25 maja 2018 r. wejdą w życie nowe przepisy dotyczące ochrony danych osobowych mieszkańców Unii Europejskiej. Rozporządzenie GDPR (General Data Protection Regulation) wymusi zmiany w zasadach rejestrowania, przechowywania, przetwarzania i udostępniania danych wszystkich osób fizycznych. Tym samym wszelkie podmioty, które przetwarzają takie dane - nie tylko wielkie korporacje, ale i małe przedsiębiorstwa (np. firmy obsługujące klientów indywidualnych) - muszą wdrożyć odpowiednie technologie, dzięki którym dostosują się do nowych wymogów.
Trend Micro oraz VMware we współpracy z agencją badawczą ARC Rynek i Opinia opracowały raport przedstawiający stan przygotowania polskich przedsiębiorców do wprowadzenia unijnego rozporządzenia o ochronie danych. Wyniki badania pokazują, że ponad połowa respondentów (52%) jeszcze nie słyszała o GDPR, a aż 67% przedsiębiorców nie wie, ile czasu pozostało do wdrożenia nowych przepisów. Wielu badanych nie jest świadomych tego, że nowe rozporządzenie dotyczy wszystkich firm - niezależnie od wielkości, więc również mikroprzedsiębiorstw oraz firm jednoosobowych.
Rozporządzenie GDPR dotyczy każdego przedsiębiorcy przetwarzającego dane osobowe - na wszystkie firmy nakłada obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Unijne przepisy zaczną obowiązywać za niewiele ponad rok, czasu na zmiany jest więc coraz mniej.
W zakresie ochrony danych osobowych w Polsce od dłuższego czasu nie wprowadzono znaczących dla przedsiębiorców zmian - obowiązuje ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Na straży jej przestrzegania stoi GIODO (Generalny Inspektor Ochrony Danych Osobowych), urząd uprawniony m.in. do kontroli zgodności przetwarzania danych z ustawą czy rozpatrywania skarg dotyczących uchybień w stosowaniu się do przepisów.
Ogólne rozporządzenie o ochronie danych osobowych (GDPR) jest próbą ujednolicenia przepisów chroniących dane ponad 500 mln obywateli UE. Akt prawny, oprócz zmiany wymogów formalnych, niesie ze sobą szereg zmian w obszarze funkcjonowania firm - sposobie rejestrowania, przechowywania, przetwarzania i udostępniania danych zarówno klientów, jak i pracowników. Reforma wprowadzi restrykcyjne wymogi uzyskania zgody na przetwarzanie danych, przyzna obywatelom prawo do bycia zapomnianym (do usunięcia danych), na przedsiębiorstwa nałoży wymóg zgłoszenia wszystkich naruszeń w ciągu maksymalnie 72 godzin od wykrycia incydentu oraz wprowadzi kompleksową definicję danych.
Rozporządzenie GDPR przewiduje kary finansowe za złamanie obowiązujących przepisów - w przypadku np. naruszenia podstawowych zasad przetwarzania, takich jak warunki wyrażania zgody, kary mogą sięgać nawet 4% rocznych obrotów firmy. Za pozostałe naruszenia wyszczególnione w akcie prawnym kary wynoszą maksymalnie 2% łącznych obrotów przedsiębiorstwa.
Wszystkie firmy, które przetwarzają dane osobowe, muszą czym prędzej podjąć odpowiednie kroki w celu zapewnienia zgodności z aktem GDPR. Im wcześniej przedsiębiorcy zaczną dostosowywać się do nowej dyrektywy, tym pewniej unikną wysokich kar finansowych za ewentualne niedopatrzenia. Przedsiębiorcy muszą zapoznać się z obecnym systemem przetwarzania danych w firmie - czyje dane są dostępne w systemie, gdzie i w jaki sposób są przechowywane oraz kto ma do nich dostęp. Na podstawie zdobytej wiedzy powinna zostać opracowana strategia cyberbezpieczeństwa oraz plan powiadamiania o wyciekach danych, tak aby w przypadku incydentu można działać szybko i sprawnie, ograniczając szkody dla firmy.
Badanie przeprowadzono jesienią 2016 r. na grupie odpowiedzialnych za ochronę danych przedstawicieli 200 firm zatrudniających powyżej 100 osób. Struktura próby jest reprezentatywna ze względu na proporcje sektorowe (przemysł/usługi/handel).
Źródło: Trend Micro