W maju bieżącego roku w Dzienniku Urzędowym Unii Europejskiej opublikowano Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczące ochrony osób fizycznych w związku z przetwarzaniem i swobodnym przepływem danych osobowych. Ogólne rozporządzenie o ochronie danych (General Data Protection Regulation, GDPR) daje nowe gwarancje ochrony prywatności i zacznie obowiązywać od 25 maja 2018 r. Do tego czasu organizacje powinny opracować strategię cyberbezpieczeństwa – tak, aby zachować zgodność z nowymi przepisami i uniknąć wysokich kar.
Rok 2018 będzie oznaczał początek rozpowszechnionej na szeroką skalę unifikacji standardów odnoszących się do zabezpieczenia prywatności danych w 28 państwach członkowskich UE. GDPR stanowi swoistą reformę ochrony danych osobowych – zwiększa znaczenie organów nadzoru oraz rozszerza katalog ich zadań. Niewątpliwie pociąga za sobą konieczność dostosowania (a tym samym zmiany) wielu obecnie obowiązujących aktów prawnych w Polsce, w tym ustawy o ochronie danych osobowych. Firmy będą zatem musiały przejść przez żmudny proces weryfikacji wewnętrznych procesów dotyczących bezpieczeństwa przetwarzanych danych oraz uzgodnienia ich z nowo obowiązującym prawem.
Jakie zmiany wprowadza GDPR?
Dyrektywa ujednolica mozaikę 28 różnych zasad dotyczących prywatności i tworzy jedną regulację oraz wprowadza pełniejszą definicję danych, która będzie miała zastosowanie we wszystkich państwach członkowskich. Będzie ona miała bezpośrednie przełożenie na działalność przedsiębiorstw w obrębie UE – szczególnie tych, których kluczowym polem działania jest sprzedaż i przetwarzanie informacji.
Przede wszystkim reforma wprowadzi bardziej restrykcyjne wytyczne dotyczące uzyskania zgody na gromadzenie informacji personalnych, indywidualne profilowanie oraz wprowadzi kompleksową definicję danych. Ponadto w ramach obowiązywania nowych przepisów organizacje będą zmuszone do bieżącego informowania o naruszeniach prywatności w ciągu maksymalnie 72 godzin od wykrycia incydentu.
Oto główne założenia nowej dyrektywy:
-
Kary. Mogą one wynieść nawet do 4% rocznego światowego obrotu lub do 20 mln euro (w zależności, która kara okaże się wyższa) dla naruszających nowe przepisy.
-
Informowanie o naruszeniach. Organizacje, które staną się ofiarami naruszeń prywatności danych, będą zmuszone do ogłoszenia incydentu w ciągu maksymalnie 72 godzin.
-
Ocena wpływu na prywatność. Każda nowo wprowadzona usługa będzie poddana ocenie pod względem potencjalnego wpływu na dane osobowe i zachowanie ochrony prywatności.
-
Uwzględnienie ochrony prywatności na etapie projektowania. Wymaga, aby wszystkie procesy biznesowe uwzględniały kwestię ochrony danych osobowych.
-
Zgoda klienta. Każda firma musi uzyskać zgodę klienta (za pomocą systemu opt-in, czyli świadomej decyzji o udostępnieniu informacji o sobie) dotyczącą gromadzenia i przetwarzania ich danych.
-
Prawo do usunięcia. Organizacje muszą usunąć wszystkie dane osobowe i związane z nimi odnośniki, jeśli dane nie są adekwatne lub uległy zmianie.
Przygotowania rozpocznij już teraz!
Wszystkie organizacje przetwarzające dane osobowe podlegać będą GDPR: zarówno małe lokalne sklepy online, jak i międzynarodowi giganci rynku internetowego (np. Google, Facebook). Wobec nadchodzących zmian rodzi się konieczność zarządzania danymi w sposób szczegółowy i zindywidualizowany. Od organizacji będzie wymagana wiedza o tym, gdzie dane są przechowywane, dokąd migrują, komu są udostępniane, jakie zgody zostały udzielone oraz kiedy dane powinny zostać trwale usunięte.
Mimo że organizacje mają dwa lata na to, aby wszystkie procesy zweryfikować i dostosować do nowej dyrektywy, zalecamy rozpoczęcie przygotowań już teraz. Im wcześniej przedsiębiorstwa rozpoczną wdrażanie nowych przepisów, tym większa pewność, że zapewnią bezpieczeństwo danych swoich kontrahentów, a tym samym zachowają wizerunek profesjonalnej firmy oraz unikną wysokich kar finansowych za niedopatrzenia w tej kwestii.
