Archiwum wg Tagów | "ochrona danych"

brainshare logo

Tags: , , , ,

Czy istnieje spokojne życie po RODO? Polski biznes w oparach absurdu

Dodany 23 sierpnia 2018 przez admin

Miało być bezpieczniej, klarowniej i oczywiście z obopólną korzyścią dla przedsiębiorców i ich klientów. Jedni widzieli w RODO receptę na bolączki obywateli umęczonych nagminnym wykorzystywaniem danych osobowych, inni dopatrywali się w rozporządzeniu uregulowania zasad współpracy z obecnymi i potencjalnymi kontrahentami. Tymczasem rzeczywistość jak zwykle brutalnie zweryfikowała hurraoptymistyczne założenia – system, który miał zatroszczyć się o ochronę danych osobowych, stał się przekleństwem przedsiębiorców i bronią obosieczną w rękach klientów. Czy unijna regulacja wniosła do polskiego biznesu coś więcej niż setki nonsensownych sytuacji, których firmy doświadczają obecnie na co dzień?

Temat RODO nie opuszczał mediów już na rok przed wejściem rozporządzenia w życie. Nic dziwnego, wszak dostosowanie procedur do nowych standardów wymagało od przedsiębiorców dużego nakładu pracy i funduszy. Polski biznes wcale nie spodziewał się po tej nowelizacji wielkiej rewolucji, ale też nikt nie zakładał, że dla niektórych podmiotów może być ona początkiem prawdziwych problemów. Kosztowna i pracochłonna modyfikacja systemów informatycznych nie dla każdego przedsiębiorcy okazała się końcem najtrudniejszych zmian. Jakie absurdy po wejściu nowej ustawy najczęściej mają miejsce w polskich firmach?

RODOmatrix: jak odróżnić prawdę od nonsensu?

O RODO mówili i wciąż mówią wszyscy, ale tak naprawdę tylko niewielu wie, o co tak naprawdę chodzi w unijnym rozporządzeniu. Wielu przedsiębiorców wciąż nie ma pojęcia, co jest daną osobową, a co zachowaniem tajemnicy. Dlatego też bardzo często skutkiem takiej niewiedzy są sytuacje, w których firmy odmawiają podania np. wyników finansowych czy numeru konta ZUS, powołując się na unijne rozporządzenie.

Pracując w branży księgowej na co dzień spotykamy się z danymi wrażliwymi, tj. bazami dostawców firmy, jej obrotami czy wynikami finansowymi. Jednak nie wszystkie te informacje  to dane osobowe. Ustawa o RODO nie mówi o potrzebie ochrony informacji np. o wielkości przychodu firmy w danym miesiącu. Taka dana podlega umowie o zachowaniu tajemnicy, a nie RODO. Duża część kontrahentów nie czuje tej różnicy. Wszelkie nieporozumienia nie wynikają oczywiście ze złej woli którejkolwiek ze stron, winna jest przede wszystkim powszechna dezinformacja na temat samego rozporządzenia – mówi Edyta Wojtas z SaldeoSMART.

Trudno zaprzeczyć, że brakuje podstawowych informacji na temat celu wdrożenia RODO, podanych oczywiście w zrozumiały sposób. Jesteśmy w stanie z pamięci cytować zawiłe formułki z rozporządzenia, chętnie powołujemy się na RODO podczas negocjacji, ale czy tak naprawdę wiemy, czemu dokładnie służy ta ustawa?

Tragifarsa z ekspertami w roli głównej

Głównym celem wdrożenia RODO było m.in. ujednolicenie prawa we wszystkich państwach unijnych. Założenie to wydaje się teraz trochę kuriozalne, ponieważ ustawa nie precyzuje ani tego, kto ma być odpowiedzialny za wybranie elementu ochrony, ani jak właściwie tę ochronę danych zapewnić. Skutkiem tego nieporozumienia są przede wszystkim próby narzucania przez firmy swoich warunków podczas negocjacji, co przyczynia się do zatrzymywania dynamiki biznesu.

Coraz częściej bowiem dochodzi do sytuacji, w których klienci próbują wymuszać własne standardy zabezpieczenia danych czy procedury ich przetwarzania i ochrony. Skutkuje to przesyłaniem dokumentów pomiędzy prawnikami i próbami przerzucania wszystkich ustawowych obowiązków na drugą stronę, zwłaszcza tych niemożliwych do spełnienia. Jest to szczególnie kłopotliwe w przypadku produktów sprzedawanych masowo i dostarczanych do klientów w tej samej formie.

