General Data Protection Regulation (GDPR)

14-04-2017
General Data Protection Regulation

General Data Protection Regulation (GDPR), czyli Rozporządzenie o Ochronie Danych Osobowych (RODO), zastępuje dyrektywę 95/46/WE Parlamentu Europejskiego i Rady WE z 1995r. Rozporządzenie ma na celu wzmocnienie i ujednolicenie praw dotyczących prywatności w sieci i ochrony danych osób fizycznych na terenie Unii Europejskiej oraz uproszczenie regulacji bezpieczeństwa dla firm i organizacji obsługujących mieszkańców UE.

Wspólne Rozporządzenie zunifikuje 28 dotychczasowych regulacji w poszczególnych państw członkowskich, które Dyrektywę z 1995r. wdrażały w różnym stopniu i na różne sposoby.

8 kwietnia 2016r. Rada UE przyjęła rozporządzenie GDPR i powiązana z nim Dyrektywę. 14 kwietnia 2016r. Rozporządzenie i Dyrektywa zostały przyjęte przez Parlament Europejski, a 4 maja 2016r. ich oficjalne teksty zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej. Rozporządzenie zacznie obowiązywać od 25 maja 2018 roku.

Kluczowe zmiany obejmują:

• Prawo do wiedzy o naruszeniu bezpieczeństwa danych. Firmy musza informować kompetentne organy publiczne zajmujące się ochrona danych osobowych. O każdym przypadku naruszenia bezpieczeństwa danych w przypadku, gdy może ono narazić osobę, której dane zostały naruszone
oraz informować o naruszeniu samych zainteresowanych tak, by mogli przedsięwziąć odpowiednie kroki bezpieczeństwa. W Polsce organem zajmującym się bezpieczeństwem danych jest Generalny Inspektor Ochrony Danych Osobowych - GIODO.

• Silne egzekwowanie zasad bezpieczeństwa. Organy ochrony danych będą mogły karać firmy nie stosujące przepisów UE grzywna w wysokości nawet do 4% ich rocznego globalnego obrotu. Kary administracyjne nie są obligatoryjne, a o ich nałożeniu ma każdorazowo decydować rozpatrzenie indywidualnego przypadku. Organ nakładający kare nie będzie badał winy ani jej stopnia, a jedynie fakt zaistnienia danego naruszenia przepisów o ochronie danych osobowych.

• Uproszczenie prawa. Jedno europejskie prawo ochrony danych zastępuje 28 regulacji działających do tej pory w państwach członkowskich EU. Korzyści finansowe z unifikacji prawa dla firm operujących w UE szacowane są na około 2,3 mld € rocznie.

• 72 godziny - w takim czasie należy poinformować organ nadzorczy (GIODO) o wykryciu naruszenia bezpieczeństwa danych.

• Prawa UE musza być stosowane przy przekazywaniu za granice danych osobistych przez aktywne w UE firmy oferujące swoje produkty i usługi obywatelom UE oraz gdy firmy te monitorują zachowania osób w UE.

• „Zasada prywatności w ustawieniach domyślnych” i „Zasada prywatności w fazie projektowania”. Ich podstawowym celem jest uwzględnienie zasad ochrony prywatności w każdy projekcie zakładającym przetwarzanie danych osobowych tak, by od samego początku jego istnienia ochrona prywatności stanowiła jego integralną cześć. Zwiększenie przez UE bezpieczeństwa danych obliguje firmy i organizacje do odpowiedniej ochrony wrażliwych danych osobistych, zdefiniowanych jako: "informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, która można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczna,
fizjologiczna, genetyczna, psychiczna, ekonomiczna, kulturowa lub społeczna tożsamość
osoby fizycznej;" Tak szeroka definicja pozwala ująć nawet najprostsze informacje odnoszące
się do konkretnej osoby nawet niebezpośrednio.

Kary za niedostosowanie się do Rozporządzenia:

System kar został rozbudowany i zaostrzony. Wedle Artykułu 83. - Ogólne warunki nakładania administracyjnych kar pieniężnych - punkt 44 w zależności od skali zaniedbania może wynieść odpowiednio do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku (decyduje wartość wyższa) i do 20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku. Do tej pory w przypadku naruszenia bezpieczeństwa danych winowajca miał czas na uszczelnienie luk w ich ochronie. Przekroczenie wyznaczonego terminu lub niedopełnienie wymogów prawnych skutkowało kara administracyjna. Po wejściu GDPR kara administracyjna będzie mogła być wymierzana z automatu i bez możliwości odwołania się.

Przykłady zaniedbań podlegających grzywnie:
- Jeśli Administrator Danych Osobowych (ADO) nie wdrożył odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw osób, których dane dotyczą;
- Jeśli ADO nie uwzględnił ochrony danych w fazie projektowania (na etapie projektowania systemu informatycznego);
- Jeśli ADO nie zgłosił incydentu w ciągu 72h po stwierdzeniu naruszenia, organowi nadzorczemu (jeśli incydent skutkował naruszeniem praw lub wolności osób fizycznych).

