sobota, Marzec 7, 2020
Facebook
Home Tagi Wpis otagowany "rozporządzenie o ochronie danych osobowych"

rozporządzenie o ochronie danych osobowych

Pseudonimizacja danych nie jest jedynie pojęciem wprowadzanym przez RODO. Już od pewnego czasu stała się np. częstą praktyką stosowaną w szkołach, w celu nieujawniania danych osobowych uczniów. Po 25 maja br. wszystkie firmy będą musiały zadbać o odpowiednią ochronę przetwarzanych informacji. Jak przedsiębiorcy mają sobie poradzić z takim wyzwaniem w przypadku braku szczegółowych wytycznych? Czy pseudonimizacja może być odpowiedzią na to pytanie?

RODO kontra firmy

Europejskie rozporządzenie narzuca wszystkim administratorom – czyli organom, jednostkom organizacyjnym, podmiotom lub osobom decydującym o celach i środkach przetwarzania danych – obowiązek odpowiedniego zabezpieczenia danych osobowych. Obecnie firmy muszą jedynie wykazać zgodność stosowanych środków bezpieczeństwa z rozporządzeniem o środkach zabezpieczających z 2004 r. Po 25 maja br. sytuacja się zmieni. To organizacje będą zobowiązane do samodzielnego ocenienia ryzyka naruszenia ochrony danych. RODO jedynie wskazuje ogólne obowiązki wdrożenia środków technicznych i organizacyjnych przetwarzania informacji, uwzględniających m.in. charakter, zakres, kontekst, a także wprowadzenia polityk ochrony wskazuje Marcin Kujawa, WTB.

Pseudonimizacja jako złoty środek?

RODO wprowadza pojęcie pseudonimizacji, które oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której one dotyczą, bez użycia dodatkowego „klucza”. Mówiąc prościej, to użycie zamiast np. imienia i nazwiska – liczby. Wymóg jest jeden, klucz z właściwymi danymi do odszyfrowania powinny być przechowywane osobno. Dzięki czemu nawet jeśli doszłoby do wycieku, osoba nieupoważniona niewiele by się z tych danych dowiedziała.

Ciekawe jest to, że pseudonimizacja od pewnego czasu stosowana jest w szkołach, gdzie oceny publikuje się wraz z identyfikatorem ucznia zamiast jego imienia i nazwiska. Może być ona wygodnym sposobem na zabezpieczenie również wrażliwych danych, ponieważ znacznie złagodzone będą wymogi dotyczące ochrony informacji zapisanych w ten sposób. Warto wspomnieć, że można również zastosować anonimizację informacji, po której nie da się ich przypisać  do konkretnych osób. Przez co nie muszą być zabezpieczane na tak wysokim poziomie jak te które nie podlegają procesowi anonimizacji – mówi Marcin Kujawa, WTB.

Co więcej?

Należy pamiętać, że pseudonimizacjia to nie to samo co  anonimizacja, która jest  modyfikacją danych uniemożliwiającą identyfikację osoby fizycznej, pseudonimizacja jest procesem odwracalnym. Zwiększa ona bezpieczeństwo informacji, przez co pozostają one według prawa nadal danymi osobowymi. Należy zauważyć, że rozporządzenie traktuje to narzędzie jako pomocnicze, które może być wykorzystane przez Administratorów.

Przedsiębiorcy powinni zwrócić uwagę, że to jakie narzędzie ochrony zastosują wynikać będzie z analizy ryzyka w danej firmie. Należy zauważyć, że rozporządzenie traktuje pseudonimizację jako narzędzie pomocnicze, które może, ale nie musi być wykorzystane przez Administratorów. Zasadność użycia danego sposobu bezpieczeństwa powinno być uwzględnione już w samej fazie projektowania nowego systemu   – podsumowuje Marcin Kujawa, WTB.

Coraz większa ilość danych, w tym danych poufnych, umieszczanych w sieci, wymaga od jej administratorów podejmowania coraz to nowych starań zmierzających do ich właściwego zabezpieczenia. Od maja 2018 roku ich obowiązki związane z ochrona danych osobowych regulować będzie unijne rozporządzenie RODO.

Czy modyfikacja przepisów dotyczących bezpieczeństwa danych jest naprawdę konieczna?

Zdecydowanie tak. Nawet jeżeli nowe prawo wiąże się z pewną uciążliwością dla firm zmuszonych do wdrożenia nowych reguł, należy zdawać sobie sprawę, że w obecnych czasach, czasach rozwoju technologii teleinformatycznych, coraz więcej poufnych danych jest umieszczanych w internecie (zwłaszcza biorąc pod uwagę sektor usług hostingowych i cloud computing) bądź udostępnianych różnym podmiotom. Dlatego też przepisy dotyczące ich odpowiedniego zabezpieczenia muszą nadążać za rozwojem technologii. Temu w założeniu ma służyć RODO.

Czym jest RODO?

„RODO”, czy tez inaczej „GDPR” albo „Ogólne Rozporządzenie o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Co prawda rozporządzenie weszło w życie 17 maja 2016 r. ale zacznie  obowiązywać bezpośrednio w poszczególnych krajach UE dopiero od dnia 25 maja 2018 r. Rozporządzenie dotyczyć będzie wszystkich, przetwarzających dane osobowe w związku z prowadzoną działalnością gospodarczą.

Jakie nowe obowiązki spoczną na instytucjach gromadzących i przetwarzających dane?

Jest ich całkiem sporo, ale do najważniejszych można zaliczyć nałożenie na takie instytucje konieczności zatroszczenia się o bezpieczeństwo danych już w fazie projektowania rozwiązań mających na celu ich przetwarzanie; np. portali społecznościowych, aplikacji, konkursów internetowych itp. To administrator będzie musiał opracować takie rozwiązania, które zapewnią bezpieczeństwo danych w maksymalny możliwy sposób. Kolejna zmiana dotyczy informowania klientów co do zasad obejmujących gromadzenie i przetwarzanie danych. Firma będzie zobowiązana do o wiele bardziej szczegółowego wyjaśnienia swoim kontrahentom reguł związanych z bezpieczeństwem udostępnianych przez nich informacji. Dotychczasową, znaną wszystkim krótką formułkę dotycząca ochrony danych i zgody na ich przetwarzanie zastąpią nowe, dłuższe formularze dokładniej pouczające klienta o nowych procedurach. Inna rzecz; od maja bieżącego roku,  zgodę na przetwarzanie danych osobowych będzie mogła wyrazić osoba, która ukończyła zaledwie 16 rok życia. Jeżeli chodzi o osoby młodsze,  to konieczna będzie zgoda rodzica lub opiekuna prawnego, zaś administrator będzie musiał potwierdzić wiarygodność takiej zgody. Nowe przepisy umożliwią potwierdzenie wieku użytkowników konkretnych portali internetowych (np. gier internetowych, portali społecznościowych).