W takich przypadkach ingerencja pojedynczego klienta w standardy bezpieczeństwa, wypracowywane nierzadko przez wiele lat, może nawet uniemożliwić dalszą współpracę. Negocjowanie indywidualnych umów z każdym klientem jest – zwłaszcza dla producenta masowo sprzedającego swoje usługi – bardzo trudne do zrealizowania. Niejednokrotnie firmy chcą spełnić wymagania tych kontrahentów, ale koszty niezbędnej obsługi ze strony prawników i wydłużenie czasu przygotowywania samej umowy są zbyt duże i z biznesowego punktu widzenia lepiej jest wówczas ze współpracy po prostu zrezygnować.

„Wolna amerykanka” w wydaniu unijnym

Nie jest tajemnicą, że na fali RODO podejmuje się coraz więcej błędnych decyzji. Wiele firm zrezygnowało np. z newsletterów, ponieważ dalsze używanie wiadomości mailowych w komunikacji wydawało im się zbyt skomplikowane z perspektywy zabezpieczenia danych. Coś, co zawsze było standardem komunikacji między przedsiębiorstwami, nagle stało się uciążliwym rozwiązaniem.

Niestety, takie przykłady można mnożyć – niektórzy przedsiębiorcy nadal przecież nie mają pojęcia, o co chodzi w nowej ustawie. Dlatego też chętnie polegają na opinii prawników czy posiłkują się wiedzą wyniesioną z mało praktycznych szkoleń. Nikt nie zwraca uwagi na to, że część z tych informacji jest bezwartościowa, że wciąż trudno uzyskać szczegółową wskazówkę od specjalisty.

Mam wrażenie, że po 25 maja niewiele się zmieniło: nadal otrzymujemy setki niechcianych wiadomości i figurujemy w tajemniczych bazach danych. Ponadto, niektóre operacje firmowe pochłaniają teraz nieco więcej czasu, a sam proces sprzedażowy stał się bardziej wymagający dla obu stron. Najbardziej jednak irytują niejasności spowodowane swobodą w interpretacji treści rozporządzenia – mam nadzieję, że z czasem przepisy zostaną sprecyzowane i każdy przedsiębiorca będzie dokładnie wiedział, na co w ramach RODO może sobie pozwolić – podkreśla Edyta Wojtas z SaldeoSMART.

RODO to wciąż drażliwy temat: najpierw spędzał przedsiębiorcom sen z powiek, aby potem, kiedy wejdzie w życie na dobre, powodować interpretacyjne zamieszanie. Z jednej strony, chaos często wpisany jest w harmonogram dużych i szybkich zmian. Z drugiej strony nasuwa się jednak pytanie, czy swobodna interpretacja przepisów oraz obecność spamu w skrzynkach to zmiany, o które przedsiębiorcom chodziło. Jedno jest pewne: w dobie cyfryzacji właściwa ochrona danych osobowych jest kwestią priorytetową. Ważne jednak, aby na fali nowego rozporządzenia unijnego nie tracić zdrowego rozsądku i skupiać się przede wszystkim na kwestiach ułatwiających pracę i przyczyniających się do wzrostu bezpieczeństwa danych, a unikać sytuacji, w których współpraca biznesowa może być niepotrzebnie utrudniona.

Źródło: SaldeoSMART

Komentarzy (0)

infakt logo

Tags: , , ,

RODO w blogosferze – o czym trzeba pamiętać?

Dodany 30 maja 2018 przez admin

Prowadzisz bloga i zastanawiasz się, w jakim zakresie przepisy RODO dotyczą Twojej działalności? Eksperci inFakt wyjaśniają, jakie obowiązki muszą spełnić blogerzy i którzy spośród nich są w myśl przepisów rozporządzenia administratorami danych osobowych.

To, w jakim zakresie RODO będzie obowiązywało blogera, zależy od skali jego działalności. Inne wymogi są postawione przed osobą, która jedynie publikuje wpisy na platformie blogowej, a inne przed osobą, która wysyła newslettery do czytelników czy też zbiera kontakty od potencjalnych klientów. W tym ostatnim przypadku bloger przetwarza dane osobowe i będą go obowiązywały przepisy dotyczące administratorów tych danych.

Blog na zewnętrznej platformie

Kiedy bloger ogranicza się do publikowania postów na jednej z dedykowanych do tego platform, RODO może nie mieć zastosowania. Dane osobowe są bowiem wówczas przetwarzane przez właściciela platformy blogowej – jako przykłady można podać np. Disqus.com lub Blogspot.com. Czytelnik, który czyta wpisy blogera w jednym z takich miejsc, wyraża zgodę na przetwarzanie swoich danych osobowych przez właściciela platformy.

Nie zaszkodzi oczywiście ostrożność – bloger powinien upewnić się, czy właściciel platformy przestrzega przepisów RODO – najlepiej sprawdzić regulamin i / lub dopytać przedstawiciela platformy.

