Unijne rozporządzenie o ochronie danych osobowych wchodzi za rok – Firmy nieprzygotowane na zmiany, grożą dotkliwe kary.

Sprzedaż biletu lotniczego dla obywatela z Europy, rezerwacja hotelu na jego nazwisko czy zakupy w internecie – wszystkie te procesy objęte będą nowym unijnym rozporządzeniem o ochronie danych osobowych (GDPR), które dotyczyć będzie niemal wszystkich transakcji biznesowych. Również tych przeprowadzanych przez firmy z innych kontynentów, a w tym amerykańskich. Przedsiębiorcy muszą odpowiednio przygotować się na wejście GDPR. Tymczasem jeszcze kilka miesięcy temu 52%[1] polskich firm w ogóle nie słyszało o regulacji, która wchodzi w życie za rok.

 

Dotkliwe kary za niedociągnięcia

Na przedsiębiorcach spoczywa olbrzymia odpowiedzialność — posiadają dostęp do danych, które w erze technologii z każdą chwilą zyskują na wartości, zachęcając cyberprzestępców do ataków. Wszelkie niedociągnięcia w zakresie ich ochrony mogą nieść ze sobą poważne konsekwencje. Dlatego GDPR nie pozostawia na nie miejsca.

Nowe przepisy będą m.in. umożliwiać kontrolowanie rejestrowania, przechowywania, przetwarzania i udostępniania danych osobowych klientów i pracowników firm. GDPR gwarantuje obywatelom prawo do usunięcia swoich danych z bazy, a także otrzymywania informacji o każdorazowym wycieku lub naruszeniu danych (firma zrządzająca danymi będzie mieć na to maksymalnie 72 godziny). Przedsiębiorcy będą musieli odnawiać otrzymaną zgodę na przetwarzanie danych osobowych — obecnie jest ona wydawana przez właściciela danych tylko raz, dożywotnio. Konieczne będzie także uzyskanie dodatkowej zgody właściciela danych na ich transfer.

Jeśli firma popełni błąd, nie dopełniając stosownych procedur, będzie musiała liczyć się z dotkliwymi skutkami, takimi jak utrata reputacji czy wysokie kary finansowe. Nowe rozporządzenie przewiduje bowiem, że za naruszenie GDPR na przedsiębiorstwo będzie można nałożyć grzywnę w wysokości 4% całkowitego globalnego obrotu firmy w skali rocznej lub 20 mln euro, w zależności od tego, która wartość będzie wyższa. Pod uwagę nie będą brane żadne okoliczności łagodzące.

 

Polscy przedsiębiorcy nieprzygotowani

Jeszcze zaledwie kilka miesięcy temu ponad połowa polskich firm nie słyszała nawet o GDPR. Tymczasem przygotowanie organizacji na wejście w maju 2018 roku nowych przepisów może zająć nawet rok.

„Każdy rodzaj działalności wiąże się z przetwarzaniem danych. Dlatego prezesi firm i osoby odpowiadające za zarządzanie danymi we wszystkich polskich przedsiębiorstwach powinni dążyć do tego, by ich działania były zgodne z przepisami GDPR tak szybko, jak to możliwe. Nie ma czasu na zwłokę” — mówi Edward Gołda, Administrator Bezpieczeństwa Informacji w Capgemini Polska Sp. z o. o.

Głównego problemu z przygotowaniem na wejście GDPR w przypadku wielu przedsiębiorstw  należy upatrywać w procedurach, praktykach operacyjnych i infrastrukturze IT. Edward Gołda przestrzega: „Stworzenie jasnej polityki prywatności czy powołanie inspektora ochrony danych wiąże się z koniecznością przeprowadzenia starannego i długotrwałego procesu przygotowawczego, uwzględniającego również infrastrukturę IT firmy. Zasoby danych muszą zostać odpowiednio zabezpieczone. Konieczne jest wprowadzenie zmian. Procedurę tę może ułatwić zastosowanie zestawu narzędzi dopasowanego indywidualnych potrzeb przedsiębiorstwa”.

Edward Gołda z Capgemini precyzuje, że proces przygotowania firmy na wejście w życie GDPR składa się z czterech etapów. „Pierwszym krokiem jest przeprowadzenie audytu, który obejmuje analizę i zalecenia dotyczące planowania, zarządzania, kultury firmy, danych i technologii, i którego wynikiem jest lista wniosków i rekomendacji. Na podstawie wyniku audytu tworzony jest plan strategiczny oraz analiza skutków wprowadzenia zmian pod kątem GDPR w firmie. Na tym etapie ocenie podlega infrastruktura IT przedsiębiorstwa. To kluczowa faza przygotowań również dlatego, że na jej podstawie stworzony zostanie plan rozwoju dla inspektora ochrony danych.
Ostatnim stadium przygotowań jest opracowanie i zaimplementowanie w firmie trzech rozwiązań technologicznych, umożliwiających zabezpieczenie, zarządzanie i ochronę  baz danych”.

 

Po co te zmiany?

Bezpieczeństwo danych osobowych naruszane jest coraz częściej. Tylko w Stanach Zjednoczonych w 2016 roku wykryto ponad 16 mln[2] przypadków naruszenia prywatności z danych pochodzących z dokumentów medycznych. W wyniku cyberataku na E-Sports Entertainment Association (ESEA), ligę popularnej gry internetowej, wyciekło ponad 1,5 mln danych użytkowników. Spełnienie warunków narzucanych regulacją, która wejdzie w życie 25 maja 2018 roku, pozwoli na ich ochronę, o ile firmy zdążą wdrożyć wszystkie niezbędne rozwiązania.

 

[1] http://businessinsider.com.pl/finanse/firmy/gdpr-unijne-rozporzadzenie-o-ochronie-danych/qfs4jwj

[2] https://www.itgovernanceusa.com/blog/more-than-16-million-medical-records-breached-in-2016/?utm_source=Email&utm_medium=Macro&utm_campaign=S01&utm_content=2017-01-12&kmi=christer.jansson%2540isaca.se