Gdyby pomimo zaostrzonego prawa doszło jednak do wycieku danych, administrator w ciągu maksymalnie 72 godzin ma obowiązek poinformować właściwy organ nadzoru przypadków naruszeń (w Polsce jest to GIODO), a w niektórych sytuacjach także klientów. RODO wprowadza ponadto różne obowiązki dotyczące ochrony danych w stosunku do małych i średnich przedsiębiorstw oraz wielkich firm i korporacji. Dotychczas obowiązki te były jednakowe dla obu powyższych kategorii podmiotów biznesowych.

Czy to całość zmian przewidywanych przez unijnych legislatorów?

Nie. RODO to największa modyfikacja prawa dotyczącego ochrony danych osobowych od 20 lat. Modyfikacji jest znacznie więcej. Np. te dotyczące rozszerzenia praw klientów korzystających z usług firm gromadzących i przetwarzających poufne informacje; będą oni mogli skorzystać z tzw. „prawa do bycia zapomnianym”, czyli zażądać usunięcia swoich danych z konkretnych serwerów, przeniesienia ich danych oraz uzyskają łatwiejsze możliwości dostępu do tychże informacji, a ponadto będzie im przysługiwać prawo do sprzeciwu wobec ich przetwarzania – co z kolei może stanowić spory problem dla firm zajmujących się tworzeniem i sprzedażą baz danych.  Organizacje zajmujące się  przetwarzaniem danych osobowych innych podmiotów (np. administratorzy chmur) poniosą bezpośrednią odpowiedzialność w przypadku naruszenia przepisów RODO. Może ona przyjąć postać kary finansowej. Nowe prawo ograniczy możliwości profilowania –  przede wszystkim administrator będzie musiał uzyskać zgodę na profilowanie jeszcze przed rozpoczęciem gromadzenia danych, oraz podlegać bezwzględnemu obowiązkowi informowania o profilowaniu oraz wymogowi podporządkowania się brakowi zgody na profilowanie. Niektóre firmy będą musiały powołać nowe stanowisko –  Inspektora Ochrony Danych Osobowych – czyli osobę wyspecjalizowaną w zagadnieniach dotyczących ochrony danych.

Jakie konsekwencje grożą za złamanie nowego prawa?

Bardzo poważne, a dokładnie: wysokie kary finansowe. Mogą one sięgać  do 20 bądź do 40 mln euro albo w przypadku przedsiębiorców 2–4 proc. rocznego światowego obrotu przedsiębiorstwa. O jej dokładnej wysokości zadecyduje organ nadzorujący bezpieczeństwo danych w konkretnym kraju (czyli w Polsce  GIODO). Ponadto wysokie kary będą grozić za transfer niewłaściwie zabezpieczonych danych poza granice Unii Europejskiej.

Autor: Niko Bałazy S-Net Sp. z o.o.

RODO to ostatnio gorący temat. Zostało już bardzo mało czasu na odpowiednie przygotowanie do nowego unijnego rozporządzenia. Niestety na niewiedzy i wkradających się emocjach przedsiębiorców żerują oszuści. Co zrobić, żeby nie dać się zastraszyć?

Zostało mało czasu

RODO przyniesie zmiany zarówno dla osób, których dane są przetwarzane jak i dla administratorów informacji, czyli przedsiębiorców, banków, organizacji czy innych instytucji zarządzających danymi. Wiele firm nie zdążyło zadbać o odpowiednie przygotowanie się na nadchodzącą ewolucję prawną. Niestety jest to idealna okazja dla oszustów, którzy mogą wykorzystać pośpiech oraz strach przedsiębiorców przed negatywnymi konsekwencjami. Naruszenie unijnego rozporządzenia wiąże się z wysokimi karami sięgającymi maksymalnie nawet 4 proc. obrotów rocznych firmy lub 20 mln euro. Ponadto, za niestosowanie nowego prawa grozi również utrata dobrego wizerunku organizacji. Przykładem takich nielegalnych działań może być sytuacja, która spotkała firmę ODO 24.

Na przestrzeni ostatnich dni dotarły do nas niepokojące informacje dotyczące nieuprawnionego wykorzystywania nazwy naszej firmy przez osoby trzecie. Działania tych osób skupiają się na rozsyłaniu nieprawdziwych wiadomości e-mail, w których oferują swoje usługi związane z dostosowaniem do europejskiego rozporządzenia o ochronie danych osobowych (tzw. RODO) oraz grożą „skierowaniem sprawy do GIODO, sądu i prokuratury”, w przypadku nie skorzystania z ich usług  – mówi Tomasz Ochocki, kierownik zespołu merytorycznego, ODO 24. Niestety sami byliśmy tego ofiarą i ktoś próbował wykorzystać nazwę ODO 24. Nasza firma odcina się całkowicie od działań tego typu podmiotów i nie jest w żaden sposób powiązana z oferowanymi usługami oraz z nieprawdziwymi i bezpodstawnymi groźbami pojawiającymi się we wskazanej wiadomości dodaje.

Reaguj!

Istotne jest, aby wszelkie takie próby zastraszenia lub wyłudzenia pieniędzy spotykały się z reakcją społeczeństwa. Rozsyłanie jakichkolwiek ofert podszywając się pod innego przedsiębiorcę jest niezgodne z prawem i stanowi czyn nieuczciwej konkurencji.

Nasza firma podjęła już działania zmierzające do zaprzestania bezprawnego używania nazwy firmy, na której renomę pracowaliśmy przez wiele lat. Rozważamy również dochodzenie swoich praw na drodze postępowania sądowego. Chcielibyśmy jednocześnie przestrzec Państwa przed oszustwami ze strony tego jak i podobnych podmiotów oraz prosić o rozwagę przy wyborze usług – wskazuje Tomasz Ochocki, kierownik zespołu merytorycznego, ODO 24. Zapewniamy, iż spółka ODO 24 Sp. z o.o. nigdy nie prowadziła i nie prowadzi żadnych podobnych działań, w których zmuszałaby kogokolwiek do korzystania z naszych usług, grożąc przy tym pociągnięciem do odpowiedzialności. Działania takie pozostają sprzeczne z polityką firmy i są bardzo dalekie od sposobu, w jaki nawiązujemy współpracę ze swoimi klientamidodaje.

Najważniejsze jest jednak to, że zdrowy rozsądek stanowi nasze jedyne zabezpieczenie przed takimi sytuacjami. Nie dajmy się zastraszać. Jeśli ktoś grozi nam prokuraturą lub windykacją bądźmy czujni, zazwyczaj są to jedynie puste słowa. Firmy nie powinny się nigdy decydować na współpracę z takimi podmiotami.

Każdy pewno zauważył, że ostatnio podczas  odwiedzin stron serwisów internetowych coraz częściej pokazują się prośby o wyrażenie zgody na przetwarzanie danych osobowych i profilowanie? Są jednak nieco inne niż te, które zazwyczaj przeklikiwaliśmy – bardziej obszerne. To zasługa niepewności przedsiębiorców, jaką niesie ze sobą rozporządzenie o ochronie danych osobowych (RODO).