Warto pamiętać, że w określonych przypadkach także sam bloger może podlegać przepisom RODO. – Jeżeli na blogu jest możliwość zamieszczania komentarzy i bloger może je moderować, to w mojej opinii dochodzi do przetwarzania danych osobowych – zwraca uwagę Magda Sławińska-Rzemek, ekspert w firmie inFakt, oferującej nowoczesne rozwiązania księgowe.

Blog na własnej stronie

Blogerzy, którzy publikują na własnej stronie internetowej, mają szerszy zakres obowiązków związanych z RODO. Jeśli dodatkowo wysyłają np. newsletter do swoich czytelników, niesie to kolejne konsekwencje.

Jeżeli zbieramy dane subskrybentów, aby wysyłać newslettery, to należy przyjąć, że przetwarzamy dane osobowe. Wobec tego należy pamiętać o wywiązaniu się ze wszystkich wymogów nakładanych przez RODO – mówi Magda Sławińska-Rzemek

Jakie są obowiązki blogera?

Bloger, który przetwarza dane osobowe i w myśl RODO staje się ich administratorem, musi pamiętać o kilku obowiązkach, wśród których są:

– przygotowanie rejestru czynności przetwarzania danych osobowych – jest to tabela, w której ujęte są podstawowe wiadomości takie jak dane blogera; nazwa czynności, które wymagają przetwarzania danych; wskazanie celu ich przetwarzania oraz podstawy prawnej; określenie kategorii osób, których dane będą przetwarzane oraz termin usunięcia danych;

– zawarcie umowy przetwarzania danych – np. w sytuacji, kiedy bloger przekazuje dane czytelników lub subskrybentów firmie świadczącej usługi hostingowe;

– wdrożenie środków ochrony danych – czyli odpowiednie zabezpieczenie i zaszyfrowanie urządzeń, na których są przetwarzane dane, a także zainstalowanie odpowiedniego oprogramowania ochronnego;

– opublikowanie odpowiednich klauzul o przetwarzaniu danych osobowych – muszą być zawarte w miejscu zbierania danych.

Natomiast przygotowanie polityki prywatności nie jest obowiązkowe. Jeśli jednak bloger zechce ją opracować, to powinna ona zawierać m.in. informacje o plikach cookies czy o polityce bezpieczeństwa.

Należy tutaj zaznaczyć, że RODO dopiero weszło w życie i brak jest jeszcze jakichkolwiek opinii ze strony instytucji stosujących te przepisy – zwraca uwagę Magda Sławińska-Rzemek. – W doktrynie prawa pojawia się wiele, czasem sprzecznych ze sobą, poglądów i interpretacji. W Polsce nie zostały jeszcze uchwalone wszystkie akty prawne związane z RODO, a ich wejście w życie również będzie miało znaczący wpływ na sposób interpretacji tego rozporządzenia – podsumowuje ekspertka.

Źródło: inFakt

Komentarzy (0)

veeam logo

Tags: , , ,

RODO: 5 wskazówek, jak wykorzystać czas do 25 maja

Dodany 20 maja 2018 przez admin

Chyba nie ma już dziś osoby, która nie słyszałaby o unijnym rozporządzeniu o ochronie danych osobowych (RODO). Przepisy wchodzą w życie 25 maja, co oznacza, że grzywny za niezachowanie zgodności z nowym prawem czają się tuż za rogiem. Zapraszamy do zapoznania się z pięcioma poradami, które pozwolą uniknąć nieprzyjemnych incydentów. 

Warto pamiętać, że droga do sfinalizowania unijnej dyrektywy była długa i wyboista – wszystko zaczęło się w 2012 roku, kiedy Komisja Europejska zaproponowała kompleksową reformę przepisów o ochronie danych z 1995 r. Propozycje zmieniły się w plany, a te stają się wreszcie rzeczywistością. Po wszystkich rozmowach, komentarzach, radach i debatach, okres dostosowawczy dobiega końca. W tym czasie bynajmniej nie brakowało informacji o tym, czego można oczekiwać po nowych regulacjach. Ogromna ilość literatury związanej z RODO (ang. GDPR, General Data Protection Regulation) jest jednak uzasadniona, zważywszy na skutki rozporządzenia.

RODO wywrze głęboki wpływ na wszystkie organizacje, które są odpowiedzialne za przetwarzanie i przechowywanie danych osobowych obywateli Unii Europejskiej. W praktyce oznacza to, że odczują go również firmy spoza Europy. W istocie każda organizacja, która prowadzi interesy z partnerem w Europie, będzie podlegać nowym regułom. W dzisiejszym cyfrowym świecie bez granic globalne przedsiębiorstwa będą zobligowane przestrzegać tych samych przepisów dotyczących przetwarzania informacji osobowych.