Poniżej przedstawiamy trzy najważniejsze kroki, jakie trzeba poczynić w trakcie wdrażania przepisów GDPR.
1. Analiza posiadanych danych
W ramach obowiązywania GDPR kluczowe będzie pokazanie, że dane są chronione we właściwy sposób, biorąc pod uwagę ich wrażliwość i klasyfikację. Należy zapoznać się z obecnym stanem przechowywanych danych, zaklasyfikować je do odpowiednich kategorii oraz ustalić, czyje dane są w posiadaniu firmy, kiedy zostały wprowadzone do systemu, gdzie są przechowywane oraz kto ma do nich dostęp, biorąc pod uwagę wszystkie wykorzystywane przez firmę systemy.
Niemniej istotne jest usunięcie tych danych, które nie będą potrzebne przy kolejnych projektach. Dziś firmy przechowują nadmiar nieprzydatnych informacji, głównie z powodu dostępności coraz większych i tańszych przestrzeni dyskowych. Kasowanie zalegających i zbędnych danych staje się czynnością często pomijaną, a to zwiększa ryzyko zagubienia danych i może utrudnić działanie w przypadku żądania usunięcia ich przez klienta. GDPR zmusi firmy do tego, aby wywiązywały się z deklarowanych celów i terminów usunięcia określonych danych osobowych.
2. Inspektor ochrony danych (IOD)
W każdej organizacji powinno istnieć niezależne i samodzielne stanowisko eksperckie, któremu będzie powierzone kontrolowanie wszystkich procesów dotyczących przetwarzania danych osobowych. IOD będzie odpowiadał za analizę oświadczeń o ochronie prywatności, formularzy zgody na wykorzystanie informacji czy opiniowanie umów zewnętrznych i wszelkich kwestii dotyczących transferu danych.
Osoba na tym stanowisku pozwoli obrać właściwy kierunek w kwestii wprowadzania zmian i doprowadzenia do zgodności z nową regulacją. Podstawową rolą IOD powinno być zapewnienie, że administratorzy przestrzegają swoich zobowiązań w zakresie ochrony danych, a osoby, których dane są przetwarzane, są informowane o swoich prawach i obowiązkach.
3. Strategia cyberbezpieczeństwa
Wprowadzony w firmie system bezpieczeństwa powinien obejmować audyt oraz zawierać narzędzia, które pomogą upewnić się, że ochrona danych jest utrzymana na jak najwyższym poziomie. Ważna będzie zatem ocena gotowości firmy do działania według zapisów z GDPR, która być może wskaże miejsca w strategii firmy wymagające dopracowania. Wyższa kadra menadżerska powinna zdobyć wiedzę na temat rodzajów ochrony danych wymaganych przez nowe prawo (np. szyfrowanie, redakcję i maskowanie) oraz tego, kiedy powinny być one wykorzystywane.
GDPR wymaga stałego monitorowania i alarmowania o incydentach naruszenia prywatności w czasie rzeczywistym, jak również reagowania na incydenty i powiadamiania o naruszeniu. Mówimy tu o każdym incydencie tego typu – od ataku ransomware po poważny wyciek bazy z informacjami osobowymi poza organizację. Do tego potrzebne jest korzystanie z zaawansowanego systemu zabezpieczającego dane, który zapewni skuteczną ochronę przed wyciekiem informacji. Warto również cały czas obserwować sytuację na rynku, czerpać z doświadczenia dostawcy usług cyberbezpieczeństwa, co pozwoli uczyć się na błędach innych, nie naszych.
Podjęcie tych trzech podstawowych kroków zapewni polskim firmom gwarancję utrzymania zgodności z najnowszymi przepisami. Jest to korzyść obustronna: kontrahenci będą mogli czuć się bezpiecznie i mieć zaufanie do firmy – ta zaś umocni swoją pozycję na rynku jako profesjonalna organizacja, a ponadto uniknie wysokich kar, które będą nakładane za niestosowanie się do przepisów.
–
Michał Jarski
Dyrektor Regionalny ds. Sprzedaży w Trend Micro
W branży IT pracuje od 15 lat i zajmował już szereg stanowisk kierowniczych, odpowiadając za politykę technologiczną i sprzedażową w organizacjach sektora IT. Jarski był dyrektorem regionalnym Ruckus Wireless, Check Point Software Technologies oraz Internet Security Systems (firma przejęta przez IBM w 2006 r.). Do jego kompetencji należało m.in. zarządzanie relacjami z kluczowymi klientami i partnerami strategicznymi oraz wprowadzanie firm high-tech na rynek polski i wschodnioeuropejski. W Trend Micro odpowiada za rozwój działalności firmy w Europie Środkowo-Wschodniej.