Przyzwyczailiśmy się już do tzw. ciasteczek – cookies. Dla porządku, ciasteczko to mały plik, który serwis internetowy wysyła do naszej przeglądarki, ta z kolei zapisuje go na naszym urządzeniu (laptop, smartfon), a później odsyła do serwisu przy kolejnych odwiedzinach tej samej witryny. To dzięki ciasteczkom użytkownik nie musi wpisywać pełnego adresu strony za każdym razem, gdy do niej powraca (bo np. przeszedł na chwilę do innego serwisu, a teraz wraca do danej strony), ulubionych ustawień czy unikalnego numeru przeglądarki, który także do strony www jest zazwyczaj przesyłany.

Między innymi dzięki ustawieniom w plikach ciasteczkowych śledzenie aktywności internautów jest możliwe. Pliki cookies i ich stosowanie na gruncie ciągle jeszcze obowiązujących przepisów o ochronie danych osobowych wymagają jedynie podania użytkownikowi (internaucie) informacji, że strona z tychże ciasteczek korzysta.

Niedługo ta sytuacja może się zmienić i w przypadku wspomnianych we wstępie serwisów internetowych – właśnie się zmienia. Niektóre serwisy, zamiast tylko informować, zaczynają bowiem zbierać od użytkowników zgody na „śledzenie” poprzez ciasteczka.

Czy zgoda na śledzenie jest konieczna?

TAK!

Artykuł 95 RODO wprost nie nakłada dodatkowych obowiązków w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii. Jeszcze nie wiadomo, kiedy zostanie uchwalone rozporządzenie ePrivacy, które ma jednoznacznie nakazać uzyskiwanie jednoznacznych zgód na wykorzystanie cookies. Na pewno ważnym jest stanowisko Grupy Roboczej Artykuły 29, gromadzącej organy ochrony danych osobowych wszystkich państw UE, która to uznała w wytycznych, że wymogi dotyczące zgód wynikające z RODO (w tym warunek, by zgoda była wyraźna), nie wprowadzają dodatkowych obowiązków na gruncie dyrektywy ePrivacy.

Dla swej ważności więc, każda zgoda na przetwarzanie danych osobowych musi być przez użytkownika udzielona w sposób świadomy (decyzja potwierdzona np. zaznaczeniem okienka dialogowego) i na skonkretyzowany (jeden) cel użycia jego danych. Dlatego właśnie strony internetowe już nie tylko informują nas o samych cookies, ale również pytają nas o zgodę na przetwarzanie danych przed ustawianiem i używaniem ciasteczek śledzących. Istotnym jest również to, by możliwa była opcja niewyrażenie zgody na przetwarzanie danych w celach marketingowych, w tym na profilowanie oraz tak samo prosty mechanizm odwołania, co wyrażenia zgody (art. 7 ust. 3 RODO).

NIE!

Art. 11 RODO może stanowić podstawę do zwolnienia z obowiązku uzyskiwania zgód na stosowanie cookies. Jeżeli cele, dla których przetwarzane są dane osobowe, nie wymagają zidentyfikowania przez przetwarzającego osoby, której dane dotyczą, to przetwarzający nie musi w przypadku cookies zbierać zgód na przetwarzanie.

Prawnie usprawiedliwiony cel przetwarzania

Jeśli pliki cookies służyć mają analityce i reklamie, to można przetwarzanie oprzeć na prawnie uzasadnionym interesie administratora danych lub osoby trzeciej, czyli podmiotu przetwarzającego (art. 6 ust. 1 lit. f RODO). Jest to jak najbardziej możliwa sytuacja ponieważ  przetwarzanie danych osobowych do celów marketingu bezpośredniego jest działaniem w uzasadnionym interesie, bez widocznego rozróżnienia na marketing własny i cudzy.

Informacja czy zgoda?

Sprawa zgody na ciasteczka póki co nie ma jednoznacznego stanowiska prawnego. Główny Inspektor Danych Osobowych dostrzegając problem i jego wagę, analizuje to zagadnienie. Do czasu rozstrzygnięcia, polskim administratorom stron pozostaje samodzielnie odpowiedzieć na pytanie: czy w związku z RODO zgoda na cookies będzie musiała być wyrażana w sposób świadomy?

Tymczasem, Prawo telekomunikacyjne, które reguluje w Polsce zasady używania plików cookies, pozwala na zgodę dorozumianą, tzn. na samo poinformowanie użytkownika o ich używaniu.

 

Tylko 25 proc. dużych przedsiębiorstw czuje się przygotowanych na wprowadzenie rozporządzenia o ochronie danych osobowych RODO – wynika z badania ECM Insights 2017 przeprowadzonego na zlecenie SER Group. Alarmujący jest również fakt, że prawie połowa, bo aż 45% firm nie opracowało jeszcze strategii, spełniającej nowe, unijne wymagania.

Czasu zostało już niewiele: rozporządzenie unijne o ochronie danych osobowych wejdzie w życie 25 maja tego roku. Jeżeli firmy nie będą w stanie sprostać nowym wymaganiom, może je to kosztować nawet 20 mln euro lub 4% całkowitego przychodu (w zależności od tego, która kwota jest wyższa). W świetle tak wysokich kar finansowych zaskakujące jest to, że aż 75% ankietowanych korporacji z krajów europejskich nadal nie jest przygotowanych na nowe rozporządzenie. Ponadto 45% z nich nie wie jak spełnić wymogi, takie jak np. prawo do usunięcia danych osobowych na żądanie.

Firmy nie wiedzą gdzie przechowują dane

Analizując wyniki badania, łatwo jest zauważyć gdzie dokładnie leży problem: środowisko IT w wielu firmach jest pełne rozproszonych informacji. Dane osobowe są często przechowywane w różnych, nieaktualnych archiwach, przestarzałych systemach, plikach lub nawet w skrzynkach mailowych. Według 77% spośród prawie 2 tys. ankietowanych osób, zajmujących się przetwarzaniem treści w przedsiębiorstwie, powoduje to szereg problemów. Pierwszy z nich polega na stopniowej utracie dostępu do informacji, co jeszcze bardziej utrudnia dostosowanie się do rozporządzeń Unii Europejskiej.

– Wiele firm musi na początku odpowiedzieć sobie na kluczowe pytanie, czy wiedzą gdzie przechowywane są dane osobowe w ich firmie. Jeśli nie mają takiej wiedzy, nie mogą nawet podjąć działań, aby spełnić wymogi regulacyjne RODO – podkreśla Marcin Somla.

Doxis4 systemem zgodnym z rozporządzeniem RODO

Rozwiązaniem dla firm, posiadających tego typu problem jest zebranie i klasyfikacja rozproszonych danych i dokumentów oraz udostępnienie ich w jednym, scentralizowanym systemie ECM. Dzięki takiemu systemowi, firmy będą mogły w każdej chwili wyszukać, przekazać oraz całkowicie usunąć dane osobowe.

– Dzięki odpowiednim narzędziom, każda firma może spełnić nowe wymagania w zakresie ochrony danych osobowych. Certyfikowany system ECM, taki jak Doxis4, stanowi solidną podstawę dla zgodności z RODO – komentuje Marcin Somla.

