Unijne Rozporządzenie o Ochronie Danych Osobowych (RODO)

RODO - Czym jest ?

Parlament Europejski i Rada Unii Europejskiej przyjęły Rozporządzenie Ogólne o Ochronie Danych Osobowych RODO (ang. GDPR General Data Protection Regulation). Reguluje ono ochroną osób fizycznych w związku z przetwarzaniem ich danych osobowych, która zmienia zasady ustalane obecnymi aktami prawnymi regulującymi ochronę danych osobowych. RODO zmienia też zasady wynikające z polskiej ustawy GIODO. Zasady rozporządzenia wchodzą w życie 25 maja 2018 roku.

Co zmienia się wraz z wejściem w życie RODO ?

  1. Ogólna zasada zbierania danych osobowych. "Privacy by design" oznacza iż każdy podmiot przetwarzający dane osób fizycznych musi zadbać zarówno o ich bezpieczeństwo techniczne (ochronę przed ich zniszczeniem, nieuprawnioną zmianą czy nieuprawnionym dostępem, ale także właściwą uprawnioną dostępnością), jak i o prawa osoby fizycznej do właściwego zarządzania swoimi danymi. 
  2. Dane osobowe są traktowane jak dobro osoby fizycznej, która ma wszelkie prawa takie jak w przypadku prawa własności, a ich dodanie do jakiejkolwiek bazy danych jest równoznaczne z powierzeniem jej danemu podmiotowi i ten podmiot ponosi za nie pełną odpowiedzialność.
  3. Odpowiedzialność finansowa podmiotu przetwarzającego dane zwiększa się do 20 mln EURO lub 4 % przychodu za poprzedni rok.
  4. Ponieważ na każdym podmiocie spoczywa odpowiedzialność za dane osobowe nie jest wymagane jakiekolwiek zgłoszenie.
  5. Każdy nowy zbiór danych osobowych lub obecnie istniejący musi być tak chroniony i obsługiwany by dane tam zgromadzone były bezpieczne już na etapie projektowani i wdrożenia danej bazy , niezależnie czy uprzednio była ona zgłaszana do GIODO.

Co w praktyce oznacza RODO?

 Co trzeba zrobić by nie narażać się na ryzyko kar wynikających z RODO ?
  1. Zidentyfikować jakie dane osobowe przechowujemy w swoim przedsiębiorstwei, na stronie internetowej, portalu internetowym, lub forum.
  2. Sprawdzić czy zobowiązania przedsiębiorstwa wobec osób fizycznych udzielających swoich danych opisane w regulaminach i umowach są zgodne z RODO.
  3. Sprawdzić czy osoby fizyczne, których dane utrzymujemy w naszych zbiorach wyraziły świadomą zgodę na ich utrzymywanie, a w przypadku, gdy wcześniejsze zapisy regulaminu nie były zgodne z RODO wystąpić o ponowna zgodę.
  4. Zadbać o bezpieczeństwo fizyczne zbiorów danych, które utrzymujemy zarówno na poziomie aplikacyjnym, jak i sieciowym. tak by nieuprawnione osoby nie miały dostępu do danych tam zgromadzonych. Niezbędne do tego środki takie jak exploit scannery, czy firewalle oferujemy naszym klientom.
  5. Sprawdzić, czy operator dostarczjący łacznośc do serwerów zabezpiecza nasze łacze przed atakami DDOS, by zapewnić użytkownikom dostęp i zarządzanie swoimi danymi.
  6. Wdrożyć systematyczny i periodyczny monitoring bezpieczeństwa oparty na stałej ale ulepszanej w czasie procedurze.
  7.  W przypadku, gdy nastąpi wyciek danych skutkujący wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator będzie miał obowiązek poinformowania o zagrożeniu także osoby, których to dotyczy, a przy wycieku znacznej ilość danych – także poprzez media.

Czy usługi DataHouse.pl spełniają wymogi RODO.