Przypomnijmy, że grzywny mogą być bardzo wysokie: do 4 proc. rocznego obrotu organizacji albo 20 milionów euro – w zależności od tego, która kwota jest większa. W obliczu nadchodzącego terminu wejścia w życie nowego prawa, warto dokładnie i kilkukrotnie sprawdzić to, czy firma jest odpowiednio przygotowana. Ryzyko niezgodności z przepisami i grożące kary finansowe są zbyt duże, żeby zdać się na łut szczęścia.

Andrzej Niziołek z Veeam Software w prosty sposób opisuje kilka istotnych aspektów, na które warto zwrócić uwagę podczas końcowego odliczania.

  1. Upewnij się, że każdy wie o nowych przepisach

Niektóre firmy i organizacje przygotowujące się na RODO mianują albo już mianowały inspektora ochrony danych osobowych. W istocie w niedawnym artykule w IT Pro można było przeczytać o firmach nerwowo poszukujących kandydatów na to stanowisko. Nawet jeśli niektóre zwlekały z zatrudnieniem takiego specjalisty zbyt długo, rekrutacja takiej osoby to rozsądna decyzja, ponieważ inspektor nie tylko jest przydatnym ekspertem, ale może być również orędownikiem RODO – kimś, kto zaznajomi całą firmę z najlepszymi praktykami RODO. Co więcej, będzie umiał zarekomendować narzędzia, które pomogą w tworzeniu zapasowych kopii danych na wypadek ataku.

Ale nawet przedsiębiorstwa, które nie planują zatrudnić inspektora danych osobowych, powinny pamiętać, że RODO jest sprawą całej organizacji. Oznacza to, że wszyscy kluczowi interesariusze powinni dobrze zrozumieć implikacje i wymagania nowych przepisów oraz ich wpływ na procesy w firmie.

  1. Przeprowadź audyt danych

W tym momencie każda firma powinna już wiedzieć, jakie dane osobowe posiada w swoich zasobach informatycznych, gdzie i jak są one przechowywane oraz skąd pochodzą. Organizacje powinny też wiedzieć, dlaczego są w posiadaniu tych informacji oraz w jaki sposób je uzyskały. Lokalne agencje ds. zgodności z RODO mogą im zadać każde z tych pytań.

Jeśli Twoja firma nie dysponuje takim poziomem wiedzy, czas się pospieszyć i znaleźć odpowiedzi na pytania. Od końca maja 2018 r. trzeba będzie umieć określić podstawę prawną do przetwarzania danych. Władze nie będą pobłażać firmom, które padają ofiarą ataków, a nie mają kopii zapasowych, które zapewniałyby bezpieczeństwo danych. Grzywny są realne, o czym niebawem przekonamy się na czyimś przykładzie.

  1. Zapoznaj się z prawami konsumentów dotyczącymi prywatności

Jedną z dużych zmian, jakie przynosi RODO, są większe prawa obywateli związane z zarządzaniem danymi. Warto przywołać w tym miejscu konkretny przykład dowodzący siły tego narzędzia – w ciągu trzech minionych lat do Google wpłynęło 2,4 mln wniosków o usunięcie wyników wyszukiwania. Liczba ta szybko wzrośnie, kiedy ludzie lepiej zrozumieją swoje prawo do bycia zapomnianym.

Oprócz tego właściciele danych osobowych będą mogli domagać się dostępu do informacji personalnych albo do otrzymania ich kopii (w czytelnym dla nich formacie). Jeśli nie chcesz, żeby prawo to stało się dużym obciążeniem dla Twojej organizacji, upewnij się, że możesz oznaczyć lokalizację każdego zbioru danych, aby w razie potrzeby móc uzyskać do niego dostęp. To mała zmiana, które może przynieść duże korzyści.

  1. Stwórz plan na wypadek naruszenia ochrony danych

Według przepisów RODO organizacje muszą zgłosić naruszenie ochrony danych w ciągu 72 godzin od jego wykrycia. Nie zostawia to wiele czasu, zwłaszcza że pierwsze godziny po włamaniu będą bardzo nerwowe ze względu na konieczność zabezpieczenia śladów i zapanowania nad sytuacją. W rezultacie trzeba zadbać o przygotowanie właściwego planu, który umożliwi wykrycie, zgłoszenie i opanowanie incydentu, jeśli do niego dojdzie.

Tu może pomóc dodatkowe oprogramowanie do raportowania. Narzędzia, które pozwalają firmom dokładnie wskazać lokalizację repozytoriów kopii zapasowych, mogą oszczędzić dużo czasu podczas zgłaszania incydentu  A jeśli dane staną się niedostępne z powodu złośliwego oprogramowania, technologie do przywracania umożliwią ich łatwe odzyskanie.

  1. Nie przestawaj udoskonalać wewnętrznych procedur

Oczywiście dobrze jest mieć plan, ale jeszcze lepiej jest pozostawić miejsce na ciągłe ulepszenia. Zwłaszcza wówczas, kiedy w grę wchodzi dostępność, jakość i bezpieczeństwo danych – kiedy dane stają się jednym z najcenniejszych zasobów naszych czasów.