Co kryje się pod pojęciem all risk i co to są ubezpieczenia pakietowe?

Polscy przedsiębiorcy najchętniej kupują polisę, która chroni ich majątek. Z danych PIU wynika, że
60 proc. przedsiębiorców ma ubezpieczenie majątkowe, a 40 proc. go nie posiada. Wielu klientów obawia się tzw. wyłączeń, czyli listy czynników, które spowodują, że odszkodowanie nie zostanie wypłacone. Ponieważ przedsiębiorcy potrzebują rozwiązań, które zagwarantują im szeroką ochronę, , ubezpieczyciele proponują im rozwiązania typu all risk. Są one nieco droższe niż tradycyjne polisy, ale za to uwzględniają znacznie więcej nieprzewidzianych zdarzeń. Dobrym rozwiązaniem są też ubezpieczenia pakietowe. W jednej umowie można zawrzeć kilka  różnych ubezpieczeń jednocześnie. .

Często mówi się o Assistance w przypadku klientów indywidualnych. Czy jest coś takiego jak Assistance dla przedsiębiorców?

Oczywiście. W ramach Assistance przedsiębiorca otrzymuje pomoc specjalisty (np. ślusarza, hydraulika, elektryka) w przypadku wystąpienia awarii, czy też telefoniczną informację  prawną. To ułatwia szybkie załatwienie sprawy i powrót do codziennego funkcjonowania przedsiębiorstwa.

Coraz więcej firm wymaga od kontrahentów ubezpieczenia OC. Zazwyczaj mowa o dużych firmach budowlanych lub najemcach w centrach handlowych. Czy mała firma też powinna mieć polisę OC?

Pamiętajmy, że taka polisa chroni przedsiębiorcę na wypadek szkód wyrządzonych osobom trzecim. To ma duże znaczenie, zwłaszcza w przypadku usługodawców. Cukiernia powinna być ubezpieczona na wypadek szkód w wyniku zatrucia się salmonellą  w lodach, apteka – na wypadek szkód w wyniku pomyłki przy wydaniu leku na receptę, biuro księgowe – od szkód w wyniku popełnienia błędu przy prowadzeniu rachunkowości klienta. Ubezpieczenie odpowiedzialności cywilnej  może być również przydatne dla producentów, ponieważ za produkt odpowiada ten, który wprowadza go do obrotu.

Jakie jeszcze ubezpieczenie powinniśmy rozważyć?

Dziś żyjemy w świecie Internetu, więc warto zwracać uwagę na zagrożenia, które są związane z cyfryzacją biznesu i atakami hakerów. W maju wejdą też unijne przepisy dotyczące ochrony danych osobowych (RODO – Rozporządzenie o Ochronie Danych Osobowych). Firmom, które nie zabezpieczą odpowiednio danych, grożą kary. Na razie na rynku są polisy OC dla administratorów danych, ale w tym wypadku potrzebne jest szersze spojrzenie. Ubezpieczyciele już pracują nad stosownymi ofertami.

 

Odpowiada Marta Mazaraki.

Polscy inżynierowie opracowali model szyfrowania, który fundamentalnie zmieni sposób bezpiecznej komunikacji w biznesie. UseCrypt Messenger zapewnia realizację szyfrowanych połączeń telefonicznych, wymianę wiadomości oraz plików na smartfonach. W porównaniu do znanych produktów konkurencji, aplikacja korzysta z autorskich zabezpieczeń, gwarantujących pełną prywatność przesyłanych informacji, aby wykluczyć ryzyka podsłuchu czy ataku hackerskiego.

UseCrypt Messenger, to bezpieczny komunikator internetowy, zbudowany w oparciu o zestaw aplikacji klienckich (iOS, Android) oraz aplikacji serwerowych (serwer tekstowy, serwer głosowy). Komunikator pozwala na realizację szyfrowanych połączeń głosowych w standardzie HD Voice, a także na bezpieczną wymianę treści, w tym multimediów.

Całość prowadzonej przez użytkowników komunikacji jest szyfrowana w trybie end-to-end, co oznacza, że operacje kryptograficzne wykonywane są po stronie klientów. Połączenia są zestawiane poprzez serwer pośredniczący, który nie uczestniczy w żadnych operacjach kryptograficznych, co gwarantuje pełną anonimowość użytkownikom. Dodatkowo jest to jedyna aplikacja pozwalająca sprawdzić, czy telefon nie jest obiektem inwigilacji – mówi mgr inż. Kamil Kaczyński, ekspert ds. kryptologii.

Coraz więcej firm wykorzystuje komunikatory zarówno do komunikacji wewnętrznej, jak i w rozmowach z klientami. W takich przypadkach zapewnienie bezpieczeństwa przekazywanych informacji jest wyjątkowo ważne.

– Szczególnie w przypadku rozmów o danych finansowych, czy kwestiach prawnych dotyczących konkretnych transakcji, szyfrowanie komunikacji może stać się standardem. Jest to związane również z obowiązkiem zachowania poufności w umowach typu NDA oraz bezpośrednio z tajemnicą adwokacką – mówi Krzysztof Witkowski, Associate Partner EY, odpowiedzialny za program EYnovation skierowany do najbardziej innowacyjnych polskich firm technologicznych, do którego od września 2018 dołączył UseCrypt.

Spółka Usecrypt S.A., której misją jest przywrócenie użytkownikom prywatności w komunikacji on-line, stworzyła także aplikację UseCrypt Safe – pozwalającą szyfrować dane lokalnie, na serwerze oraz bezpiecznie transferować je i współdzielić. UseCrypt Messenger jest kolejnym produktem, szczególnie ważnym w kontekście zmian w RODO.

 Kwestia zapewnienia odpowiedniego poziomu poufności i ochrony przekazywanych informacji, w tym w szczególności ochrony danych osobowych jest niewątpliwie priorytetem dla firm z wielu branż, także z uwagi na nowe Rozporządzenie o Ochronie Danych Osobowych tzw. RODO, które będzie obowiązywać od 25 maja 2018 – dodaje Jakub Walarus, Manager w Dziale Zarządzania Ryzykiem Informatycznym EY, odpowiedzialny za realizację projektów dostosowania do RODO.

UseCrypt pracuje już nad kolejną wersją Messengera, która wprowadzi kolejne udogodnienia w komunikacji online dla biznesu. Obecną wersję pobrać można z oficjalnych sklepów — AppStore i Google Play.

 

Źródło: materiały prasowe firmy

Już teraz wiele organizacji traktuje bezpieczeństwo informacji bardzo poważnie i bierze pod uwagę ochronę danych osobowych w projektowaniu nowych produktów czy usług. Te dobre praktyki, zgodnie z nowym unijnym rozporządzeniem o ochronie danych osobowych (RODO), staną się od 25 maja 2018 roku obowiązkowe. Wymóg ochrony danych domyślnie („by default”) i w fazie projektowania („by design”) przyniesie użytkownikom i firmom korzyści – oto 3 najważniejsze z nich.

