaganie dotyczące zaktualizowania protokołu szyfrowania SSL (2.2.3, 2.3, 4.1) – dotyczy organizacji z całego świata
Kwiecień 2018 r. PSD2 – Dyrektywa w sprawie usług płatniczych 2 – dotyczy przedsiębiorstw europejskich
Maj 2018 r GDPR – Ogólne Rozporządzenie o Ochronie Danych Osobowych – dotyczy organizacji z całego świata

Więcej informacji

Dowiedz się więcej o Szyfrowana pamięć USB – Kingston Technology

Szyfrowana sprzętowo pamięć flash USB Kingston IronKey D500S
Zgodność z wojskowymi normami bezpieczeństwa potwierdzona certyfikatem FIPS 140-3 Level 3 (w toku)

256-bitowe szyfrowanie XTS-AES

Dostępna wersja przystosowana do zarządzania

USB 3.2 Gen 1

8 GB, 16 GB, 32 GB, 64 GB, 128 GB, 256 GB, 512 GB

Odczyt do 310MB/s, zapis do 250MB/s
Dowiedz się więcej Kup
Seria IronKey Vault Privacy 50
Bezpieczeństwo klasy korporacyjnej

256-bitowe szyfrowanie XTS-AES

Dostępność wersji ze złączami USB Type-A i Type-C

USB 3.2 Gen 1

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Odczyt do 310MB/s, zapis do 250MB/s
Dowiedz się więcej Kup
Szyfrowana pamięć flash USB DT4000G2
Szyfrowanie XTS-AES z 256-bitowym kluczem

USB 3.1 Gen 1 (USB 3.0)

8GB, 16GB, 32GB, 64GB, 128GB

Odczyt do 250MB/s, zapis 85MB/s
Dowiedz się więcej Kup
Szyfrowana pamięć flash USB Kingston IronKey S1000
Wbudowany chip szyfrujący

USB 3.1 Gen 1 (USB 3.0)

4GB, 8GB, 16GB, 32GB, 64GB, 128GB

Odczyt do 230MB/s, zapis 240MB/s

Zabezpieczenie złożonym hasłem lub wyrażeniem hasłowym
Dowiedz się więcej Kup
Szyfrowana pamięć flash USB Kingston IronKey D300S
Zaawansowane zabezpieczenia

Dostępna wersja przystosowana do zarządzania

4 GB, 8 GB, 16 GB, 32 GB, 64 GB, 128 GB

Szybkość interfejsu USB 3.1 Gen 1
Dowiedz się więcej Kup
Kingston IronKey Keypad 200
Zgodność z wojskowymi normami bezpieczeństwa potwierdzona certyfikatem FIPS 140-3 Level 3 (w toku)

256-bitowe szyfrowanie XTS-AES

Dostępność wersji ze złączami USB Type-A i Type-C

Niezależność od urządzenia/systemu operacyjnego

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Odczyt do 280MB/s, zapis do 200MB/s
Dowiedz się więcej Kup