Zważywszy na tempo, w jakim zmienia się współczesny świat, jest bardzo prawdopodobne, że w najbliższych latach będzie zmieniał się również krajobraz cyfrowy – nawet jeszcze szybciej niż w ciągu minionej dekady. Dlatego trzeba iść z duchem czasu, testując nowe technologie i ewoluując wraz z nimi. RODO nie kończy się 25 maja, ale właśnie wtedy się dopiero zaczyna.

Autor: Andrzej Niziołek, starszy menedżer regionalny Veeam Software w północnej i południowej części Europy Wschodniej

Komentarzy (0)

Tags: , ,

GDPR – niedostateczna ochrona danych będzie bardzo kosztowna

Dodany 23 stycznia 2017 przez admin

Rok 2017 to czas, jaki mają polskie firmy na dostosowanie się do nowych unijnych rozporządzeń o ochronie danych osobowych, znanych pod skrótem GDPR (General Data Protection Regulation). Jeśli tego nie zrobią, grożą im kary w wysokości do 20 milionów euro lub 4 proc. rocznego obrotu.

Nowa europejska regulacja będzie obowiązywać od maja 2018 roku we wszystkich krajach UE. Wydaje się to dość odległym terminem, ale skala wyzwań związanych ze spełnieniem wymogów nowych regulacji jest na tyle duża, że przygotowania należy zacząć jak najwcześniej. Odpowiedzi na najczęściej zadawane pytania związane z tymi wyzwaniami przygotowała firma Onwelo SA, która m.in. zajmuje się usługami doradczymi i wykonawczymi w zakresie cyberbezpieczeństwa.

Jakie firmy muszą się dostosować do nowych przepisów?

Nowe przepisy w zakresie ochrony danych osobowych będą obowiązywały każdą firmę, która przetwarza dane osobowe w sposób automatyczny. W tej grupie są np. serwisy społecznościowe, sklepy internetowe, apteki, uczelnie, towarzystwa ubezpieczeniowe czy banki.

Należy pamiętać, że nowe obowiązki dotyczą tych firm i instytucji, które przetwarzają dane osobowe obywateli któregoś z państw UE lub gdy przetwarzanie danych odbywa się choćby w minimalnym stopniu na terenie UE – np. przez fizyczną lokalizację siedziby bądź oddziału firmy na terenie państwa członkowskiego” – tłumaczy Rafał Głąb, odpowiedzialny za usługi w zakresie bezpieczeństwa danych w Onwelo.

Czy muszę zatrudnić odrębną osobę do ochrony danych osobowych?

Wedle regulacji GDPR, wymóg zatrudnienia osoby odpowiedzialnej za ochronę danych osobowych jest obligatoryjny, ale jedynie w kilku przypadkach. Dotyczy to:

  • wszystkich podmiotów publicznych (poza organami sądowymi),
  • firm, których główna działalność polega na przetwarzaniu szczególnych danych osobowych, np. danych etnicznych, rasowych, dotyczących seksualności, poglądów politycznych, religijnych, czy też np. wyroków z przeszłości,
  • firm, które monitorują zachowanie osób i jednocześnie przetwarzają ich dane osobowe (pod tę definicję pochodzi np. Facebook albo Google).

Osoba na stanowisku Inspektora/Oficera Ochrony Danych może być wspólna dla grupy firm czy instytucji, o ile jest z nią zawsze łatwy kontakt niezależnie od geograficznego położenia każdej z firm czy instytucji.

Co to jest „Data Protection Impact Assessment” i czy muszę go mieć?

Każda z firm, która w automatyczny sposób przetwarza dane osobowe i z tego powodu podlega pod nowe regulacje, musi stworzyć sformalizowaną i udokumentowaną ocenę skutków ochrony danych (z ang. – „Data Protection Impact Assessment”).

Takie opracowanie musi zawierać dokładny i systematyczny opis celów przetwarzania danych, a także planowanych operacji z tym związanych. Należy także wyjaśnić jaki to ma związek z działalnością organizacji. Dokument musi zawierać także ocenę, czy operacje przetwarzania są niezbędne i proporcjonalne do wyznaczonych celów, a także oszacowanie ryzyka naruszenia praw lub wolności osób, których dane są przetwarzane. Każda organizacja musi także przedstawić środki planowane w celu zaradzenia potencjalnemu ryzyku. Każdorazowo w przypadku zmiany ryzyka trzeba też korygować DPIA” – wyjaśnia Marcin Baranowski, ekspert ds. bezpieczeństwa IT w firmie Onwelo.

