Nowe prawo będzie mieć zastosowanie w przedsiębiorstwach oraz instytucjach przetwarzających lub gromadzących dane osobowe osób przebywających w krajach UE. Zmianie ulegną zasady rejestrowania, przechowywania, przetwarzania i udostępniania danych wszystkich osób fizycznych.

Badanie poświęcone znajomości unijnego rozporządzenia o ochronie danych przeprowadziły ostatnio Trend Micro oraz VMware we współpracy z agencją badawczą ARC Rynek i Opinia. Ankieterzy przeprowadzili je jesienią 2016 r. na grupie odpowiedzialnych za ochronę danych przedstawicieli 200 firm zatrudniających powyżej 100 osób.

Zobacz również:

• Komisja Europejska bierze pod lupę trzech amerykańskich gigantów rynku IT
• Rosja użyła technologii rozpoznawania twarzy. Chce wiedzieć, kto był na pogrzebie Nawalnego

Wyniki są niepokojące: ponad połowa (52%) firm nigdy nie słyszała o GDPR, natomiast aż dwie trzecie (67%) z nich nie zdaje sobie sprawy z tego, ile czasu pozostało na wdrożenie rozporządzenia. Rozporządzenie GDPR przyznaje również osobom fizycznym prawo do bycia zapomnianym, czyli zażądania niezwłocznego usunięcia danych osobowych. Wobec tego organizacje muszą na życzenie usunąć wszystkie dane osobowe i związane z nimi odnośniki. Alarmujący jest fakt, że – jak wynika z badania – aż połowa ankietowanych firm (50%) nie dysponuje procedurami i technologiami zapewniającymi konsumentowi prawo do bycia zapomnianym

To nie koniec niepokojących informacji. Niestety aż 42% organizacji nie ma wdrożonych żadnych procedur informowania organu ochrony danych o zaistniałych naruszeniach. A takie są niezbędne do tego, aby realizować założenia nowego prawa, które obliguje firmy do zgłoszenia incydentu w ciągu maksymalnie 72 godzin od jego wystąpienia. W razie zaniechania takiego działania, przedsiębiorstwa te mogą być ukarane grzywną w wysokości nawet 4% rocznych obrotów. Prawie trzy czwarte firm (72%) uważa, że taka kara jest bardzo dotkliwa.

Nowe przepisy stworzą organom regulacyjnym realne możliwości przeciwdziałania nadużyciom. Nie będzie już miejsca na nieprzestrzeganie zasad, a firmy, które zlekceważą zapisy rozporządzenia, będą surowo karane. Aby uniknąć takich sytuacji, w ciągu nadchodzących kilkunastu miesięcy przedsiębiorstwa powinny opracować i wdrożyć odpowiednią strategię cyberbezpieczeństwa.

„Dokument GDPR jest sformułowany w sposób odmienny od obecnie obowiązujących przepisów. Dotychczasowe podejście polegało na stosowaniu określonych procedur w przetwarzaniu informacji osobowych w celu uświadomienia obywatelom samego faktu ich zbierania”, mówi Michał Jarski, Regional Director CEE w firmie Trend Micro. A Paweł Korzec (Regional Presales Manager, Eastern Europe w firmie VMware) dodaje, „Zachowanie zgodności z nowym prawem nie podlega dyskusji i to w interesie organizacji leży dołożenie wszelkich starań, aby ostrożnie i z rozmysłem zaplanować wszystkie kroki mające zapewnić pełne przestrzeganie zasad zawartych w rozporządzeniu. Szkolenia są tu nieodzowne”