  1. Większa troska o dane osobowe konsumentów

Według RODO, ochrona danych ma być uwzględniona już na etapie projektowania systemu ochrony danych osobowych („by design”), a także ma być aktywna domyślnie („by default”). Dzięki realizacji „data protection by design” przez przedsiębiorstwo, użytkownik korzystając np. z aplikacji mobilnej, strony internetowej lub biorąc udział w konkursie będzie miał pewność, że ochrona jego danych została wdrożona przez administratorów jeszcze na etapie projektowania tejże usługi – mówi adw. Marcin Zadrożny z Fundacji Wiedza To Bezpieczeństwo.

Unijne regulacje w zakresie ochrony danych osobowych mają służyć konsumentowi – „data protection by default” to zapewnienie użytkownikowi ochrony jego danych.

  1. Budowanie zaufania konsumentów i wizerunku wiarygodnego przedsiębiorstwa

Nowe przepisy, które przyjęła Unia Europejska mają mobilizować przedsiębiorców do stosowania nowoczesnego podejścia w przetwarzaniu danych osobowych. Firmy, które do tej pory traciły wizerunkowo nie zapewniając odpowiedniej ochrony danym swoich klientów, mają szansę odbudować swoją wiarygodność. Mogą to zrobić właśnie dzięki m.in. przyjęciu odpowiednich wewnętrznych polityk i wdrożeniu środków, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz wdrożeniem domyślnej ochrony danych – wskazuje adw. Marcin Zadrożny.

Firmy będą musiały udowadniać, że przetwarzają dane osobowe klientów zgodnie z prawem, a także później to wykazać zgodnie z zasadą rozliczalności przed organem nadzorczym. Będzie to możliwe m.in. poprzez uzyskanie certyfikacji.

  1. Koszty wdrożeń mechanizmów ochrony danych i szybsza reakcja na problemy

Wejście w życie RODO wiąże się z kosztami – często sporymi –  dla przedsiębiorców. Każda organizacja przetwarzająca dane osobowe będzie zobligowana do wdrożenia odpowiednich środków technicznych i organizacyjnych. Będzie musiała przy tym uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Podsumowując organizacje będą zobligowane do analizy ryzyka. Jeżeli firma nie zapewni stopnia bezpieczeństwa odpowiadającego ryzyku, czyli nie wdroży odpowiednich środków technicznych i organizacyjnych, będzie mogła zostać ukarana wysokimi karami administracyjnymi – wskazuje ekspert Fundacji Wiedza To Bezpieczeństwo.

Działy IT również będą mogły szybko reagować na wszelkie sytuacje kryzysowe. W przypadku produktów i usług online istotnym elementem jest technologia komputerowa, dlatego też w odpowiednie procedury firmy będą musiały wdrożyć zwłaszcza architektów rozwiązań informatycznych oraz programistów.

 

Źródło: Fundacja ‚Wiedza to Bezpieczeństwo’

Dla wielu dorosłych korzystanie z internetu to często tylko udogodnienie,  dla małoletnich wirtualna rzeczywistość to codzienność. Z badań wynika, że coraz więcej dzieci odchodzi od tradycyjnych rozrywek na rzecz tych w wersji online. Stawia to przed rodzicami wiele wyzwań związanych z ich ochroną przed różnymi zagrożeniami czyhającymi w Internecie. Nowe unijne rozporządzenie o ochronie danych osobowych (RODO) wprowadza zmiany w przetwarzaniu danych nieletnich i ma przyczynić się do zwiększenia ich bezpieczeństwa w sieci.

Według badań PBI aż 10% polskich internautów to małoletni w wieku od 7 do 14 lat. Świat wirtualny otwiera przed nimi wiele możliwości, ale jednocześnie niesie za sobą nowe wyzwania, a często również poważne zagrożenia. Obecnie małoletni nie mają najmniejszego problemu z założeniem konta na portalu społecznościowym, skrzynki pocztowej, konta na platformie umożliwiającej pobieranie gier, a nawet prowadzeniem hazardowych rozgrywek online.

Obowiązujące przepisy o ochronie danych osobowych nie regulują kwestii związanych z przetwarzaniem danych małoletnich w ramach społeczeństwa informacyjnego. Nowe regulacje unijnego rozporządzenia wreszcie dostrzegają ten problem.  Małoletni, którzy nie ukończyli 16 roku życia będą potrzebowali zgody rodzica lub osoby sprawującej nad nimi władzę rodzicielską na korzystanie ze wskazanych usług. Warto zaznaczyć, że rozporządzenie pozostawia państwom członkowskim możliwość obniżenia tego progu wiekowego z zastrzeżeniem, że musi on wynosić co najmniej 13 lat. W Polsce jednostką koordynującą pracę nad wdrożeniem nowej ustawy jest Ministerstwo Cyfryzacji, które deklaruje, że omawiana granica wiekowa w naszym kraju będzie wynosiła właśnie 13 lat.

Przepisy RODO wskazują, iż organizacja zmuszona będzie do podjęcia stosownych starań, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. Pozostaje jednak wątpliwość, jak  w sieci przeprowadzić wiarygodną weryfikację takiej osoby. Na to pytanie obecnie trudno jest szukać jednoznacznej odpowiedzi. Niewykluczone, że w najbliższym czasie Europejska Rada Ochrony Danych wskaże w tym zakresie stosowne wytyczne. Z pewnością konieczne będzie zbieranie informacji o rodzicach lub opiekunach prawnych dzieci, ponieważ razie kontroli administrator będzie musiał wykazać, że zgody zebrane były prawidłowo. Zmiana jest korzystna z punktu widzenia bezpieczeństwa dzieci, a od przedsiębiorców wymaga przyjrzenia się dotychczasowemu podejściu do ochrony danychzauważa Damian Gąska, specjalista ds. bezpieczeństwa informacji, ODO 24.

Organizacje podczas pozyskiwania danych osobowych zobowiązane będą również przedstawić osobie, od której dane pozyskują, szereg dodatkowych informacji. W związku z tym obecne klauzule informacyjne ulegną znacznemu wydłużeniu. Dodatkowo nowe przepisy wskazują, że będą musiały być one przejrzyste oraz napisane tak prostym i zrozumiałym językiem, aby nawet dziecko mogło je bez trudu zrozumieć.

Źródło: ODO24

17 maja 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej: Rozporządzeniem). o Zmianach piszą Ewelina Ocipińska i Hubert Kutkiewicz, prawnicy z Kancelarii Prawnej RKKW – KWAŚNICKI, WRÓBEL & Partnerzy.

Głównym motywem zmiany modelu ochrony danych osobowych na terytorium Unii Europejskiej (Europejskiego Obszaru Gospodarczego) była z jednej strony chęć zwiększenia skuteczności ochrony danych osobowych jako prawa podstawowego przewidzianego m.in. w Karcie Praw Podstawowych (art. 8) oraz Traktacie o funkcjonowaniu UE (art. 16), z drugiej zaś konieczność dostosowania unijnych regulacji prawnych do potrzeb wynikających z ciągłego rozwoju nowych technologii oraz postępującej cyfryzacji.

