RODO – unijne Rozporządzenie o Ochronie Danych Osobowych (ang. GDPR) wejdzie w życie w maju 2018 r. Zwiększa wymagania wobec organizacji w zakresie ochrony danych osobowych, a także serwuje wyższe kary za zaniedbania.

Aby spełnić wymagania RODO, każda instytucja będzie musiała wdrożyć odpowiednie procedury bezpieczeństwa oraz system raportowania o naruszeniach. Każdy potencjalny wyciek danych osobowych trzeba będzie zgłaszać w ciągu 72 godzin. Kary za złamanie przepisów RODO mogą sięgnąć 20 mln euro lub 4 proc. globalnego obrotu przedsiębiorcy.

Jak wynika z raportu Fundacji Wiedza To Bezpieczeństwo, w ponad połowie firm (51 proc.) wprowadzono zmiany w procedurach przetwarzania danych osobowych w związku z RODO. Na razie są to jednak pierwsze przygotowania, a większość organizacji waha się jeszcze, czy skorzystać z usług ekspertów. Prawie jedna trzecia decydentów odpowiedziała, że nie do końca czuje potrzebę rozwijania swojej wiedzy na temat RODO.

Według badania 26 proc. osób aktywnych zawodowo stwierdziło, że w ich firmach doszło do naruszenia bezpieczeństwa danych, z czego 7 proc. przyznało, że zdarzyło się to kilkukrotnie. Natomiast 42 proc. zapewnia, że w ich organizacjach incydenty związane z ochroną danych osobowych nigdy się nie zdarzyły.

Przepisy RODO zakładają, że funkcję Administratora Bezpieczeństwa Informacji (ABI) przejmie Inspektor Ochrony Danych. Ponad połowa ABI twierdzi, że ma wystarczającą wiedzę, aby zostać IOD. Reszta stara się zwiększyć swoje kompetencje w zakresie ochrony danych osobowych, z czego 54 proc. odpowiedziało, że zna szczegółowo zakres zmian w RODO, a 46 proc. że ma ogólną wiedzę.

– Większość administratorów czuje potrzebę szkolenia, ale warto zwrócić uwagę na to, że ok. 3/4 administratorów bezpieczeństwa informacji pełni w swojej organizacji inne funkcje. Jeśli chodzi o RODO, to ich funkcja zmieni się na inspektora ochrony danych, a co za tym idzie – muszą mieć większą wiedzę z zakresu danych osobowych oraz doświadczenie w przeprowadzaniu audytów – tłumaczy Paweł Mielniczek, przedstawiciel fundacji.

RODO nakłada na administratorów danych nowy obowiązek, czyli ocenę skutków dla ochrony danych, tzw. PIA (Praivacy Impact Assessment) lub DPIA (Data Protection Impact Assessment). Celem analizy ma być przede wszystkim zapewnienie zgodności procesów przetwarzania z RODO, identyfikacja zagrożeń i ograniczenie naruszeń prywatności.

Jak podkreśla ekspert, naruszenie danych osobowych uderza nie tylko w poszkodowaną osobę, lecz także w firmę, dla której oznacza to straty wizerunkowe i finansowe.

Źródło: Newseria