Własne IT w zgodzie z RODO.

Czyli ewaluacja w 3 etapach w kierunku do nowego rozporządzenia.

 

Pobierz przewodnik o RODO w PDF

 

CZYM JEST RODO?

W maju bieżącego roku wejdzie w życie unijne rozporządzenie RODO, które nałoży szereg nowych wymogów na firmy i organizacje, które gromadzą i przetwarzają dane osobowe. Informacje o klientach będą musiały być pod szczególną ochroną, dlatego tak powszechne w dobie internetu ataki hakerskie i wycieki danych będą dla firm poważnym problemem.

Firmy czeka szereg zmian na poziomie technicznym i organizacyjnym. RODO wymaga, aby organizacje, poruszając się w wyznaczonych prawem granicach, same zdefiniowały posiadane zasoby informacyjne (kategorie danych osobowych), ryzyka związane z ich przetwarzaniem i odpowiednie zabezpieczenia.

Celem regulacji jest zapewnienie swobodnego przepływu danych osobowych pomiędzy państwami członkowskimi, ale także wprowadzenie zasad, zgodnie z którymi przetwarzanie danych osobowych będzie ujednolicone na terenie całej Unii Europejskiej.

RODO przede wszystkim formułuje 7 zasad przetwarzania danych osobowych:
• zasada zgodności z prawem, rzetelności i przejrzystości,
• zasada ograniczenia celu przetwarzania danych,
• zasada minimalizacji danych,
• zasada prawidłowości danych,
• zasada ograniczenia przechowania danych,
• zasada integralności i poufności danych,
• zasada rozliczalności.

Obecne zasady są bardzo ogólne, ograniczone w kwestii wymagań. RODO wprowadza ich uszczegółowienie, wprowadzając dodatkowo zasadę przejrzystości, integralności, poufności i rozliczalności danych.

 

JAK WYGLĄDA MOJA INFRASTRUKTURA IT, ODPOWIEDZIALNA ZA DANE OSOBOWE?

Stojąc w przeddzień wprowadzenia zmian należy zadać sobie pytania:

• czy posiadam odpowiednią infrastrukturę IT do przetwarzania danych?
• czy posiadam agregat, który jest w stanie zasilić infrastrukturę IT w momencie zaniku prądu?
• czy posiadam odpowiednio klimatyzowane pomieszczenie, gwarantujące dobre warunki do pracy urządzeń IT?
• czy moja infrastruktura IT jest zarządzana przez 24h na dobę?
• czy posiadam co najmniej dwa niezależne łącza internetowe gwarantujące nieprzerwany dostęp do danych?
• czy posiadam agregat, który jest w stanie zasilić infrastrukturę IT w momencie zaniku prądu?
• czy serwisuję systematycznie swoją infrastrukturę IT?
• czy dostęp do mojej infrastruktury IT jest zabezpieczony przed nieuprawnionym dostępem?
• czy dostęp do moich danych jest monitorowany?
• czy posiadam kopię zapasową swoich danych?
• czy regularnie sprawdzam możliwość odtworzenia kopii zapasowych?
• czy jestem w stanie przewidzieć koszty utrzymania i serwisowania infrastruktury IT?

 

DOSTOSOWANIE W 3 KROKACH

W praktyce dostosowanie do wymogów nowego Rozporządzenia oznacza zaktualizowanie 3 newralgicznych obszarów w każdej jednostce przetwarzającej dane, która z automatu staje się w takim przypadku Administratorem Danych. Należy dostosować:

• procesy biznesowe,
• systemy informatyczne,
• dokumentacje.

Każda jednostka przetwarzająca dane osobowe powinna zdefiniować w tych trzech obszarach swój stan faktyczny i dostosować go do nowych wytycznych. RODO wymaga aby dane osobowe były należycie chronione przed wyciekiem, przed działaniem osób nieuprawnionych, przed utratą. Dlatego tak ważne jest wdrożenie przez organizację odpowiednich procedur i polityk oraz usług zabezpieczających, które będą blokowały złośliwe aktywności. W kwestii zabezpieczeń mogą pomóc dostawcy usług chmurowych świadczący usługi z bezpiecznego Data Center najlepiej w Polsce. Bezpieczne Data Center, to takie, które same u siebie wdrożyło systemy zarządzania bezpieczeństwem informacji i ciągłości działania. Przykłady ostatnich cyberataków pokazują, że żaden z dostawców chmury, który ma certyfikowaną infrastrukturę nie padł ofiarą ataków złośliwego oprogramowania. Data Center Exea poza certyfikowanymi rozwiązaniami IT oferuje również pomoc merytoryczną w temacie nowych wytycznych w postaci ewaluacji w 3 etapach.

