Firmy nie są gotowe na GDPR
Niewiele ponad jedna trzecia firm jest w stanie zgłosić naruszenie danych zgodnie z nowymi przepisami. Za ich nieprzestrzeganie grożą wysokie kary.
Według Intel Security 95 proc. firm na co dzień doświadcza skutków ataków cyberprzestępców, ale 35 proc. jest w stanie zgłosić naruszenie danych w ciągu 72 godz., czyli w czasie wymaganym przez GDPR, która wejdzie w życie 25 maja 2018 r. Za niedostosowanie się do niej grożą kary w wysokości do 4 proc. globalnego rocznego obrotu firmy. Średnio liczba dni upływająca od wykrycia naruszenia do jego zgłoszenia wynosiła 8, a jednej piątej pytanych zajmowało to 2 tygodnie. Czyli przedsiębiorcy muszą jeszcze inwestować w odpowiednie rozwiązania, aby przygotować się do wdrożenia nowych regulacji.
GDPR (unijne ogólne rozporządzenie o ochronie danych) reguluje metody gromadzenia, przechowywania, udostępniania, przetwarzania i wykorzystania danych osobowych. Rozporządzeniu będzie podlegać każdy podmiot posiadający lub wykorzystujący dane osobowe w UE, bądź korzystający z europejskich towarów, usług lub profilów w Internecie. Będą musiały wdrożyć lub uszczelnić systemy zabezpieczające bazy danych i zapobiegające wyciekowi informacji.
Nowe zasady poszerzają zakres obowiązków administratorów danych (czyli osób określających cel i środki przetwarzania danych osobowych) oraz podmiotów przetwarzających dane w imieniu administratorów danych. Mają zapewnić ochronę informacji osobowych niezależnie od tego, dokąd są one przesyłane oraz gdzie są przetwarzane i przechowywane (w tym również poza granicami UE).
Zmiany przepisów obejmują następujące obszary:
• Spójność i poufność: dane osobowe muszą być przetwarzane w sposób zapewniający odpowiedni poziom bezpieczeństwa danych. Administratorzy będą mieli obowiązek wdrożyć odpowiednie techniczne i organizacyjne środki w celu zagwarantowania poziomu bezpieczeństwa adekwatnego do ryzyka.
• Odpowiedzialność: podmioty muszą być w stanie w sposób proaktywny wykazać zgodność z zasadami ochrony danych określonymi w rozporządzeniu.
• Zgłaszanie naruszenia danych: obowiązkowe powiadomienia muszą być przekazane w ciągu 72 godz. przez organizację, która wykryła przypadek naruszenia danych osobowych.
• Wbudowana i domyślna ochrona danych: zabezpieczenia danych osobowych zostaną wbudowane w produkty i usługi już na wczesnym etapie ich opracowywania; najprawdopodobniej domyślne ustawienia wspomagające ochronę prywatności staną się normą.
• Zwiększona widoczność danych osobowych: podmioty mają obowiązek dokumentować przetwarzanie danych osobowych znajdujących się pod ich kontrolą.
• Prawo do przenoszenia danych: w określonych okolicznościach osoby fizyczne będą miały prawo otrzymać swoje dane osobowe w formacie ustrukturyzowanym, powszechnie używanym i możliwym do odczytu na urządzeniach w celu ich przekazania do innego administratora (np. innego usługodawcy).
• Usuwanie (prawo do zapomnienia): w określonych okolicznościach osoby fizyczne mają prawo poprosić administratora o usunięcie swoich danych osobowych, a administrator musi wówczas zawiadomić o tej prośbie odbiorcę takich informacji.
Jak zauważa SAS Institute, jednym z ważniejszych elementów nowego rozporządzenia jest zaktualizowana definicja danych osobowych. Według niej dane osobowe to wszystkie informacje dotyczące osoby fizycznej, które umożliwiają jej identyfikację. W rozumieniu GDPR, adres IP oraz identyfikatory zamieszczone w tzw. ciasteczkach (cookies) są więc danymi osobowymi podobnie jak PESEL czy NIP.
Chcąc upewnić się, że polityka firmy jest zgodna z GDPR, organizacje muszą w pierwszej kolejności uporządkować informacje, którymi dysponują oraz zlokalizować wśród nich dane osobowe. Potrzebne są do tego odpowiednie narzędzia. Wejście w życie GDPR wpłynie na wzrost zainteresowania rozwiązaniami do zarządzania danymi.
Podobne aktualności
Google ofiarą RODO
Francuski regulator CNIL (Commission Nationale de l'Informatique et des Libertés) nałożył na Google karę w wysokości 57 milionów USD. To efekt nieprzestrzegania przez amerykański koncern unijnego rozporządzenia o ochronie danych osobowych.