Czym jest Ogólne rozporządzenie o ochronie danych (RODO)?

Rozporządzenie RODO ma na celu ujednolicenie wymogów dotyczących ochrony prywatności danych na terenie Unii Europejskiej (UE). Jeśli sprzedajesz produkty podmiotom gospodarczym UE — m.in. użytkownikom końcowym, klientom i pracownikom — lub przetwarzasz ich dane, musisz spełniać wymagania RODO, aby móc nadal prowadzić działalność biznesową. Dowiedz się, jak sprostać tym kluczowym wymaganiom z pomocą rozwiązań IBM® Security.

Na którym etapie przygotowań do RODO jesteś?

Początek drogi

IBM Security Guardium® Analyzer pomaga skutecznie rozpoznawać ryzyko związane z przetwarzaniem danych osobowych, które podlegają przepisom RODO. Wykorzystuje klasyfikację danych nowej generacji, a także mechanizmy skanowania słabych punktów w celu wykrywania zagrożeń związanych z takimi danymi w chmurowych i lokalnych bazach danych.

Gdzieś w środku

Usługi IBM Data Privacy Consulting Services pomagają określić kolejne kroki, które powinna podjąć Twoja organizacja w celu przeciwdziałania zagrożeniom dla prywatności. Przeprowadź opracowaną przez IBM ocenę gotowości na wprowadzenie RODO, która stanowi jej ustrukturyzowany sprawdzian, obejmuje analizę luk i umożliwia sporządzenie planu dalszych działań.

Wdrożenie programu

Rozwiązanie The Resilient®Incident Response Platform pomaga w spełnieniu wymogów RODO oraz szybszym reagowaniu na incydenty i powiadomienia o naruszeniu danych. Do platformy włączono komponenty bezpośrednio związane z RODO, w tym przewodnik po przygotowaniach do RODO, symulator RODO i moduł prywatności uwzględniający postanowienia RODO.

Schemat wdrożenia RODO według IBM Security

Pięć faz przygotowania

Opracowany przez IBM Security schemat wdrożenia założeń RODO to holistyczny plan — obejmujący wszystkie fazy, od oceny wstępnej do uzyskania zgodności — który umożliwi Twojej organizacji przygotowanie się na wymogi RODO i ich spełnienie.

Wymogi dotyczące ochrony prywatności

W pierwszej kolejności należy ocenić obecny stopień ochrony prywatności, biorąc pod uwagę wszystkie postanowienia RODO. Trzeba sprawdzić, w których obszarach działalności firmy wykorzystywane są informacje chronione.

Przygotowanie:

  • Przeprowadzenie analizy RODO i ocena, a także udokumentowanie powiązanych z tym rozporządzeniem zasad
  • Ocena uprawnień podmiotów danych w zakresie korygowania, usuwania i przenoszenia danych osobowych, a także uzyskiwania do nich dostępu i udzielania związanych z nimi zgód

Wykrywanie:

  • Wykrywanie i klasyfikacja zasobów danych osobowych oraz powiązanych systemów
  • Identyfikacja zagrożeń związanych z dostępem z uwzględnieniem faktu, czy ochrona danych została wzięta pod uwagę już na etapie projektowania danego rozwiązania

 

Wyróżnione rozwiązania

Wymogi dotyczące bezpieczeństwa

Przeanalizuj swój aktualny system zabezpieczeń, zidentyfikuj jego luki i przygotuj stosowne środki kontroli bezpieczeństwa. W celu opracowania odpowiednich środków kontroli wykryj słabe punkty zabezpieczeń, zasoby danych osobowych i powiązane z nimi systemy i przypisz im odpowiednią wagę.

Przygotowanie:

  • Ocena bieżącego stanu zabezpieczeń, wykrywanie luk, ewaluacja dojrzałości testów porównawczych, wytyczanie ścieżek integracji
  • Identyfikacja słabości systemu z uwzględnieniem faktu, czy ochrona danych została wzięta pod uwagę już na etapie projektowania danego rozwiązania

Wykrywanie:

  • Wykrywanie i klasyfikowanie zasobów danych osobowych oraz powiązanych systemów w celu opracowania mechanizmów zabezpieczeń

 

Wyróżnione rozwiązania

Wymogi dotyczące ochrony prywatności

Utwórz strategię przygotowania do RODO i plan wdrożenia postanowień tego rozporządzenia. Przy użyciu informacji zdobytych w fazie oceny opracuj dalsze działania i ogranicz poziom ryzyka w swoim przedsiębiorstwie.

