Wojciech Maciejewski
Wojciech Maciejewski

RODO w pigułce, część 3: Przygotowywanie Twojej organizacji do wdrożenia RODO

Wstęp

Do tej pory w pierwszych dwóch częściach naszej serii o RODO zajęliśmy się tym, kogo dotyczy RODO oraz jakie stawia wymagania bezpieczeństwa danych.

W tej części przyjrzymy się wpływowi RODO na organizację i opowiemy o tym jak się do niego przygotować.

Każda organizacja, której dotyczy RODO musi odpowiedzieć sobie na kilka pytań:

Jakie dane posiadasz i gdzie są przechowywane?

Każda organizacja musi ocenić jakimi danymi zarządza.

Obejmuje to określenie rodzaju przechowywanych danych osobowych, np. informacje finansowe, dane klientów, dane marketingowe, itd. Kolejną sprawą jest ustalenie tego gdzie te dane są przechowywane – dotyczy to również danych w chmurze.

Wiele osób niezwiązanych z tym najciemniejszym zakątkiem IT jakim jest bezpieczeństwo danych nie zdaje sobie sprawy z tego, że stworzenie i manualne zarządzanie danymi rozproszonymi po całej organizacji jest trudne, jeśli nie niemożliwe.

Proces ten musi być zautomatyzowany przy pomocy narzędzi, które na podstawie różnych technik rozpoznawania wzorców potrafią wykryć dane zawierające dane osobowe, poufne i inne, nieznane bazy danych. Po ich zlokalizowaniu, taka informacja musi zostać sklasyfikowana i musi otrzymać odpowiedni profil ryzyka.

Kto ma dostęp do danych i czy możesz kontrolować ten dostęp?

Głównym wymogiem ochrony danych jest ograniczenie dostępu do danych, co można osiągnąć na wiele sposobów, np. maskowanie danych.

Niemniej jednak zawsze znajdą się użytkownicy i aplikacje, które będą potrzebować dostępu do bieżących danych osobowych.

Identyfikowanie tych aplikacji i użytkowników wymaga:

  • Kontroli dostępu użytkowników
  • Zarządzania prawami użytkowników
  • Monitoringu aktywności.

Podobnie jak w przypadku baz danych, najlepiej jeżeli te procesy są zautomatyzowane.

Częstym problemem firm jeśli chodzi o dostęp do danych jest przyznawanie nadmiernych uprawnień, które rosną z czasem. W rozwiązaniu tego problemu i ograniczeniu dostępu może pomóc technologia napędzana uczeniem maszynowym. Jaką odpowiedzialność ponosisz za podmioty przetwarzające dane? Jeśli jesteś administratorem danych i współpracujesz z podmiotami przetwarzającymi dane, musisz podjąć niezbędne kroki aby upewnić się, że podmioty te obejmą ochroną dane zgodnie z rozporządzeniami RODO. Tę kluczową kwestię najlepiej jest doprecyzować porozumieniami prawnymi i procesami, które narzucają ograniczenia w dostępie do danych.

Jest to szczególnie ważne w momencie, gdy istnieje szansa transferu danych poza UE, lub do państw spoza UE, które nie posiadają odpowiednich środków ochrony danych, np. Izrael, Szwajcaria, Argentyna i Nowa Zelandia.

Jeśli sesja zdalnego pulpitu przez VPN odbywa się spoza UE lub dopuszczonych państw, narusza ona regulacje dotyczące transferu danych. W takiej sytuacji niezbędne są prawne i techniczne mechanizmy kontroli, które będą monitorować dostęp do Twoich danych.

W rozdziale piątym RODO czytamy o przekazywaniu danych pochodzących z UE państwom trzecim i organizacjom międzynarodowym. Wszystkie podmioty, które przetwarzają dane pochodzące z UE muszą zagwarantować należyte bezpieczeństwo i dopilnować ochrony przetwarzanych danych osobowych z UE. Jeżeli takie zabezpieczenia nie istnieją, dane nie powinny być przekazywane.

Co z transferami danych z UE do USA?

Na początek proste pytanie: czy Twoja organizacja kontroluje Twoje dane, jeśli trafiają do Stanów Zjednoczonych?

W ustaleniu związku i wzajemnych relacji administrator–podmiot przetwarzający dane pomogą odpowiednie umowy i wiążące reguły korporacyjne. Firmy, które nie mogą skorzystać z tych umów oparły się wcześniej na porozumieniu Bezpiecznego Portu, które precyzuje zasady transferu danych do Stanów Zjednoczonych.Porozumienie Bezpiecznego Portu zostało unieważnione w roku 2015 i zostało zastąpione przez Ramy Tarczy Prywatności UE-USA w roku 2016.

Ramy Tarczy Prywatności zostały opracowane przez Departament Handlu Stanów Zjednoczonych i Komisję Europejską, aby stworzyć mechanizmy niezbędne do spełnienia wymogów ochrony danych podczas ich transferu z Unii Europejskiej do Stanów Zjednoczonych. Ramy Tarczy Prywatności wykorzystują własne metody certyfikacji i są otwarte dla organizacji amerykańskich.

W momencie gdy organizacja publicznie (za pośrednictwem strony internetowej) zobowiązuje się do przestrzegania zasad Tarczy Prywatności, zobowiązanie nabiera mocy prawnej w świetle amerykańskiego prawa.

Chociaż nadal trwa debata na temat tego, czy ramy Tarczy Prywatności pokonają trudności prawne, przepisy Tarczy zyskują na wiarygodności m.in. dlatego, że około 1750 organizacji, w tym Facebook, Google, Microsoft, czy Oracle zobowiązały przestrzegać przepisów i zostały zatwierdzone przez Komisję Europejską.

Od czego zacząć?

Osiągnięcie zgodności z RODO może wydawać się strasznie skomplikowane, ale jeżeli jesteś w stanie odpowiedzieć na powyższe pytania, to jesteś na dobrej drodze.

W kolejnych fazach Twoje odpowiedzi na wspomniane pytania pomogą Ci przygotować wstępny plan według następujących kroków:

  • Określ, jakie masz dane, gdzie są przechowywane i sprecyzuj profil ryzyka
  • Przeanalizuj przepływ danych i wszystkie punkty dostępu
  • Oceń aktualne zasady i procedury ochrony danych
  • Wykonaj analizę luk względem nowych regulacji
  • Zidentyfikuj technologię, procesy, umowy i zasoby, aby wyeliminować luki
  • Przejrzyj wstecz wdrożenia nowych elementów

Jak Grey Wizard dba o bezpieczeństwo danych ?

Grey Wizard Shield pozwala zredukować ryzyko wycieku danych poprzez ochronę twojej infrastruktury i środowiska internetowego przed atakami hakerskimi. Grey Wizard ochrania strony i aplikacje internetowe przed wyciekami danych osobowych.

Andrzej Prałat
Wojciech Maciejewski
×

Dla mediów

Podaj nam dane kontaktowe,
na które automatycznie wyślemy materiały.

Dziękujemy