Jeśli ocena wykaże, że ryzyko naruszenia danych osobowych jest wysokie, administrator danych ma obowiązek skonsultowania się z organem nadzorczym przed rozpoczęciem przetwarzania danych. Ten w terminie do 8 tygodni (przedłużalne do 14 tygodni) wydaje pisemne zalecenia, w jaki sposób należy to ryzyko zminimalizować.

Na co jeszcze należy uważać, aby uniknąć kar?

GDPR wprowadza także szereg zmian w już istniejących przepisach dot. ochrony danych osobowych, które będą musiały znaleźć odzwierciedlenie w regulaminach i polityce prywatności firm. Konieczne będzie np. udokumentowanie każdego z miejsc i zakresu przetwarzania danych, uzupełnienie wszystkich wymaganych zgód, w sposób widoczny i jawny, a także wdrożenie narzędzi do monitorowania procesu przetwarzania danych i do alarmowania o wykrytych nieprawidłowościach.

Każdorazowo informacja o naruszeniu danych osobowych będzie musiała być przekazywana do GIODO, a także do wszystkich osób, których dane zostały naruszone. Jeśli kontakt z takimi osobami wymagałby niewspółmiernie dużego wysiłku, będzie można wydać np. publiczny komunikat. Zgłoszenie o naruszeniu danych musi zawierać opis charakteru naruszenia, imię, nazwisko i dane kontaktowe do administratora danych, a także opis możliwych konsekwencji naruszenia oraz środków podjętych w celu zaradzenia naruszeniu danych. Jeśli zgłoszenie o naruszeniu danych osobowych zostanie przekazane po 72 godzinach, będzie także należało dołączyć wyjaśnienie przyczyn opóźnienia” – tłumaczy Rafał Głąb.

Czy należy bać się GDPR?

Nowe przepisy z pewnością będą uciążliwe do wdrożenia, w szczególności dla małych firm czy e-sklepów. Dostosowanie się do nowych regulacji będzie wymagało od nich przejrzenia już istniejących regulacji w zakresie ochrony danych osobowych, istniejących procedur i narzędzi, a następnie uaktualnienia ich w zgodzie z nowymi przepisami. Dla większych firm, które przetwarzają duże ilości danych osobowych i gdzie ryzyko ich naruszenia jest większe, będzie to także duże wyzwanie. Będą one musiały dołożyć wszelkich starań, aby odpowiednio zabezpieczyć przetwarzane przez siebie dane osobowe i tym samym nie narazić się na drakońskie kary.

Przy tym wszystkim należy jednak pamiętać, że nowe regulacje zostaną wprowadzone z myślą o ochronie nas wszystkich i myślę, że to dobrze, że przetwarzające nasze dane osobowe firmy i instytucje będą musiały starać się to robić tak bezpiecznie, jak to tylko możliwe” – podsumowuje Rafał Głąb.

Źródło: Onwelo

Komentarzy (0)

aruba cloud logo m

Tags: , , , , , , ,

Koalicja dostawców infrastruktury chmurowej CISPE wprowadza kodeks postępowania w dziedzinie ochrony danych

Dodany 01 października 2016 przez admin

– Dostawcy usług infrastruktury chmurowej w Europie (Cloud Infrastructure Services Providers in Europe, CISPE), nowo utworzona koalicja ponad 20 dostawców usług chmurowych działających na terenie Europy, ogłosiła wprowadzenie pierwszego w historii kodeksu postępowania w dziedzinie ochrony danych. Zgodnie z tym dokumentem dostawcy usług infrastruktury chmurowej zobowiązani są do oferowania swoim klientom[1] możliwości przetwarzania i magazynowania danych wyłącznie w obrębie terytorium Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego. Firma Aruba S.p.A. – właściciel marki Aruba Cloud – jest jednym z inicjatorów utworzenia tego kodeksu.

Zgodnie z Kodeksem Postępowania CISPE, dostawcy infrastruktury chmurowej nie mogą eksplorować danych ani profilować danych osobowych klientów na potrzeby marketingu, reklamy lub podobnych działań. Nie mogą tego czynić ani na potrzeby własne ani w celu odsprzedaży stronom trzecim. Kodeks CISPE wyprzedza wprowadzenie nowego unijnego Rozporządzenia o Ochronie Danych Osobowych (General Data Protection Regulation, GDPR). Jest on zgodny z wymaganiami określonymi w tym nowym rozporządzeniu, mającymi na celu przede wszystkim oddanie obywatelom kontroli nad własnymi danymi osobowymi oraz uproszczenie środowiska ustawodawczego dla międzynarodowego biznesu poprzez ujednolicenie ustawodawstwa w obrębie UE. CISPE zrzesza zarówno większych jak i mniejszych wiodących usługodawców w dziedzinie infrastruktury chmurowej, których siedziby i miejsca prowadzenia działalności znajdują się w ponad 15 krajach.