Plan rozwoju:

  • Opracowanie planu wdrożenia wytycznych GDPR

Uwzględnianie ochrony prywatności już na etapie projektowania:

  • Opracowywanie strategii, procesów biznesowych oraz niezbędnych technologii
  • Budowa architektury spełniającej wymogi GDPR
  • Ocena poziomu nadzoru nad administratorem danych i podmiotem je przetwarzającym

 

Wyróżnione rozwiązania

Wymogi dotyczące bezpieczeństwa

Zidentyfikuj zagrożenia dotyczące zasobów danych osobowych, aby opracować środki zaradcze i wyznaczyć priorytety w planie wdrożenia. Uwzględnij w planach referencyjną architekturę zabezpieczeń i techniczne/organizacyjne środki ochrony danych. Zacznij od wprowadzania domyślnie najwyższych zabezpieczeń już na etapie projektowania rozwiązań.

Plan rozwoju:

  • Opracowanie planu naprawy i wdrożenia

Ochrona uwzględniana już na etapie projektowania:

  • Budowa architektury spełniającej wymogi bezpieczeństwa
  • Opracowanie technicznych i organizacyjnych środków kontroli, które będą dostosowane do poziomu ryzyka (np. mechanizmy szyfrowania, pseudonimizacji, kontroli dostępu bądź monitorowania)

 

Wyróżnione rozwiązania

Wymogi dotyczące ochrony prywatności

Uwzględnij w swojej strategii przygotowania do RODO odpowiednie środki kontroli, w tym zasady, programy i technologie oraz egzekwuj ich stosowanie. Przeprowadź transformację swojej firmy, tak by była przygotowana na RODO.

Przekształcenie procesów:

  • Implementacja i realizacja strategii, procesów i rozwiązań technologicznych
  • Automatyzacja próśb o dostęp składanych przez podmioty danych

 

Wyróżnione rozwiązania

Wymogi dotyczące bezpieczeństwa

Wdróż środki kontroli, które zwiększą bezpieczeństwo danych, np. mechanizmy szyfrowania, tokenizacji bądź dynamicznego maskowania. Zaimplementuj wymagane środki kontroli bezpieczeństwa, takie jak mechanizmy kontroli dostępu, funkcje monitorowania aktywności i alerty. Ogranicz wykryte zagrożenia dostępu i słabe punkty w zabezpieczeniach.

Ochrona:

  • Wdrożenie środków kontroli zwiększających ochronę prywatności (np. mechanizmów szyfrowania, tokenizacji bądź dynamicznego maskowania)
  • Implementacja mechanizmów kontroli zabezpieczeń pozwalających niwelować ryzyko związane z dostępem i lukami w zabezpieczeniach

 

Wyróżnione rozwiązania

Wymogi dotyczące ochrony prywatności

Zarządzaj nadzorem nad egzekwowaniem RODO przy użyciu opracowanych pod tym kątem wskaźników. Odkryj, jak ograniczać ryzyko w przedsiębiorstwie. 

Zarządzanie programem GDPR:

  • Zarządzanie wymaganymi przez GDPR procedurami nadzoru nad informacjami, takimi jak nadzór nad cyklem życia informacji
  • Zarządzanie korporacyjnymi programami zachowania zgodności z RODO, w tym wykorzystywaniem danych osobowych, działaniami dotyczącymi zgód na przetwarzanie danych i wnioskami osób, których dotyczą dane

Realizacja usług:

  • Monitorowanie dostępu do danych osobowych
  • Nadzór nad rolami i tożsamościami
  • Opracowanie wskaźników i schematów raportowania uwzględniających wymogi RODO

 

Wyróżnione rozwiązania

Wymogi dotyczące bezpieczeństwa

Opracuj obowiązujące zarówno w chmurze, jak i w środowisku lokalnym procedury bezpieczeństwa i zarządzaj nimi. Procedury te powinny dotyczyć między innymi analizowania i ograniczania ryzyka, identyfikowania incydentów, eskalowania, reagowania, prowadzenia dochodzeń, rozwiązywania problemów oraz ról i obowiązków personelu. Badaj efektywność programu, dokumentuj jego wyniki i informuj o nich interesariuszy. Monitorowanie działania zabezpieczeń i przebiegu analiz bezpieczeństwa, by kontrolować i wykrywać zagrożenia, odpowiadać na nie i minimalizować ich skutki.