Konieczność zmiany modelu ochrony danych osobowych

Mająca ponad 20 lat Dyrektywa 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (zwana dalej: Dyrektywą) jawiła się jako instrument przestarzały, nieprzystosowany do nowych zjawisk, takich jak komercjalizacja Internetu, intensyfikacja transgranicznego przepływu danych czy też nowych metod przetwarzania danych np. w ramach chmury obliczeniowej (ang. cloud computing). Co więcej, Dyrektywa nie zapewniała w sposób wystarczający bezpieczeństwa danych osobowych obywateli Unii (EOG) w przypadku transferu danych do tzw. „państw trzecich”, czyli państw niebędących członkami UE (EOG). Najlepszym tego przykładem była decyzja Komisji Europejskiej 2000/520/WE uznająca adekwatność zasad programu amerykańskiej „bezpiecznej przystani” (ang. Safe Harbour) wydana na podstawie art. 25 ust. 6 Dyrektywy. Powyższy instrument miał umożliwić swobodny przepływ danych pomiędzy Stanami Zjednoczonymi a Unią Europejską w sytuacji, gdy państwo będące docelowym odbiorcą danych (mowa tu o USA) nie zapewnia adekwatnego poziomu ochrony (?) danych osobowych w rozumieniu Dyrektywy. W omawianym przypadku niespełnienie kluczowej przesłanki warunkującej przekazanie danych poza terytorium UE wiązało się z brakiem federalnych regulacji prawnych dotyczących ochrony danych osobowych. Program „bezpiecznej przystani” miał być w swoim założeniu swoistym kompromisem umożliwiającym pogodzenie dwóch odmiennych porządków prawnych. Ostatecznie Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku z dnia 6 października 2015 r. w sprawie Maximillian Schrems przeciwko Data Protection Commissioner (C-362/14) orzekł o nieważności decyzji 2000/520/WE, a to za sprawą wielu nieprawidłowości ujawnionych w toku postępowania. Po pierwsze, omawiana decyzja uniemożliwiała krajowym organom nadzoru prowadzenie dochodzeń w sprawie skargi dotyczącej nieodpowiedniego stopnia ochrony, czego rezultatem może być zawieszenie dalszego przekazywania danych. Po drugie wykazano, że Komisja Europejska nie wykonała swojego podstawowego zobowiązania polegającego na ocenie, czy Stany Zjednoczone rzeczywiście poprzez swoje ustawodawstwo krajowe lub zobowiązania międzynarodowe zapewniają równoważny stopień ochrony praw podstawowych do gwarantowanego w ramach prawodawstwa Unii.

Jakie zmiany wprowadza Rozporządzenie?

Wraz z wejściem w życie Rozporządzenia doszło do istotnych zmian w unijnym modelu ochrony danych osobowych. Poniżej najważniejsze z nich.

Doprecyzowanie pojęcia „danych osobowych”

Rozporządzenie dokonało znaczącej redefinicji pojęcia „danych osobowych”. Podobnie jak miało to miejsce na gruncie Dyrektywy, dane osobowe to nadal informacje dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania. Niemniej jednak, ze względu na szybki rozwój nowych technologii, pojęcie „danych osobowych” należało rozszerzyć o kolejne kategorie danych, które chociażby w potencjalny sposób mogłyby identyfikować daną osobę tj.: dane lokalizacyjne, adresy IP, identyfikatory internetowe czy też dane dotyczące stanu zdrowia.

Privacy by design / Privacy by default

Ochrona danych w fazie projektowania (ang. privacy by design) oraz ochrona danych w opcji domyślnej (ang. privacy by default) stanowią przykłady nowych zagadnień, jakie wprowadza ogólne rozporządzenie o ochronie danych osobowych. Koncepcja privacy by design zakłada wdrażanie wymogów rozporządzenia już na etapie projektowania pewnych rozwiązań mogących wiązać się z różnego rodzaju zagrożeniami wynikającymi z przetwarzania danych (art. 25 ust. 1 Rozporządzenia). Z kolei privacy by default wprowadza wymóg wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych po to, aby procesowi przetwarzania podlegały wyłącznie dane osobowe niezbędne dla osiągnięcia konkretnego celu (art. 25 ust. 2 Rozporządzenia).

Prawo do bycia zapomnianym

Prawo do bycia zapomnianym (ang. right to be forgotten), zwane również prawem do usunięcia danych (ang. right to erasure), to zupełnie nowa instytucja na gruncie europejskiego prawa ochrony danych osobowych. Pierwszy raz na temat prawa do bycia zapomnianym wypowiedział się TSUE na kanwie sprawy Google Spain (C-131/12). Wymieniona sprawa dotyczyła możliwości przetwarzania danych przez wyszukiwarki internetowe poprzez ujawnienie informacji dotyczących określonych osób, w tym na stronach internetowych innych podmiotów, w postaci listy wyników wyszukiwania. Trybunał Sprawiedliwości Unii Europejskiej uznał, że działalność wykonywana przez operatorów wyszukiwarek internetowych może być zakwalifikowana jako przetwarzanie danych. Co więcej, Trybunał potwierdził istnienie prawa, które na gruncie Dyrektywy nie zostało wprost wyrażone – mowa tu oczywiście o prawie do bycia zapomnianym. Zdaniem TSUE osoby fizyczne muszą mieć zapewnioną możliwość zgłoszenia roszczenia w przedmiocie usunięcia danych ich dotyczących z listy wyszukiwania wyszukiwarki, w tym ze stron internetowych osób trzecich. W aktualnym stanie prawnym prawo do bycia zapomnianym zostało wyrażone expressis verbis w art. 17 Rozporządzenia. W myśl przytoczonego przepisu, administrator danych jest zobowiązany do niezwłocznego usunięcia danych, jeśli zachodzi jedna poniższych przesłanek:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

  • osoba, której dane dotyczą, cofnęła zgodę na ich przetwarzanie i nie ma innej podstawy prawnej przetwarzania – chodzi tutaj głownie o przypadki profilowania danych;

  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

  • dane osobowe były przetwarzane niezgodnie z prawem;

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE lub prawie państwa członkowskiego, któremu podlega administrator;

  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

Ograniczenie profilowania

Zgodnie z motywem 71 Rozporządzenia profilowanie to jedna z form przetwarzania danych polegająca na ocenie niektórych aspektów danych życia osobistego w ramach automatycznego przetwarzania danych. Profilowanie jest narzędziem często wykorzystywanym przez firmy z branży marketingowej oraz e-commerce, ponieważ pozwala analizować oraz prognozować chociażby takie czynniki jak efekty pracy, sytuację ekonomiczną, stan zdrowia czy osobiste preferencje danej osoby. Według ustawodawcy unijnego podejmowanie konkretnych decyzji wobec podmiotów, których dane dotyczą, w oparciu o dane zabrane w toku profilowania może mieć miejsce jedynie w ściśle określonych sytuacjach. Mianowicie, profilowanie jest dozwolone na gruncie prawa UE albo prawa państwa członkowskiego, któremu podlega administrator danych. Ponadto profilowanie można wykorzystywać 1) w celu monitorowania i zapobiegania oszustwom uchylania się od podatków, 2) gdy profilowanie jest konieczne do zapewnienia bezpieczeństwa i niezawodności usług świadczonych przez administratora danych albo 3) gdy jest to niezbędne do zawarcia lub wykonania umowy zawartej pomiędzy osobą, której dane dotyczą, a administratorem danych. Zgoda podmiotu danych jest również jedną z przesłanek legalizujących profilowanie. Jeśli czynności profilowania są dokonywane w innych przypadkach niż te wymienione powyżej, osobie fizycznej przysługuje prawo do zgłoszenia sprzeciwu (art. 21 Rozporządzenia).