Wieloletnie doświadczenie zarówno jako operatora centrum danych, jak i operatora telekomunikacyjnego od samego początku wymogło na nas najwyższe standardy bezpieczeństwa danych. Wszystkie oferowane przez nas usługi w pełni spełniają zarówno obecne wymogi GIODO jak i wchodzące w życie wymogi RODO. Jako operator od samego początku stosowaliśmy zasadę "privacy by design". Dodatkowo w naszej ofercie znajdują się wszelkie techniczne narzędzia niezbędne do prawidłowego wdrożenia zasad RODO  takie jak:
  1. Systemy periodycznego nadzoru bezpieczeństwa.
  2. Systemy monitoringu ciągłości działania.
  3. Systemy Firewall na poziomie sieci i aplikacji.
  4. Systemy mitygacji ataków DDOS.
  5. Systemy zaawansowanego filtrowania ruchu.
  6. Systemy prezentacji danych w oparciu o "śluzy danych"
  7. Zapewniamy bezpieczeństwo fizyczne na poziomie dostępu, zasilania, warunków środowiskowych, ochrony przeciwpożarowej.
  8. Zapewniamy autoryzowany i katalogowany dostęp fizyczny do urządzeń utrzymujących bazy danych osobowych.
  9. Zapewniamy systemy raportowania zagrożeń.
  10. Kryptograficze systemy kodowania transmisji.
  11. Systemy zdalnej kopii bezpieczeństwa.
Wszystkie te elementy są niezbędne do prawidłowego wdrożenia technicznego wymogów stawianych przez nowe rozporządzenie RODO.

Jakie dane osobowe są danymi wrażliwymi w rozumieniu RODO?

 Daneo osobowe w rozumieniu RODO (dane wrażliwe) obejmują następujące zagadnienia:

- Dane podstawowe : Imię, nazwisko, adres zamieszkania, numer identyfikacyjny (PESEL, NIP, numery innych dokumentów osobstych)
- Dane o rasie i wyznaniu
- Dane określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej
- Dane o bieżącej lub przeszłej lokalizacji geograficznej osoby fizycznej.
- Identyfikatory internetowe i elektroniczne osoby fizycznej.
- Poglądy polityczne
- Przynależnośc do związków zawodowych
- Dane o seksualności i orientacji seksualnej.
- Dane o stanie zdrowia
- Dane biometryczne




RODO a ISO 27001

Czy do zgodności z RODO niezbędne jest posiadanie przez podmiot certyfikatu ISO 27001?

Odpowiedź jest prosta: Ani formalnie, ani technicznie RODO nie zobowiązuje podmiotu do posiadania jakiegokolwiek certyfikatu, w tym ISO 27001 czy ISO 9001. Wiele firm zajmujących się taką certyfikacja wiąże RODO z tymi certyfikatami, co nie ma prawnego uzasadnienia, ani nie jest jakimkolwiek wymogiem. Można oczywiście przypuszczać, że przedsiębiorstwo, które ma wdrożone mechanizmy wymagane do certyfikatu ISO w łatwy sposób dostosuje się do wymagań RODO. Należy jednak zwrócić uwagę iż wymogi wynikające z normy ISO 27001 w niewielkim stopniu pokrywają się z wymogami stawianymi przez RODO.

Jakie dane osobowe przestaną mieć charakter danych wrażliwych po wejściu w życie RODO?

 Po wejściu w życie zasad RODO przestaną mieć charakter danych wrażliwe (obecnie opisanych w zasadach UODO) informacje o:

  1. przekonaniach filozoficznych,
  2. przynależności wyznaniowej ,
  3. przynależności partyjnej,
  4. skazaniach,
  5. orzeczeniach o ukaraniu i mandatach karnych,
  6. innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym
  7. nałogach

Czy bazy danych osobowych po wejściu w Życie zasad RODO będzie trzeba zgłaszać do GIODO?

Po wejściu w życie zasad RODO bazy danych osobowych nie będą podlegały zgłoszeniu, ale każda baza danych osobowych musi spełniać kryteria określane przez rozporządzenie RODO, a odpowiedzialność za jej bezpieczeństwo spoczywa na właścicielu bazy lub częściowo na "procesorze bazy danych"

Czy funkcja Administratora Danych osobowych jest niezbędna po wejściu w życie RODO ?

RODO nie wymaga i nie definiuje pojęcia Administratora Danych Osobowych. Za to wprowadza obligatoryjną funkcję Inspektora Danych Osobowych.

Obowiązki Inspektora danych osobowy są znacznie rozszerzone w stosunku do obowiązków Administratora danych osobowych. W szczególności to na Inspektorze spoczywa odpowiedzialność za informowanie o incydentach naruszenia zbioru danych, oraz na rozwiązywaniu zgłoszeń osób których dane są przechowywane w bazie.