Zarządzanie programem bezpieczeństwa:

  • Wprowadzenie do programu bezpieczeństwa procedur dotyczących oceny ryzyka, ról i obowiązków oraz skuteczności programu i zarządzanie nimi

Realizacja usług:

  • Monitorowanie działania zabezpieczeń i przebiegu analiz bezpieczeństwa, w celu kontrolowania i wykrywania zagrożeń, odpowiadania na nie i minimalizowania ich skutków
  • Nadzorowanie reagowania na incydenty związane z danymi oraz działaniami dochodzeniowymi

 

Proponowane rozwiązania

Wymogi dotyczące ochrony prywatności

Usprawnij i popraw procedury realizowania wymogów RODO, określając w tym celu potencjalne problemy i w razie konieczności je eliminując. Efektywnie zarządzaj relacjami z administratorem/podmiotem przetwarzającym i sprawdzaj, czy stosowane są odpowiednie techniczne i organizacyjne środki kontroli.

Możliwości:

  • Rejestrowanie zapisu kontrolnego dostępu do danych, w tym uprawnień podmiotów danych do uzyskiwania dostępu do danych, ich modyfikowania, usuwania i przesyłania
  • Sprawowanie nadzoru nad administratorem danych lub podmiotem przetwarzającym dane poprzez udostępnianie wytycznych dotyczących przetwarzania, śledzenie procesu przetwarzania danych, udostępnianie zapisu kontrolnego i przygotowanie procedur obsługi wniosków o dostęp do danych
  • Zarządzanie programem zachowania zgodności z przepisami i prowadzenie jego dokumentacji — nieustanne monitorowanie, ocenianie i analiza działań dotyczących egzekwowania RODO i sporządzanie sprawozdań

Reagowanie:

  • Reagowanie na przypadki naruszenia zabezpieczeń i zarządzanie nimi

 

Wyróżnione rozwiązania

Wymogi dotyczące bezpieczeństwa

Wykaż, że wszystkie techniczne i organizacyjne środki kontroli bezpieczeństwa zostały wdrożone prawidłowo i właściwie chronią przed zagrożeniami. Wymaga to możliwości tworzenia raportów kontrolnych i dokumentowania wartości wskaźników mierzących postępy w realizacji planu. Prowadź też dokumentację samego programu bezpieczeństwa, w tym zasad ciągłego monitorowania, oceniania i analizowania działań i środków koniecznych do zapewniania ochrony. Reaguj na incydenty i naruszenia zabezpieczeń, a ponadto zarządzaj nimi i zgłaszaj je odpowiednim organom nadzorującym w ciągu przewidzianych 72 godzin.

Możliwości:

  • Techniczne i organizacyjne środki pozwalające zapewnić bezpieczeństwo na poziomie adekwatnym do ryzyka towarzyszącego procedurom
  • Prowadzenie dokumentacji programu zachowania zgodności z przepisami — nieustanne monitorowanie, ocena i analiza działań i środków koniecznych do zapewniania ochrony i sporządzanie sprawozdań

Reagowanie:

  • Reagowanie na przypadki naruszenia zabezpieczeń i zarządzanie nimi

 

Wyróżnione rozwiązania

Więcej zasobów dotyczących RODO

Zmień oblicze przedsiębiorstwa z pomocą RODO

Dowiedz się, co najlepsi specjaliści zespołu IBM Security mają do powiedzenia o RODO

Sprawdź, dlaczego RODO to nie tylko kwestia prywatności i bezpieczeństwa

Odpowiedzialność za zachowanie zgodności z prawem i przepisami, w tym z unijnym ogólnym rozporządzeniem o ochronie danych, leży po stronie klienta. Wyłącznie klienci ponoszą odpowiedzialność za uzyskanie kompetentnej pomocy prawnej w zakresie rozpoznania i interpretacji wszelkich obowiązujących praw i przepisów mogących wpłynąć na ich działalność biznesową oraz wszelkich działań, które należy podjąć w celu przestrzegania tychże praw i przepisów. Produkty, usługi i inne elementy wchodzące w skład zaprezentowanej oferty mogą być nieadekwatne do sytuacji klienta, a ich dostępność może być ograniczona. IBM nie zapewnia porad prawnych, porad w zakresie audytu bądź księgowości oraz nie deklaruje ani nie gwarantuje, że usługi lub produkty IBM zapewnią zgodność działań przedsiębiorstwa klienta z przepisami. Dowiedz się, jak w IBM sami przygotowujemy się do wejścia RODO w życie i poznaj oferowane przez nas rozwiązania, które pomogą Ci dostosować się do wymogów tego rozporządzenia.