Mechanizm One-stop-shop

Pewnym ułatwieniem zarówno dla administratorów danych jak i podmiotów danych jest wprowadzenie tzw. one-stop-shop („mechanizm kompleksowej współpracy”), który dotyczy przedsiębiorców (administratorów) podejmujących działalność transgraniczną. Koncepcja one-stop-shop w swoim zamyśle polega na tym, że kompetencje nadzorcze administratora danych działającego na terytorium więcej niż jednego państwa członkowskiego zostaną przyznane organowi nadzorczemu (regulatorowi) właściwemu ze względu na miejsce dominującej działalności administratora. Dzięki temu wszelkie rozstrzygnięcia nadzorcze będą respektowane w pozostałych krajach UE. Niewątpliwie takie rozwiązanie w istotnym sposób przyczyni się do zmniejszenia obciążeń o charakterze administracyjnym. Co więcej, omawiany mechanizm będzie istotnym ułatwieniem dla podmiotów danych, ponieważ skargi w sprawie nieprawidłowego przetwarzania danych ich dotyczących, będzie można zgłosić w dowolnym państwie członkowskim z obowiązkiem ich przekazania właściwemu organowi nadzorczemu.

Obowiązek wyznaczenia inspektora ochrony danych

Oprócz przyznania nowych praw podmiotom danych, Rozporządzenie nakłada również dodatkowe obowiązki na administratorów danych. Dotychczasowy administrator bezpieczeństwa informacji (ABI) zmieni nazwę na inspektora ochrony danych. Co ważne, grupa przedsiębiorstw (jak w Rozporządzeniu określana jest grupa kapitałowa) może wyznaczyć jednego inspektora ochrony danych, pod warunkiem, że każda z jednostek organizacyjnych będzie mogła z nim łatwo nawiązać kontakt. Rozporządzenie ustanawia obowiązek powołania inspektora ochrony danych osobowych w następujących przypadkach:

  • przetwarzanie danych przez organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości);

  • główna działalność administratora/podmiotu przetwarzającego polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób na dużą skalę;

  • główna działalność administratora/podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę wrażliwych danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Warto w tym miejscu nadmienić, że w poprzednim stanie prawnym wyznaczenie administratora bezpieczeństwa danych miało charakter fakultatywny.

Wśród głównych zadań inspektora ochrony danych wskazanych w Rozporządzeniu można wymienić m.in.: czuwanie nad przestrzeganiem przepisów Rozporządzenia przez organy administratora danych oraz pracowników administratora, kontaktowaniem się z organem nadzoru (np.: polskim GIODO) w celu zgłoszenia naruszeń wynikających z nieprzestrzegania Rozporządzenia, czy też wydawanie zaleceń dotyczących ochrony danych osobowych. W porównaniu do wcześniejszych regulacji, rozszerzono katalog kompetencji przysługujących inspektorowi ochrony danych przy jednoczesnym zwiększeniu ciążących na nim obowiązków.

Europejska Rada Ochrony Danych (EROD)

Na mocy Rozporządzenia ustanowiono nowy organ UE – Europejską Radę Ochrony Danych (dalej: „EROD”), która zastąpi Grupę Roboczą powołaną na mocy art. 29 Dyrektywy. Podobnie jak Grupa Robocza, EROD ma być ciałem doradczym Komisji Europejskiej w zakresie ochrony danych osobowych. W świetle art. 70 Rozporządzenia do głównych zadań EROD należy zapewnienie spójnego stosowania Rozporządzenia m.in. poprzez monitorowanie jego stosowania, doradzanie Komisji Europejskiej w sprawach związanych z ochroną danych osobowych czy wydawanie wytycznych, zaleceń oraz określanie najlepszych praktyk.

Kary za naruszenie Rozporządzenia

W Rozporządzeniu przewidziano wysokie („w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”) kary pieniężne dla podmiotów, które nie będą się stosować do regulacji Rozporządzenia. Kary pieniężne dla przedsiębiorstwa, w zależności od naruszenia, stosowane będą w wysokości do 2% lub do 4% (w przypadku cięższego naruszenia) całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego danego przedsiębiorcy.

Wejście w życie i stosowanie Rozporządzenia

Jak wspomniano na początku niniejszego artykułu, Rozporządzenie weszło w życie 17 maja 2016 r., a jego przepisy będą obowiązywać od 25 maja 2018 r. (w tym dniu uchylona zostanie Dyrektywa 95/46). Przedsiębiorcy powinni zatem do tego czasu przystosować swoje wewnętrzne procedury tak, aby spełniały one wymogi Rozporządzenia. Należy bowiem nadmienić, że posłużenie się w ramach reformy unijnego prawa ochrony danych osobowych aktem prawnym, jakim jest rozporządzenie, ma swoje istotne konsekwencje. Zgodnie z art. 288 TFUE rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. W przeciwieństwie do dyrektywy rozporządzenie nie wymaga implementacji (transpozycji) do krajowych porządków prawnych. Dzięki temu dojdzie do ujednolicenia stosowania prawa na całym terytorium Unii Europejskiej (EOG) – zlikwidowana zostanie „mozaika” ustawodawstw państw członkowskich w zakresie ochrony danych osobowych, które w wielu przypadkach bardzo różniły się między sobą, ponieważ Dyrektywa, jako akt harmonizacji minimalnej, zobowiązuje jedynie do wdrożenia odpowiednich środków wyznaczających dolny pułap ochrony, zaś w pozostałym zakresie pozostawia państwom członkowskim margines swobody, jeśli chodzi o bardziej restrykcyjne uregulowania (motyw 8 i 9 Dyrektywy).

 Źródło: biznesalert.pl

W sobotę 28 stycznia przypada Dzień Ochrony Danych Osobowych. Miniony rok obfitował w ważne dla bezpieczeństwa informacji i ochrony naszej prywatności wydarzenia. Z jednej strony świat opanowały Pokemony, które niezamierzenie spowodowały zainteresowanie regulaminami aplikacji oraz prawem do prywatności ich użytkowników, a z drugiej strony Unia Europejska przyjęła nowe bardzo restrykcyjne regulacje dotyczące ochrony danych osobowych. Dodatkowo emocje wzbudzały informacje o kolejnych spektakularnych wyciekach baz danych.