 

 
NIEDOSTOSOWANIE SIĘ, CZYLI CO JEŚLI?

Niedostosowanie się do nowych zasad przetwarzania danych osobowych to w dużej mierze odpowiedzialność finansowa, czyli wysokie kary pieniężne. W RODO przewidziano kary finansowe w wysokości:

• do 10 mln euro w przypadku braku zastosowania odpowiednich do ryzyk i zagrożeń środków organizacyjnych i technicznych zabezpieczających przetwarzanie danych, w tym braku zastosowania szyfrowania,
• do 20 mln euro w przypadku nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia lub zawieszenia przepływu danych,
• Koordynator krajowej reformy ochrony danych osobowych z Ministerstwa Cyfryzacji informuje, że prawdopodobnie kara dla administracji publicznej niespełniającej wymogów RODO zostanie obniżona do 100 tys. zł,
• Niestosowanie się do nowych zasad to również odpowiedzialność cywilna. Osoby, których dane są przetwarzane, będą miały bowiem prawo dochodzić od Administratora Danych lub podmiotu przetwarzającego odszkodowania za szkodę majątkową lub niemajątkową spowodowaną naruszeniem przepisów rozporządzenia.

Należy pamiętać, że dzień 25 maja 2018 roku to pierwszy dzień, w którym istnieje możliwość nałożenia kary finansowej.

 

 
JAK EXEA MOŻE POMÓC? CZYLI EWALUACJA W 3 KROKACH

Do wdrożenia wymagań RODO każda organizacja musi podejść bardzo indywidualnie żeby dostosowanie było sensownym i owocnym procesem. Exea może w tym pomóc. Zdiagnozujemy wszystkie procesy w Państwa organizacji, zarekomendujemy listę rozwiązań dla tych procesów i zabezpieczymy ten obszar, na którym znamy się najlepiej czyli obszar IT. Proponujemy każdemu Administratorowi Danych Osobowych przeprowadzenie ewaluacji w 3 etapach:

Etap 1: Diagnoza stanu faktycznego
• zidentyfikowanie procesów w organizacji,
• zebranie informacji nt. przetwarzanych danych osobowych oraz sposobu ich zabezpieczenia

Etap 2: Raport
• stworzenie listy obszarów, w których zidentyfikowane zostały luki,
• opracowanie i przedstawienie do rozważenia zestawu zaleceń i rozwiązań do wdrożenia.

Etap 3: Szkolenia
• przedstawienie listy tematycznej szkoleń dla pracowników,
• przedstawienie metodologii oceny i kryteriów wyboru dostawców usług Data Center spełniających wytyczne RODO.

Efektem ewaluacji będzie opracowanie i zaprezentowanie raportu w zakresie określenia stopnia przygotowania instytucji do spełnienia wytycznych RODO wraz z zaleceniami jak efektywnie podejść do ulepszenia procesów.

 

 
BEZPIECZNY DOSTAWCA USŁUG CHMUROWYCH, CZYLI JAKI?

Świadomość zmian, które wprowadza RODO jest na ogół wysoka wśród pracowników instytucji zobligowanych do ich implementacji. Niestety w obszarze wdrożenia skutecznych zabezpieczeń informatycznych jest dużo gorzej, ponieważ wiąże się to z dużymi wydatkami inwestycyjnymi na infrastrukturę i zabezpieczenia IT.
Wybór odpowiedniego dostawcy usług chmurowych to niełatwa i zarazem bardzo odpowiedzialna decyzja. Przy wyborze należy zwrócić uwagę na wiele aspektów, należy kierować się konkretnymi kryteriami.

Bezpieczne Data Center, czyli takie, które w pełni spełnia wymogi RODO. Takie, w którym, powierzone dane zawsze są odpowiednio zabezpieczone oraz dostępne tylko dla uprawnionych osób. Takie, które gwarantuje swoim Klientom ciągłość działania procesów biznesowych, optymalizacje kosztów, wsparcie administracyjne oraz wsparcie doświadczonych inżynierów, a nade wszystko bezpieczeństwo i niezawodność.

Powierzając dane osobowe Exea Data Center mają Państwo pewność, że będą one dobrze zabezpieczone. Gwarantuje to prawidłowe wsparcie dla wszystkich procesów w administracji publicznej zgodnie z wytycznymi RODO.

Wyróżnia nas:
• certyfikowana infrastruktura,
• bezpieczeństwo obiektu,
• bezpieczeństwo informacji i ciągłości działania procesów,
• spełnienie wymogów prawnych nie tylko wynikających z RODO.

