Wielkie zmiany dla małych firm – czym jest rozporządzenie GDPR i jak się do niego przygotować?

25 maja 2018 r. wejdą w życie nowe przepisy dotyczące ochrony danych osobowych mieszkańców Unii Europejskiej. Rozporządzenie GDPR (od angielskiej nazwy General Data Protection Regulation) wymusi zmiany w zasadach rejestrowania, przechowywania, przetwarzania i udostępniania danych wszystkich osób fizycznych. Tym samym wszelkie podmioty, które przetwarzają takie dane – nie tylko wielkie korporacje, ale i małe przedsiębiorstwa (np. sklepy internetowe i inne firmy obsługujące klientów indywidualnych) – muszą wdrożyć odpowiednie technologie, dzięki którym dostosują się do nowych wymogów. W przeciwnym razie mogą zostać na nie nałożone wielkie kary finansowe.

Trend Micro oraz VMware we współpracy z agencją badawczą ARC Rynek i Opinia opracowały raport przedstawiający stan przygotowania polskich przedsiębiorców do wprowadzenia unijnego rozporządzenia o ochronie danych. Wyniki badania pokazują, że ponad połowa respondentów (52%) jeszcze nie słyszała o GDPR, a aż 67% przedsiębiorców nie wie, ile czasu pozostało do wdrożenia nowych przepisów. Wielu badanych nie jest świadomych tego, że nowe rozporządzenie dotyczy wszystkich firm – niezależnie od wielkości, więc również mikroprzedsiębiorstw oraz firm jednoosobowych. Rozporządzenie GDPR dotyczy każdego przedsiębiorcy przetwarzającego dane osobowe – na wszystkie firmy nakłada obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Unijne przepisy zaczną obowiązywać za niewiele ponad rok, czasu na zmiany jest więc coraz mniej.

W zakresie ochrony danych osobowych w Polsce od dłuższego czasu nie wprowadzono znaczących dla przedsiębiorców zmian – obowiązuje ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Na straży jej przestrzegania stoi GIODO (Generalny Inspektor Ochrony Danych Osobowych), urząd uprawniony m.in. do kontroli zgodności przetwarzania danych z ustawą czy rozpatrywania skarg dotyczących uchybień w stosowaniu się do przepisów. Ogólne rozporządzenie o ochronie danych osobowych (GDPR) jest próbą ujednolicenia przepisów chroniących dane ponad 500 mln obywateli UE. Akt prawny, oprócz zmiany wymogów formalnych, niesie ze sobą szereg zmian w obszarze funkcjonowania firm – sposobie rejestrowania, przechowywania, przetwarzania i udostępniania danych zarówno klientów, jak i pracowników. Reforma wprowadzi restrykcyjne wymogi uzyskania zgody na przetwarzanie danych, przyzna obywatelom prawo do bycia zapomnianym (do usunięcia danych), na przedsiębiorstwa nałoży wymóg zgłoszenia wszystkich naruszeń w ciągu maksymalnie 72 godzin od wykrycia incydentu oraz wprowadzi kompleksową definicję danych.

Rozporządzenie GDPR przewiduje kary finansowe za złamanie obowiązujących przepisów – w przypadku np. naruszenia podstawowych zasad przetwarzania, takich jak warunki wyrażania zgody, kary mogą sięgać nawet 4% rocznych obrotów firmy. Za pozostałe naruszenia wyszczególnione w akcie prawnym kary wynoszą maksymalnie 2% łącznych obrotów przedsiębiorstwa. Wszystkie firmy, które przetwarzają dane osobowe, muszą czym prędzej podjąć odpowiednie kroki w celu zapewnienia zgodności z aktem GDPR. Im wcześniej przedsiębiorcy zaczną dostosowywać się do nowej dyrektywy, tym pewniej unikną wysokich kar finansowych za ewentualne niedopatrzenia. Przedsiębiorcy muszą zapoznać się z obecnym systemem przetwarzania danych w firmie – czyje dane są dostępne w systemie, gdzie i w jaki sposób są przechowywane oraz kto ma do nich dostęp. Na podstawie zdobytej wiedzy powinna zostać opracowana strategia cyberbezpieczeństwa oraz plan powiadamiania o wyciekach danych, tak aby w przypadku incydentu można działać szybko i sprawnie, ograniczając szkody dla firmy.

Pełny raport z badania przeprowadzonego na zlecenie firm Trend Micro oraz VMware można pobrać pod adresem: http://www.trendmicro.pl/enterprise/data-protection/eu-regulation/