Z kolei Artykuł 5. - Zasady dotyczące przetwarzania danych osobowych - stwierdza:
„1. Dane osobowe musza być:
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkowa utrata, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)”. Państwa członkowskie EU maja czas na wdrożenie regulacji GDPR do maja 2018. Niektóre kraje UE już rozpoczęły prace nad dostosowaniem swoich przepisów do Rozporządzenia.

System MDM, a GDPR

GDPR wymaga wdrożenia nowych procesów i polityk dających osobom większą kontrole nad swoimi danymi osobowymi. Wymusi to powstanie nowych procesów i instrukcji, ponownego przeszkolenia osób uprawnionych do przetwarzania danych osobowych, a także dostosowania obecnych systemów do nowych realiów prawnych. Kluczowe będzie tez wdrożenie nowych praktyk bezpieczeństwa ze szczególnym naciskiem na szyfrowanie przetwarzanych danych, bo jedna z kluczowych wytycznych GDPR jest zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych, a według artykułu 32. ("Bezpieczeństwo przetwarzania”) szyfrowanie urządzeń jest właściwym do tego środkiem. Wdrożenie systemu MDM wraz z konteneryzacją, prócz spełnienia wymogów szyfrowania GDPR, przyniesie Administratorom Danych Osobowych (ADO) również wymierne korzyści biznesowe - utrata urządzenia przenośnego zawierającego dane osobowe nie będzie musiała prowadzić do kary, jeśli tylko zostało ono wcześniej zabezpieczone przed utratą danych.

Takim rozwiązanie jest Proget MDM, które jest produktem polskim, dającym ADO narzędzie do zabezpieczenia danych na urządzeniach mobilnych z systemami Android, iOS i Windows. Dane służbowe są zaszyfrowane, a Administrator ma kontrolę zarówno nad nimi, jaki nad samym urządzeniem mobilnym.

Proget MDM to rozwiązanie idealnie dopasowane do GDPR, pozwalające w łatwy sposób sprostać Dyrektywie.

Bezpieczeństwo danych w firmie i poza nią

Proget MDM pozwala zabezpieczać i kontrolować urządzenia przenośne. Pozwala na stworzenie na urządzeniu bezpiecznej zaszyfrowanej przestrzeni, która daje gwarancję bezpieczeństwa danych. Zarówno wewnątrz firmy, jak również podczas podróży i spotkań służbowych. Urządzenia objęte systemem Proget MDM stają się integralną częścią infrastruktury bezpieczeństwa firmy. Administrator w łatwy i przejrzysty sposób może dopasować i ujednolicić poziom zabezpieczeń każdego urządzenia do polityki firmy.

Ochrona transmisji danych wrażliwych

Proget MDM umożliwia integrację z urządzenia mobilnego z serwerem pocztowym firmy, Exchange i Domino, jak również z pocztą która jest hostowana poza firmą za pomocą IMAP bądź POP3. Transmisje danych poczty możemy dodatkowo chronić za pośrednictwem szyfrowanego kanału VPN, a także uwierzytelnienia certyfikatami domeny. W podobny sposób możemy chronić aplikację firmowe niezbędne do codziennej pracy.

Blokowanie dostępu do niepożądanych aplikacji

Proget MDM daje możliwość kontroli aplikacji które są na urządzeniu przenośnym. Możliwe jest również stworzenie white i black list aplikacji do których użytkownik może mieć dostęp. Pozwala to w znaczący sposób podnieść poziom bezpieczeństwa jak również produktywność pracownika.

Dostęp do danych i aplikacji na żądanie

Proget MDM pozwala administratorowi na określenie poziomów dostępu do poszczególnych aplikacji i treści za pośrednictwem konsoli. W każdej chwili można modelować dostęp do danych wrażliwych poszczególnych użytkowników.

Bezpieczne usuwanie danych z urządzenia

Urządzenia objęte systemem Proget MDM są odporne na kradzież danych w wyniku utraty urządzenia.
Poza kontrolą funkcji urządzenia jakie daje Proget MDM możliwe jest usuwanie danych firmowych z urządzenia jak również usuwanie wszystkich danych jakie są na urządzeniu.

Dlaczego Proget MDM jest rozwiązaniem dla Ciebie?

  • System Proget MDM jest prosty w użyciu zarówno dla administratora jak i dla użytkownika;
  • Zapewnia wysoki poziom bezpieczeństwa urządzeń mobilnych za pośrednictwem intuicyjnej konsoli w języku polskim;
  • Pozwala na dostęp do danych firmowych bez spadków wydajności oraz obciążenia transmisji danych;
  • Umożliwia użytkownikowi w łatwy, szybki i bezpieczny dostęp do niezbędnych danych i aplikacji niezależnie od tego gdzie się znajduję;
  • Producent jak i świadczone wsparcie są w całości w języku polskim.

Potrzebujesz więcej informacji?
Skontaktuj się z nami:
33 822 14 85Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce. Polityka prywatności i wykorzystania plików cookies