Aktualności

Aktualności

RODO (GDPR). Przygotowanie do nowych przepisów o ochronie danych osobowych obowiązujących w całej Unii Europejskiej

Nowe regulacje dotyczą zabezpieczeń danych osobowych przetwarzanych w systemach informatycznych jak i poza nimi. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane w skrócie RODO, ustanawia zupełnie nowy zestaw wymagań w zakresie zabezpieczeń systemów informatycznych. Dotychczas obowiązujące przepisy w Polsce, ustanowione ustawą o ochronie danych osobowych, określały wprost zakres minimalnych zabezpieczeń technicznych i organizacyjnych niezbędnych dla zapewnienia ochrony adekwatnej do zagrożeń oraz kategorii danych osobowych. RODO wprowadza zupełnie inne podejście do zabezpieczeń. Należy określić zagrożenia dla danych osobowych, zidentyfikować słabości i na tej podstawie ocenić ryzyka dla praw i wolności osób, których te dane dotyczą.

W RODO znajdziemy wymaganie wskazujące na konieczność zapewnienia bezpieczeństwa w stosunku do przetwarzania i zapobiegać przetwarzaniu z naruszeniem przepisów. Należy więc zapewnić bezpieczeństwo przetwarzanych danych osobowych odpowiednie do wymagań poufności, integralności oraz dostępności tych danych. Ochrona powinny być stosowana przed nieuprawnionym dostępem do danych, jak i do sprzętu służącego do przetwarzania. Dobór zabezpieczeń powinien uwzględniać bieżący stan wiedzy technicznej w technologiach informatycznych. Ponadto dobór zabezpieczeń powinien uwzględniać również koszty ich wdrożenia. Ostatecznie wybór zabezpieczenia powinien być adekwatny do ryzyka naruszenia bezpieczeństwa danych osobowych, z uwzględnieniem wspomnianych czynników oraz charakteru danych osobowych wymagających ochrony.

Wymagania dla bezpieczeństwa danych osobowych zostały zapisane w RODO w Sekcji 2. Podstawowym wymaganiem jest bezpieczeństwo przetwarzania. Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający oszacowanemu ryzyku. Ryzyko powinno być adekwatne do stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych.

W praktyce organizacje przetwarzające dane osobowe mają obowiązek wdrożenia dwóch rodzajów zabezpieczeń: organizacyjnych oraz technicznych. Dobierając zabezpieczania, należy kierować się dobrymi praktykami w danej dziedzinie, normami oraz standardami wykorzystywanymi w obrocie profesjonalnym.

Zapewnienie bezpieczeństwa danych w systemie informatycznym to także zastosowanie środków organizacyjnych, fizycznych i technicznych w celu zabezpieczenia ich przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Ponadto w sytuacji, gdy jest to niezbędne, należy rozważyć wdrożenie odpowiednich polityk ochrony danych.

Większość istotnych informacji, które firmy oraz jednostki publiczne wykorzystują w swojej działalności, przetwarzana jest w systemach teleinformatycznych. Ochrona tych danych staje się coraz bardziej złożona i wymaga spełnienia wielu wymagań prawnych. Ustawa o ochronie danych osobowych określa od 1997 roku zasady i wymagania dla podmiotów przetwarzających dane osobowe. Są one obecnie przetwarzane zarówno w postaci papierowej, jak i elektronicznej. Jednak coraz większa ich część znajduje się w postaci dokumentów elektronicznych w bazach danych i plikach pakietów biurowych. Ochrona danych osobowych jest więc procesem złożonym, wymagającym od zarządzających bezpieczeństwem uwzględnienia wielu zapisów prawnych, określenia technicznych środków ochrony oraz implementacji odpowiednich konfiguracji urządzeń i oprogramowania zabezpieczającego. Systemy i usługi chroniące dane osobowe powinny być zlokalizowane w odpowiednich miejscach, minimalizując ryzyko wystąpienia zagrożenia. Miejsca przetwarzania i składowania informacji powinny być określone, a ryzyka i potencjalne zagrożenia zidentyfikowane w celu optymalnego dopasowania środków ochrony.

Polityka Bezpieczeństwa Informacji

Sprawne zarządzanie bezpieczeństwem informacji w każdej organizacji wymaga ustanowienia przejrzystych i zrozumiałych reguł działania. Nie jest to proste zadanie, z uwagi na złożoność tego procesu. Nasze doświadczenie zdobyte w wielu projektach i pracach konsultingowych pozwala nam zaoferować Państwu kompleksową obsługę w następujących obszarach:

  • audyt zabezpieczeń systemów informatycznych i aplikacji;
  • wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z PN/ISO-IEC 27001;
  • stworzenie i sprawdzenie koncepcji zabezpieczeń organizacyjnych, fizycznych oraz informatycznych;
  • audyt bezpieczeństwa informacji;
  • testy penetracyjne wewnętrzne oraz zewnętrzne;
  • projektowanie bezpiecznych sieci w jednostkach o różnej wielkości.

Jako doświadczeni profesjonaliści oferujemy Państwu kompleksową pomoc w organizacji procesów związanych z zarządzaniem i ochroną danych osobowych, zgodnie z wymogami aktualnie obowiązujących przepisów prawnych. Pomagamy w rozwiązywaniu bieżących problemów organizacyjno-technicznych, dokonujemy oceny stosowanych procedur i zabezpieczeń, doradzamy jak skutecznie chronić dane osobowe. Niezależnie od tego czy Państwa organizacja stosuje już zasady ochrony danych osobowych i chciałaby zweryfikować skuteczność ich działania, czy dopiero zamierza wdrożyć politykę bezpieczeństwa informacji, elastycznie dostosowujemy naszą ofertę do Państwa potrzeb:

  • opracowujemy i wdrażamy dopasowaną dokumentację Polityki Bezpieczeństwa Danych Osobowych zgodną z rozporządzeniem MSWiA z 29 kwietnia 2004 roku;
  • przeprowadzamy audyt zgodności zabezpieczeń i procedur
  • z obowiązującymi przepisami prawa, mając na uwadze specyfikę instytucji;
  • przeprowadzamy inwentaryzację zbiorów danych osobowych;
  • pomagamy podczas procesu rejestracji zbiorów w GIODO;
  • służymy poradą ekspercką na każdym etapie wdrażania i realizacji zasad ochrony danych osobowych w Państwa organizacji.

Zapraszamy do kontaktu:
e-mail: polityka@politykabezpieczenstwa.com.pl

Formularz kontaktowy