Dane w przedsiębiorstwie
Ochrona danych – priorytety
Strategia zabezpieczania danych i priorytety z nią związne zależą od biznesowych decyzji właścicieli firmy – najczęściej jej zarządu. Będą miały wpływ na wybór sposobu wykonywania backupu, jako że ten powinien być uzależniony od ilości danych, które można utracić, oraz planowanego czasu odtworzenia danych. Czynniki te są określane precyzyjnie przez dwa parametry: RPO i RTO.
Recovery Point Objective określa punkt w przeszłości, w którym po raz ostatni została wykonana kopia danych, czyli moment w działalności firmy lub użytkownika, do którego będzie można wrócić. Dla jednych wystarczająca będzie kopia z dnia poprzedniego, inni zaś potrzebują danych sprzed kilkunastu sekund. Na dłuższe czasy RPO (rzędu kilku dni) można sobie pozwolić np. w przypadku serwerów, których konfiguracja zmienia się rzadko (serwerów wydruku, DNS, Active Directory). Dla plików i serwerów internetowych wskazana będzie kopia z ostatniej nocy. W przypadku baz danych lub informacji płynących ze sklepów internetowych utrata danych nawet sprzed godziny może skutkować rysą na wizerunku przedsiębiorstwa.
Recovery Time Objective to maksymalny czas po awarii potrzebny do przywrócenia działania aplikacji, systemów i procesów biznesowych. Jeśli wznowienie pracy musi nastąpić w ciągu sekund lub minut, należy zbudować system ochrony danych z wykorzystaniem rozwiązań klastrowych. Natomiast jeśli administrator ma do dyspozycji kilka godzin, może ręcznie odzyskiwać pojedyncze pliki lub maszyny wirtualne. Dopiero gdy brak dostępu może potrwać cały dzień, należy rozważać pełne odtworzenie całego systemu z backupu.
Czasy RPO i RTO są wyznaczane w wyniku kompromisu między potencjalnymi stratami a kosztami rozwiązania umożliwiającego jak najszybsze odtworzenie stanu sprzed awarii i jak najmniejszą utratę danych. To element ryzyka biznesowego, którego oceny powinien dokonywać nie tylko dział IT i świadczący usługi konsultacyjne integrator, ale przede wszystkim zarząd firmy. On bowiem finalnie będzie brał odpowiedzialność za straty – zarówno finansowe, jak i wizerunkowe.
Zarządzanie danymi zgodnie z prawem
25 maja 2018 r. zacznie obowiązywać w całej Unii Europejskiej tzw. rozporządzenie ogólne o ochronie danych z dnia 27 kwietnia 2016 r. (General Data Protection Regulation). Zawiera ono nowe przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. Celem powstania dokumentu było doprowadzenie do pełnego ujednolicenia prawa w ramach UE i swobodnego przepływu danych osobowych. W momencie wejścia w życie rozporządzenie zacznie obowiązywać w krajach członkowskich UE bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego.
Oto wybrane najważniejsze zmiany, które wprowadzi nowe rozporządzenie o ochronie danych
1. Przetwarzanie danych przez grupy przedsiębiorstw
W rozporządzeniu pojawia się pojęcie współadministratorów danych. Wcześniej podmioty te występowały jako odrębni administratorzy danych, z tymi samymi prawami i obowiązkami. Dzięki nowym przepisom możliwy jest podział obowiązków pomiędzy poszczególne podmioty. Rozporządzenie dostrzega też grupy kapitałowe i ułatwia im przetwarzanie danych, w tym międzynarodową wymianę danych osobowych.
2. Zgłaszanie incydentów do GIODO
Nowością jest obowiązek zgłaszania wycieku danych do GIODO. Administrator danych ma obowiązek zrobić to w czasie do 72 godzin od wystąpienia wycieku. Jeśli naruszenie jest poważne, należy o nim poinformować również osoby,
których dane są przetwarzane w ramach tego podmiotu.
3. Dopasowanie wymagań do skali przedsiębiorstwa
Rozporządzenie uzależnia stawiane przedsiębiorstwom wymogi od ich wielkości i rodzaju prowadzonej działalności. Przykładowo małe organizacje nie muszą powoływać inspektora ochrony danych ani prowadzić tzw. rejestru przetwarzania.
4. Duży nacisk na ochronę prywatności – koncepcja „privacy by design”
Podczas projektowania systemu ochrony danych osobowych należy wdrażać takie środki, by od samego początku właściwie chronić przetwarzane dane i prywatność osób, których dane dotyczą. Zgodne z tym wymogiem ustawienia aplikacji lub serwisów społecznościowych domyślnie powinny udostępniać minimalną ilość informacji o użytkowniku. Poszerzenie zakresu udostępnianych danych może nastąpić jedynie na podstawie zmiany ustawień dokonanych przez samego użytkownika.
5. Rejestrowanie czynności przetwarzania
Rozporządzenie wprowadza obowiązek prowadzenia przez przedsiębiorców dokumentacji czynności przetwarzania. Powinni oni również na bieżąco analizować i przewidywać skutki przetwarzania. Jeśli okazałoby się, że może ono nieść za sobą duże zagrożenie dla prywatności osób, których dane dotyczą, przed rozpoczęciem przetwarzania należy skonsultować się z GIODO i poprosić o poradę. Rejestrowanie czynności przetwarzania ma zastąpić obecną rejestrację zbiorów.
6. Znacznie większe kary
Nowe przepisy wprowadzają dużo wyższe niż obecnie kary za nieprzestrzeganie przepisów dotyczących ochrony danych. Sankcje mogą sięgać nawet 20 mln euro lub 4 proc. obrotu przedsiębiorstwa. Każdy przypadek ma być jednak rozpatrywany indywidualnie, w zależności od stopnia winy, naprawienia szkody, tego, czy podobne sytuacje w danym przedsiębiorstwie miały już miejsce w przeszłości itp.
7. Inspektor ochrony danych zamiast administratora bezpieczeństwa informacji (ABI)
Rozporządzenie wprowadza nową nazwę dla administratora bezpieczeństwa informacji, który stanie się inspektorem ochrony danych. Inspektor będzie musiał ściśle współpracować z GIODO. Nowością jest możliwość kontaktowania się z inspektorem przez osoby, których dane są pod jego opieką przetwarzane.
8. Łatwiejsza procedura składania skarg
Obecnie, aby złożyć skargę do GIODO, należały wnieść opłatę skarbową w wysokości 10 zł. Rozporządzenie likwiduje wszelkie opłaty. Co więcej, ze względu na obowiązek ścisłej współpracy między organami odpowiedzialnymi za nadzór nad ochroną danych osobowych we wszystkich krajach Unii Europejskiej – skargę można złożyć w dowolnym kraju.
Podobne artykuły
Komputronik partnerem Dell na poziomie Titanium!
Komputronik Biznes dołącza do elitarnego grona Tytanowych Partnerów Dell Technologies. To prestiżowe wyróżnienie posiada zaledwie kilkanaście firm w Polsce.
Ankieta CRN.pl: szału nie ma
Obecny rok nie napawa optymizmem w kontekście oczekiwanych wyników sprzedażowych w szeroko rozumianej branży IT – wynika z ankiety na naszym redakcyjnym portalu.
Polskie centra danych potrzebują więcej mocy
Na konferencji Data Center Nation w Warszawie ponad 70 prelegentów przedstawiało najważniejsze trendy, innowacje i wyzwania dla branży. Dużo miejsca poświęcono tematom związanym z energią.