Według Intel Security 95 proc. firm na co dzień doświadcza skutków ataków cyberprzestępców, ale 35 proc. jest w stanie zgłosić naruszenie danych w ciągu 72 godz., czyli w czasie wymaganym przez GDPR, która wejdzie w życie 25 maja 2018 r. Za niedostosowanie się do niej grożą kary w wysokości do 4 proc. globalnego rocznego obrotu firmy. Średnio liczba dni upływająca od wykrycia naruszenia do jego zgłoszenia wynosiła 8, a jednej piątej pytanych zajmowało to 2 tygodnie. Czyli przedsiębiorcy muszą jeszcze inwestować w odpowiednie rozwiązania, aby przygotować się do wdrożenia nowych regulacji.

GDPR (unijne ogólne rozporządzenie o ochronie danych) reguluje metody gromadzenia, przechowywania, udostępniania, przetwarzania i wykorzystania danych osobowych. Rozporządzeniu będzie podlegać każdy podmiot posiadający lub wykorzystujący dane osobowe w UE, bądź korzystający z europejskich towarów, usług lub profilów w Internecie. Będą musiały wdrożyć lub uszczelnić systemy zabezpieczające bazy danych i zapobiegające wyciekowi informacji.

Nowe zasady poszerzają zakres obowiązków administratorów danych (czyli osób określających cel i środki przetwarzania danych osobowych) oraz podmiotów przetwarzających dane w imieniu administratorów danych. Mają zapewnić ochronę informacji osobowych niezależnie od tego, dokąd są one przesyłane oraz gdzie są przetwarzane i przechowywane (w tym również poza granicami UE). 

 Zmiany przepisów obejmują następujące obszary:

• Spójność i poufność: dane osobowe muszą być przetwarzane w sposób zapewniający odpowiedni poziom bezpieczeństwa danych. Administratorzy będą mieli obowiązek wdrożyć odpowiednie techniczne i organizacyjne środki w celu zagwarantowania poziomu bezpieczeństwa adekwatnego do ryzyka.

• Odpowiedzialność: podmioty muszą być w stanie w sposób proaktywny wykazać zgodność z zasadami ochrony danych określonymi w rozporządzeniu.

• Zgłaszanie naruszenia danych: obowiązkowe powiadomienia muszą być przekazane w ciągu 72 godz. przez organizację, która wykryła przypadek naruszenia danych osobowych.

• Wbudowana i domyślna ochrona danych: zabezpieczenia danych osobowych zostaną wbudowane w produkty i usługi już na wczesnym etapie ich opracowywania; najprawdopodobniej domyślne ustawienia wspomagające ochronę prywatności staną się normą.

• Zwiększona widoczność danych osobowych: podmioty mają obowiązek dokumentować przetwarzanie danych osobowych znajdujących się pod ich kontrolą.

• Prawo do przenoszenia danych: w określonych okolicznościach osoby fizyczne będą miały prawo otrzymać swoje dane osobowe w formacie ustrukturyzowanym, powszechnie używanym i możliwym do odczytu na urządzeniach w celu ich przekazania do innego administratora (np. innego usługodawcy).

• Usuwanie (prawo do zapomnienia): w określonych okolicznościach osoby fizyczne mają prawo poprosić administratora o usunięcie swoich danych osobowych, a administrator musi wówczas zawiadomić o tej prośbie odbiorcę takich informacji.

Jak zauważa SAS Institute, jednym z ważniejszych elementów nowego rozporządzenia jest zaktualizowana definicja danych osobowych. Według niej dane osobowe to wszystkie informacje dotyczące osoby fizycznej, które umożliwiają jej identyfikację. W rozumieniu GDPR, adres IP oraz identyfikatory zamieszczone w tzw. ciasteczkach (cookies) są więc danymi osobowymi podobnie jak PESEL czy NIP.  

Chcąc upewnić się, że polityka firmy jest zgodna z GDPR, organizacje muszą w pierwszej kolejności uporządkować informacje, którymi dysponują oraz zlokalizować wśród nich dane osobowe. Potrzebne są do tego odpowiednie narzędzia. Wejście w życie GDPR wpłynie na wzrost zainteresowania rozwiązaniami do zarządzania danymi.