Historia

Członkowie CISPE, koalicji firm zajmujących się dostarczaniem infrastruktury w modelu cloud w Europie, ogłosili dziś utworzenie swojej organizacji oraz zobowiązali się do przestrzegania Kodeksu Postępowania w dziedzinie ochrony danych. Kodeks Postępowania CISPE ułatwi klientom ocenę tego, czy usługi infrastruktury chmurowej są dla nich odpowiednie na potrzeby przetwarzania danych osobowych, które chcą prowadzić. Te spośród nich, które zostaną uznane za odpowiednie będą identyfikowane Znakiem Zaufania (Trust Mark). Dostawcy infrastruktury chmurowej będą mogli wykorzystywać ten znak w celu pokazania klientom, że stosują się do zapisów Kodeksu CISPE. Organizacje przestrzegające tego kodeksu zostaną także wymienione na stronie internetowej CISPE.

Dzięki Kodeksowi Postępowania CISPE klienci otrzymają zapewnienie, że dostawcy infrastruktury chmurowej nie będą przetwarzać ich danych osobowych na korzyść własną ani w celu odsprzedaży stronom trzecim, na przykład w celu eksploracji danych osobowych, profilowania osób, których dane osobowe dotyczą, marketingu czy podobnych działań. „Jest to pierwszy ogólnobranżowy Kodeks Postępowania, który tym się zajmie. Zapewnia on klientom gwarancję, że ich dane pozostaną zawsze ich własnością, będącą pod ich kontrolą” – mówi Alban Schmutz, wiceprezes OVH i przewodniczący CISPE.

Co więcej, dostawcy posiadający certyfikat przestrzegania Kodeksu Postępowania CISPE muszą oferować klientom możliwość przetwarzania i magazynowania danych wyłącznie w obrębie terytorium UE lub EOG. Oznacza to, że klienci branżowi lub sprzedawcy oprogramowania zamawiający takie usługi infrastruktury chmurowej będą mieli kontrolę nad tym, gdzie ich dane są przetwarzane i fizycznie przechowywane, wiedząc jednocześnie, że ich usługodawca nie wykorzysta tych danych w inny sposób ani ich nie odsprzeda.

„Popyt na solidną infrastrukturę chmurową, w której klienci mają gwarancję, że ich dane są dobrze chronione, wyraźnie się zwiększa – komentuje dzisiejsze wieści europosłanka Eva Paunova, członkini Komisji Rynku Wewnętrznego i Ochrony Konsumentów. „Jako ustawodawcy możemy przygotować akt prawny, który będzie prezentował się idealnie na papierze, jednak kluczowe jest, aby wiedzieć, co jest wykonalne i co działa w praktyce. Dlatego też z zadowoleniem przyjmuję Kodeks Postępowania CISPE i to, w jaki sposób pozwala on europejskim klientom korzystającym z chmury poczuć, że treści do nich należące są objęte wysokim standardem ochrony danych”.

Nowy Kodeks Postępowania CISPE zapewnia klientom usług infrastruktury chmurowej ważne narzędzie gwarantujące przestrzeganie prawa. Ponadto pomaga rozpoznawać tych dostawców, którzy umożliwiają im tworzenie usług i aplikacji zgodnych z obowiązującymi przepisami UE w zakresie ochrony danych, poprzez utrzymanie treści w obrębie UE lub EOG. Kodeks CISPE oraz Znak Zaufania przyznawany tym dostawcom chmury, którzy go przestrzegają, pokazują także, że dostawcy usług zobowiązują się do utrzymania najwyższego poziomu ochrony danych oraz przestrzegania praktyk całkowicie zgodnych z wymogami Unii Europejskiej.

„Kodeks Postępowania CISPE pokazuje, że europejska branża cloud computingu jest w stanie zapewnić bezpieczne i zgodne z przepisami usługi dotyczące wszelkich danych osobistych i technicznych w Europie oraz zwiększyć zaufanie do usług cyfrowych” – mówi Axelle Lemaire, francuski Minister ds. Cyfryzacji i Innowacji.

Kodeks CISPE poprzedza wejście w życie (w maju 2018 roku) nowego, bardziej rygorystycznego Rozporządzenia o Ochronie Danych Osobowych i buduje uznawane międzynarodowo normy zabezpieczeń, zwiększające bezpieczeństwo przetwarzania danych z korzyścią dla wszystkich klientów chmur oraz ich użytkowników. Nowy Kodeks Postępowania został skonstruowany w taki sposób, aby był zgodny z rozporządzeniem GDPR, gdy wejdzie ono w życie.