Oddane do użytku w roku 2014 Exea Data Center wybudowane zostało od podstaw. Serwerownia skonstruowana została jako budynek wewnątrz budynku, co chroni przed każdą klęską żywiołową — od pożaru, wstrząsów aż do powodzi. Nasz obiekt posiada nadmiarowe zabezpieczenie wszystkich elementów infrastruktury na wypadek awarii oraz trzy zespoły agregatów prądotwórczych o mocy 6MW, zdolne zasilić małe miasto.

Infrastruktura Exea Data Center uzyskała certyfikaty TIER III Certification of Constructed Facility (jedyny certyfikat w Polsce potwierdzający bezpieczeństwo infrastruktury serwerowni wydany przez The Uptime Institute), oraz TIER III Design of Documents (certyfikat potwierdzający najwyższą jakość dokumentacji technicznej serwerowni wydany przez The Uptime Institute). Daje to możliwość przeprowadzenia wszelkich prac serwisowych i konserwacyjnych w obiekcie bez konieczności zatrzymywania świadczonych usług. Klimatyzacja precyzyjna zapewnia również ciągłość pracy dla sprzętu w komorach serwerowych.

Bezpieczeństwo obiektu zapewnione jest wielowymiarowo:
• ochrona fizyczna zapewnia zewnętrzna firma ochroniarska w trybie 24/7/365,
• ochrona obwodowa zapewnia bariera podczerwieni i drut kolczasty na obwodzie terenu Exea Data Center,
• system kontroli dostępu zapewnia kontrola elektroniczna oraz czytniki biometryczne.

Dodatkowo w naszym Data Center posiadamy systemy alarmowe, system kamer CCTV, drzwi antywłamaniowe oraz sejf na nośniki wymienne.
Bezpieczeństwo informacji i ciągłości działania procesów biznesowych realizujemy poprzez funkcjonujące systemy obejmujące świadczone przez Data Center usługi. Zgodność systemów potwierdzają uzyskane certyfikaty ISO/IEC 27001:2013 i ISO 22301:2012 oraz coroczne audyty nadzorcze.

Spełnienie wymogów prawnych jest jednym z kluczowych elementów dzięki, którym jesteśmy przygotowani na świadczenie usług dla instytucji publicznych. Spełniamy normy Krajowych Ram Interoperacyjności oraz Komisji Nadzoru Finansowego. Jesteśmy gotowi na przechowywanie danych osobowych zgodnie z wymogami RODO.

Oferując pełne bezpieczeństwo, stały nadzór inżynierów nad prawidłowym działaniem infrastruktury w systemie 24/7/365, zawsze aktualne oprogramowanie i dużą moc obliczeniową sprawiamy, że świadczone przez nasze Data Center usługi są odpowiedzią na to czego potrzebują instytucje publiczne, czyli pełnego zabezpieczenia i ciągłej dostępności do wszystkich powierzonych danych w tym danych osobowych oraz pewności ,że cały proces jest zgodny z wytycznymi, które narzuca RODO.

 

PROAKTYWNE PODEJŚCIE DO SWOJEGO BIZNESU

Zachęcamy wszystkie podmioty do skorzystania z usługi ewaluacji w kierunku RODO. Każdego kto przechowuje dane elektroniczne w ramach własnego systemu zachęcamy dodatkowo do rozważenia skorzystania z usług naszego Data Center.

Podmioty, które rozważą przeniesienie swoich danych i systemów do chmury w naszym Data Center otrzymają gotowy produkt, który z definicji ma już wbudowane mechanizmy i instrumenty spełniające wymagania RODO a dodatkowo, otrzymają narzędzie bezpiecznego korzystania z usługi (w postaci zbioru dobrych praktyk bezpiecznego korzystania z usługi).

Na podkreślenie zasługuje fakt, że nasze usługi będą ewoluowały wraz pojawiającymi się nowymi aktami prawnymi oraz wytycznymi. Także na pewno wrócimy do Ciebie kiedy pojawią się już akty wykonawcze dostosowane do naszych polskich regulacji.

 

 

 

ANKIETA

Zapytaj nas o RODO

Pozwól nam skontaktować się z Tobą.
Zostaw email lub telefon, nasi inżynierowie odezwą się w ciągu 24 godzin.

Cloud od 0,06 zł

Bezpieczna i skalowalna chmura IaaS z certyfikatem ISO i gwarancją wydajności oraz wysokiej dostępności od VMware.


Kolokacja od 39 zł

Jedyne data center w Polsce z certyfikatem Tier III of Facility by The Uptime Institute. Gwarancja SLA 99,99%.


Wsparcie

Optymalizacja wydatków na obsługę i rozwój własnego IT. Bezpłatny support na usługi oraz atrakcyjny model outsourcingu.


Prowadzisz firmę? Dostaniesz
50 PLN na testy chmury.

Bez zobowiązań. Ot tak.

Załóż konto