RODO oraz inne zmiany w prawie

25 maja 2016 roku państwa członkowskie UE przyjęły ogólne rozporządzenie o ochronie danych osobowych (potocznie nazywane RODO), które rewolucjonizuje dotychczasowe przepisy. RODO wprowadza dużo istotnych zmian oraz nowości, które dotyczą zarówno przedsiębiorców jak i społeczeństwa. Nowe Rozporządzenie ujednolici prawo w zakresie ochrony danych osobowych w całej Unii Europejskiej – mówi Maciej Kaczmarski, Prezes zarządu ODO 24.

W Polsce w lipcu 2016r. rozpoczął się proces rejestracji tzw. przedpłaconych kart SIM. Taki obowiązek na operatorów telekomunikacyjnych nałożyła Ustawa o działaniach antyterrorystycznych. Wzbudził on w społeczeństwie wiele kontrowersji związanych przede wszystkim z ich prawem do prywatności. Nie podniósł znacząco poziomu bezpieczeństwa obywateli, a spowodował walkę o klientów wśród operatorów telekomunikacyjnych.

Na uwagę zasługuje także stwierdzenie przez Trybunał Sprawiedliwości, że adres IP to dane osobowe oraz określenie nowych ram prawnych przepływu danych osobowych z UE do USA, czyli decyzja Privacy Shield. Próba zastąpienia niedziałającego mechanizmu Safe Harbour nowym mechanizmem samokontroli podmiotów znajdujących się w USA znów zakończyła się niepowodzeniem, zaproponowane rozwiązania nie zapewniają odpowiedniego poziomu bezpieczeństwa dla danych, co potwierdzają opinie zarówno organów nadzorczych jak i firm z państw trzecich – dodaje Maciej Kaczmarski.

Wycieki, wycieki, wycieki

W minionym roku wyszło na jaw wiele kradzieży danych. Do wycieków sprzed kilku lat przyznały się m.in. firma Dropbox oraz amerykański portal Yahoo. Wiele mówiło się również o udostępnionej przez hakerów bazie z hasłami użytkowników portalu MySpace. Ofiarą kradzieży danych użytkowników padł też popularny LinkedIn.

Opinię publiczną w naszym kraju w sierpniu poruszyło masowe pobranie danych przez komorników z systemu PESEL., które określone zostało jako „wyciek”. Dane nie dotyczyły tylko dłużników znajdujących się w rejestrze, ale także ich małżonków oraz rodziców. To wydarzenie naraziło na straty finansowe i wizerunkowe wiele osób. Nadużywanie uprawnień osób, które posiadają dostęp do danych poddało pod wątpliwość bezpieczeństwo znacznej części procesu realizacji orzeczeń sądów. Po incydencie GIODO postanowił przeprowadzić gruntowne czynności sprawdzające wobec komorników sądowych – wskazuje Prezes ODO 24.

Niebezpieczna strona aplikacji i social mediów

Aplikacje Pokemon Go i Prisma zwróciły uwagę społeczeństwa na warunki korzystania z oprogramowania na urządzenia mobilne. Zainteresowanie z nimi związane spowodowało, że zaczęło się więcej mówić o lekkomyślnym dzieleniu się danymi osobowymi i jego konsekwencjach.

W czerwcu 2016 roku miał miejsce atak phishingowy na Facebooku. W ciągu dwóch dni zostały zainfekowane komputery ponad 10 tysięcy użytkowników portalu.

Podsumowując rok 2016 był bardzo ważny dla ochrony danych osobowych ze względu na pojawienie się nowych przepisów rewolucjonizujących prawo do prywatności na terytorium UE. Dodatkowo poprzez szereg incydentów związanych z danymi osobowymi osoby korzystające z usług społeczeństwa informacyjnego przekonały się, że jest również druga ciemniejsza strona ujawniania swoich danych osobowych. Najważniejszym sukcesem minionego roku jest to, że podmioty zaczęły dostosowywać podejmowane działania tak by nie naruszać prawa do prywatności swoich klientów, interesantów, ale również pracowników.

Źródło: ODO 24

Eksperci

Dane makroekonomiczne – wolniejszy wzrost przy rosnących cenach

Styczniowe dane z polskiej gospodarki wpisały się w oczekiwania co do wolniejszego wzrostu w całym 2...

Startupy – czy mogą rozwijać się samodzielnie?

Jakie są potrzeby młodych, dynamicznie rozwijających się firm? Czy są w stanie rozwinąć się bez pomo...

Lokata 10 tysięcy to mniej niż 100 złotych odsetek!

98 złotych - tyle w ciągu roku zarobi ktoś, kto powierzył bankowi 10 tysięcy złotych zakładając prze...

Co czeka branżę Consumer Finance? Prognoza 2020

Początek nowej dekady będzie dla branży pożyczkowej pełen wyzwań. Katarzyna Jóźwik, Dyrektor General...

Polacy puszczają z dymem 105 tysięcy mieszkań rocznie

W bieżącym roku Polacy wydadzą na wyroby tytoniowe około 28 miliardy złotych – wynika z szacunków HR...

AKTUALNOŚCI

Koronawirus – co jeszcze musisz wiedzieć?

Podstawowe środki ochronne przeciwko nowemu koronawirusowi wywołującemu chorobę COVID-19. https://yo...

Volkswageny czy ople? Jakie auta wolą Polki?

Volkswageny czy ople? Jakie auta wolą Polki? Na te pytania odpowiedź wskazuje raport przygotowany na...

Polski samochód elektryczny, czyli rewolucja mobilności

Polski samochód elektryczny, czyli rewolucja mobilności staje się faktem. Na co dzień obserwujemy co...

Ładowarki – Inspekcja Handlowa kwestionuje aż 1/3 z nich

Ładowarki - oto najczęstsze zastrzeżenia Inspekcji. Brak odporności na temperaturę oraz dostęp do cz...

Wybory w USA – kto zostanie prezydentem?

Wybory w USA wzbudzają szerokie zainteresowanie opinii publicznej na całym świecie. To, kto zostanie...

Koronawirus – co jeszcze musisz wiedzieć?

Podstawowe środki ochronne przeciwko nowemu koronawirusowi wywołującemu chorobę COVID-19. https://yo...

Opakowanie ma znaczenie. Czyli co nas przyciąga

Opakowanie ma znaczenie co widać chociażby po pieniądzach na tym rynku. Wartość światowego rynku opa...

Volkswageny czy ople? Jakie auta wolą Polki?

Volkswageny czy ople? Jakie auta wolą Polki? Na te pytania odpowiedź wskazuje raport przygotowany na...

Polski samochód elektryczny, czyli rewolucja mobilności

Polski samochód elektryczny, czyli rewolucja mobilności staje się faktem. Na co dzień obserwujemy co...

Kobieta w sieci stereotypów – badanie

Mogłoby się zdawać, że słowa popularnej piosenki Ada to nie wypada, nie mają zastosowania w dzisiejs...