Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.12.2018

Większa moc

QNAP Mustang-200
20.12.2018

Nowa era Wi-Fi

NETGEAR Nighthawk AX8
20.12.2018

Szybkie skanowanie

Brother ADS-1700W i ADS-1200
06.12.2018

Niższe moce

UPS Eaton 9SX
03.12.2018

Monitory dla MŚP

AOC E1
29.11.2018

Wykrycie szkodliwego...

Sophos Intercept X Advanced
27.11.2018

Automatyzacja zabezpieczeń

Red Hat Ansible Automation
23.11.2018

Nieograniczona skalowalność

SUSE Enterprise Storage 5.5
20.11.2018

Dwa procesory Threadripper

AMD Ryzen Threadripper 2970WX i 2920X

Wdrożenie rodo dla stron WWW zbudowanych w WordPressie oraz Joomli

Data publikacji: 29-10-2018 Autor: Paweł Frankowski
Dla systemu WordPress...

Obowiązkiem urzędów, placówek medycznych, ubezpieczycieli oraz właścicieli małych sklepów internetowych jest dostosowanie ich stron internetowych do wymogów rozporządzenia o ochronie danych osobowych (rodo). Obecnie, kilka miesięcy od terminu wejścia w życie przepisów, dostosowanie CMS jest dużo prostsze, gdyż otrzymały one aktualizacje oraz opublikowano dodatkowe rozszerzenia.


Obowiązek dostosowania m.in. stron internetowych w zakresie przetwarzania, wykorzystywania i przechowywania danych osobowych wynika z wymogów rozporządzenia o ochronie danych osobowych, które weszło w życie w maju 2018 roku. Nowe przepisy dotyczą wszystkich podmiotów, które na terenie UE przetwarzają dane w sposób zautomatyzowany. Dotyczy to wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Mogą to być placówki medyczne, korporacje oraz niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny.

W ten sposób ujednolica się (lub niejako narzuca) standardy ochrony danych w państwach członkowskich, a co za tym idzie – wymusza na administratorach danych i podmiotach przetwarzających zmiany w obszarach przetwarzania danych. W Europie Zachodniej używa się aktu o nazwie GDPR (ang. General Data Protection Regulation). Nasze krajowe przepisy są jego polskim odpowiednikiem.

 

Nowe regulacje rozszerzają pojęcie danych osobowych (PII – Personal Identifiable Information). Wcześniej dotyczyły one głównie imion i nazwisk, adresów, dat urodzenia, e-maili itp. Według nowego rozporządzenia dane osobowe to również numery ID, informacje dotyczące lokalizacji, wskaźniki dotyczące zdrowia fizycznego i psychicznego, statusu majątkowego oraz społecznego, a nawet dane genetyczne czy biometryczne, które pomogłyby zidentyfikować konkretną osobę.

Warto już w tym miejscu nadmienić, że Trybunał Sprawiedliwości UE wskazał, że dynamiczny adres IP pozwala ustalić państwowym służbom dostawcę dostępu do internetu, a docelowo ustalić tożsamość osoby, która odwiedziła konkretną stronę WWW. Jest zatem możliwa pośrednia identyfikacja osoby, której dane dotyczą. W konsekwencji dynamiczne adresy IP są danymi osobowymi. Oczywiście stały adres IP internauty tym bardziej ułatwia identyfikację osoby.

> OBOWIĄZKI I UPRAWNIENIA

Administratorzy danych są zobligowani do realizowania nowych obowiązków, a właścicielom danych nadano dodatkowe uprawnienia. W efekcie powstała konieczność wprowadzenia wielu modyfikacji w obszarze zarówno organizacyjnym, jak i technicznym, m.in. konieczność dostosowania używanych do tej pory stron, sklepów internetowych, a także aplikacji mobilnych.

Zadanie nie jest proste, ponieważ rozporządzenie nie zawiera żadnych konkretnych wytycznych, jak zabezpieczać dane osobowe. Dla przedsiębiorców oznacza to, że wdrożenie nowych regulacji wymaga stosowania ogólnych zasad oraz pewnej dozy kreatywności. Każdy przedsiębiorca musi indywidualnie dostosować metody zabezpieczania i przetwarzania danych osobowych do charakteru swojego biznesu.

Zapewnienie bezpieczeństwa dotyczy nie tylko bezpieczeństwa hostingu, CMS-a, ale także edukacji redaktorów strony. Już kilkanaście lat temu Kevin Mitnick twierdził, że to ludzie stanowią najsłabsze i najsilniejsze ogniwo każdego systemu bezpieczeństwa.

> ODPOWIEDZIALNOŚĆ I KARY

Aby odpowiednio zdyscyplinować administratorów, przepisy rodo wprowadziły:

 

  • prawo dla osoby fizycznej, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rodo, do odszkodowania za poniesioną szkodę od administratora lub podmiotu przetwarzającego;
  • karę pieniężną (kara grzywny), karę ograniczenia wolności albo pozbawienia wolności do lat dwóch. Dotyczy to przetwarzania danych osobowych w sytuacji, gdy jest to niedopuszczalne oraz gdy dane przetwarza osoba do tego nieuprawniona. Jeśli chodzi o dane wrażliwe, kary są nawet surowsze.


Należy podkreślić, że nie warto ryzykować uruchomienia ewentualnej procedury cywilnej ani tym bardziej karnej i lepiej dopasować stronę internetową już dzisiaj. W szczególności jeśli z jakichś powodów (brak czasu, brak technicznych możliwości) nie zrobiliśmy tego wcześniej w pełnym zakresie.

[...]

Autor książek, poradników oraz artykułów w magazynach branżowych. Z projektami internetowymi związany od 2003 r. Aktywny członek społeczności Joomla! Prelegent w wielu wydarzeniach związanych z CMS

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"