Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



19.03.2019

Pożegnanie z systemem Windows...

System operacyjny Windows 7 wciąż cieszy się dużą popularnością wśród użytkowników...
21.02.2019

Wdrażanie projektów AI

Infrastruktura OVH
21.02.2019

Certyfikacja kluczy

HEUTHES-CAK
21.02.2019

Kopie zapasowe

Veeam Availability for AWS
21.02.2019

Dysk SSD Samsung 970 EVO Plus

Dysk SSD Samsung 970 EVO Plus
21.02.2019

Szyfrowane USB

Kingston IronKey D300 Serialized
21.02.2019

Bezpieczeństwo sieci

Check Point Maestro i seria 6000
21.02.2019

Ochrona danych

Commvault IntelliSnap i ScaleProtect
21.02.2019

Ułatwienie telekonferencji

Plantronics Calisto 3200 i 5200

Wdrożenie rodo dla stron WWW zbudowanych w WordPressie oraz Joomli

Data publikacji: 29-10-2018 Autor: Paweł Frankowski
Dla systemu WordPress...

Obowiązkiem urzędów, placówek medycznych, ubezpieczycieli oraz właścicieli małych sklepów internetowych jest dostosowanie ich stron internetowych do wymogów rozporządzenia o ochronie danych osobowych (rodo). Obecnie, kilka miesięcy od terminu wejścia w życie przepisów, dostosowanie CMS jest dużo prostsze, gdyż otrzymały one aktualizacje oraz opublikowano dodatkowe rozszerzenia.


Obowiązek dostosowania m.in. stron internetowych w zakresie przetwarzania, wykorzystywania i przechowywania danych osobowych wynika z wymogów rozporządzenia o ochronie danych osobowych, które weszło w życie w maju 2018 roku. Nowe przepisy dotyczą wszystkich podmiotów, które na terenie UE przetwarzają dane w sposób zautomatyzowany. Dotyczy to wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Mogą to być placówki medyczne, korporacje oraz niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny.

W ten sposób ujednolica się (lub niejako narzuca) standardy ochrony danych w państwach członkowskich, a co za tym idzie – wymusza na administratorach danych i podmiotach przetwarzających zmiany w obszarach przetwarzania danych. W Europie Zachodniej używa się aktu o nazwie GDPR (ang. General Data Protection Regulation). Nasze krajowe przepisy są jego polskim odpowiednikiem.

 

Nowe regulacje rozszerzają pojęcie danych osobowych (PII – Personal Identifiable Information). Wcześniej dotyczyły one głównie imion i nazwisk, adresów, dat urodzenia, e-maili itp. Według nowego rozporządzenia dane osobowe to również numery ID, informacje dotyczące lokalizacji, wskaźniki dotyczące zdrowia fizycznego i psychicznego, statusu majątkowego oraz społecznego, a nawet dane genetyczne czy biometryczne, które pomogłyby zidentyfikować konkretną osobę.

Warto już w tym miejscu nadmienić, że Trybunał Sprawiedliwości UE wskazał, że dynamiczny adres IP pozwala ustalić państwowym służbom dostawcę dostępu do internetu, a docelowo ustalić tożsamość osoby, która odwiedziła konkretną stronę WWW. Jest zatem możliwa pośrednia identyfikacja osoby, której dane dotyczą. W konsekwencji dynamiczne adresy IP są danymi osobowymi. Oczywiście stały adres IP internauty tym bardziej ułatwia identyfikację osoby.

> OBOWIĄZKI I UPRAWNIENIA

Administratorzy danych są zobligowani do realizowania nowych obowiązków, a właścicielom danych nadano dodatkowe uprawnienia. W efekcie powstała konieczność wprowadzenia wielu modyfikacji w obszarze zarówno organizacyjnym, jak i technicznym, m.in. konieczność dostosowania używanych do tej pory stron, sklepów internetowych, a także aplikacji mobilnych.

Zadanie nie jest proste, ponieważ rozporządzenie nie zawiera żadnych konkretnych wytycznych, jak zabezpieczać dane osobowe. Dla przedsiębiorców oznacza to, że wdrożenie nowych regulacji wymaga stosowania ogólnych zasad oraz pewnej dozy kreatywności. Każdy przedsiębiorca musi indywidualnie dostosować metody zabezpieczania i przetwarzania danych osobowych do charakteru swojego biznesu.

Zapewnienie bezpieczeństwa dotyczy nie tylko bezpieczeństwa hostingu, CMS-a, ale także edukacji redaktorów strony. Już kilkanaście lat temu Kevin Mitnick twierdził, że to ludzie stanowią najsłabsze i najsilniejsze ogniwo każdego systemu bezpieczeństwa.

> ODPOWIEDZIALNOŚĆ I KARY

Aby odpowiednio zdyscyplinować administratorów, przepisy rodo wprowadziły:

 

  • prawo dla osoby fizycznej, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rodo, do odszkodowania za poniesioną szkodę od administratora lub podmiotu przetwarzającego;
  • karę pieniężną (kara grzywny), karę ograniczenia wolności albo pozbawienia wolności do lat dwóch. Dotyczy to przetwarzania danych osobowych w sytuacji, gdy jest to niedopuszczalne oraz gdy dane przetwarza osoba do tego nieuprawniona. Jeśli chodzi o dane wrażliwe, kary są nawet surowsze.


Należy podkreślić, że nie warto ryzykować uruchomienia ewentualnej procedury cywilnej ani tym bardziej karnej i lepiej dopasować stronę internetową już dzisiaj. W szczególności jeśli z jakichś powodów (brak czasu, brak technicznych możliwości) nie zrobiliśmy tego wcześniej w pełnym zakresie.

[...]

Autor książek, poradników oraz artykułów w magazynach branżowych. Z projektami internetowymi związany od 2003 r. Aktywny członek społeczności Joomla! Prelegent w wielu wydarzeniach związanych z CMS

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"