Wprowadzenie Kodeksu Postępowania CISPE nastąpiło dziś, podczas konferencji przy okrągłym stole, która odbyła się w Brukseli i w której uczestniczyli kluczowi gracze w branży, małe i średnie przedsiębiorstwa oraz ustawodawcy. Jej gospodarzem była europosłanka Eva Paunova, członkini Komisji Rynku Wewnętrznego i Ochrony Konsumentów.

Informacje ogólne

Informacje o CISPE – CISPE to koalicja firm technologicznych skupiających się na dostarczaniu infrastruktury dla obliczeń w chmurze (IaaS) w całej Europie. Kodeks postępowania CISPE popierają dostawcy infrastruktury chmurowej z siedzibami w 11 krajach Europy (Bułgarii, Francji, Niemczech, Hiszpanii, Finlandii, Włoszech, Holandii, Norwegii, Polsce, Szwajcarii i Wielkiej Brytanii), działające w ponad 15 krajach. Są to: Arsys, Art of Automation, Aruba, BIT, Daticum, Dominion, Fasthosts, FjordIT, Gigas, Hetzner Online, Home, Host Europe Group, IDS, Ikoula, LeaseWeb, Lomaco, Outscale, OVH, Seeweb, Solidhost, UpCloud, VTX, XXL Webhosting oraz 1&1 Internet. Koalicją CISPE zarządza większość (a) organizacji z globalną siedzibą w UE/EOG, z reprezentacją pochodzącą z co najmniej trzech różnych Państw Członkowskich, oraz (b) większość małych i średnich firm (<1 mld € rocznego obrotu). W CISPE uczestniczyć może każdy dostawca infrastruktury chmurowej, którego usługi spełniają wymagania w zakresie prywatności i bezpieczeństwa przetwarzania danych określone w Kodeksie CISPE. CISPE zadba o to, aby dostawcy infrastruktury chmurowej, w szczególności małe i średnie przedsiębiorstwa, były w centrum debaty na temat europejskiego porządku publicznego w zakresie cloud computingu.  Członkowie CISPE podzielają zaangażowanie Komisji Europejskiej w ułatwianie dostępu do dóbr i usług cyfrowych oraz tworzenie środowiska, w których usługi cyfrowe mogą się dobrze rozwijać.

Jak uczestniczyć w Kodeksie Postępowania CISPE i czerpać z niego korzyści?  Więcej informacji na temat stowarzyszenia i Kodeksu Postępowania CISPE można znaleźć pod adresem: WWW.CISPE.CLOUD

 

Informacje o infrastrukturze chmurowej[2] – Infrastruktura jako usługa (ang. skrót „IaaS”) znajduje się w centrum planów cyfryzacji Europy oraz nowej gospodarki. Infrastruktura chmurowa umożliwia innowatorom szybkie wdrażenie globalnych rozwiązań bez potrzeby ponoszenia nakładów kapitałowych lub zajmującego sporo czasu wdrażania infrastruktury prywatnej. Dostawcy rozwiązań IaaS specjalizują się w udostępnianiu swoim klientom infrastruktury do przetwarzania i magazynowania danych, nie mając jednocześnie dostępu do danych, które są u nich przechowywane bądź przetwarzane. Dostawcy infrastruktury zapewniają swoim klientom możliwość uzyskania bardzo wysokiej elastyczności technicznej i finansowej. Są oni dostawcami, na bazie których inne podmioty działające w obszarze cloud computingu budują swoje własne usługi świadczone klientom. Wdrożenie infrastruktury do obliczeń w chmurze stanowi klucz do sukcesu Jednolitego Europejskiego Rynku Cyfrowego, ponieważ pozwala firmom oraz podmiotom administrującym skupić się na innowacjach oraz wysokiej jakości produktach i usługach.

[1] Sprzedawcom oprogramowania, integratorom systemów, przedsiębiorstwom produkcyjnym i usługowym, administracjom, organizacjom pozarządowym, itd.

[2] IaaS lub Infrastruktura Chmurowa jako Usługa (ang. Cloud Infrastructure as a Service): usługodawca wynajmuje infrastrukturę technologiczną, tzn. wirtualne serwery zdalne, na których użytkownik końcowy może oprzeć swoje działania zgodnie z określonymi mechanizmami i ustaleniami, tak aby zastąpienie firmowych systemów informatycznych znajdujących się na terenie firmy i/lub wykorzystanie najętej infrastruktury w dodatku do systemów firmowych było dla niego proste, skuteczne i korzystne. Usługodawcy tacy są zazwyczaj wyspecjalizowanymi graczami na rynku i opierają się na złożonej fizycznej infrastrukturze, która często rozciąga się na kilka obszarów geograficznych.

Źródło; Aruba Cloud

Komentarzy (0)

Zdjęcia z naszego Flickr'a

Zobacz więcej zdjęć

Reklama

Straciłeś dane? Skontaktuj się z Kroll Ontrack

POWIĄZANE STRONY