25 maja 2018 roku wejdą w życie nowe przepisy regulujące ochronę danych, w istotny sposób zwiększające zakres ochrony tego typu zasobów. Ogólne rozporządzenie o ochronie danych osobowych, czyli GDPR lub - po polsku - RODO (ang. General Data Protection Regulation, po polsku - rozporządzenie o ochronie danych osobowych) dotyczyć będzie wszystkich przedsiębiorstw oraz instytucji przetwarzających lub gromadzących dane osobowe osób przebywających w krajach UE. Zmiany ujednolicą podejście do zagadnienia bezpieczeństwa danych osobowych w UE i będą bardzo duże; dotkną m. in. zasad uzyskiwania zgody na przetwarzanie danych osób fizycznych, rejestrowania i przechowywania tych danych, czy też tzw. prawa do bycia zapomnianym.

Nowe podejście do ochrony danych osobowych

„Dokument GDPR jest sformułowany w sposób odmienny od obecnie obowiązujących przepisów. Dotychczasowe podejście polegało na stosowaniu określonych procedur w przetwarzaniu informacji osobowych w celu uświadomienia obywatelom samego faktu ich zbierania" - mówi Michał Jarski, Regional Director CEE w firmie Trend Micro. Tymczasem GDPR "skupia się na problemie jawności bezpieczeństwa zbioru danych – każdy przypadek naruszenia bezpieczeństwa, wyciek lub modyfikacja musi być ujawniany klientom firmy, a odpowiednie organa powiadamiane o fakcie włamania. Ma to ukrócić dotychczasową praktykę ukrywania faktów naruszeń bezpieczeństwa przed opinią publiczną, co powodowało powszechne ignorowanie tego problemu jako rzekomo mało istotnego i niewymagającego jakichkolwiek inwestycji" - dodaje Michał Jarski.

Zobacz również:

• Polski UODO rozpatruje skargę dotyczącą działania bota ChatGPT

Według zapisów GDPR, wszystkie przetwarzające dane osobowe organizacje będą miały obowiązek powiadomienia organu ochrony danych osobowych (w przypadku Polski będzie to GIODO) o naruszeniu bezpieczeństwa najpóźniej w ciągu 72 godzin od momentu jego wykrycia. Wyniki raportu Trend Micro i VMware pokazują jednak, że 42% organizacji nie wypracowało w tym zakresie jakichkolwiek procedur.

Wejście w życie GDPR poszerzy definicję danych osobowych. Takimi danymi staną się - oprócz imion, nazwisk, numerów telefonicznych czy adresów - także numery IP oraz dane gromadzone w plikach Cookie.

Katalog danych wrażliwych uzupełniony zostanie o dane biometryczne. Możliwość przetwarzania danych wrażliwych będzie od 25 maja 2018 roku wymagała pisemnej zgody wyrażonej w dowolnej formie, ale w "wyraźny sposób". Instytucje publiczne, które z racji na charakter swoich zadań i kompetencji gromadzą i przetwarzają dane osobowe, nie będą obciążone dodatkowymi obowiązkami w tym zakresie.

"Kolejną nowością wprowadzaną przez GDPR jest konieczność zastosowania adekwatnych zabezpieczeń technologicznych. Nie są przy tym wskazywane konkretne technologie, ale stawiany jest wymóg odpowiedniej jakości owych zabezpieczeń. Świadczy to o strategicznym podejściu UE, które ma zachęcić firmy do tego, aby myślały o bezpieczeństwie w bardziej kompleksowy sposób” – podkreśla Michał Jarski.

Dotkliwe sankcje

Za naruszenia zapisów GDPR grozić będą dotkliwe kary: 10 mln euro lub 2% rocznego obrotu firmy za mniejsze przewinienia, i 20 mln euro lub 4% rocznego obrotu za poważne naruszenia. Co ważne, wspomniane kary będą miały charakter administracyjny. Oznacza to, że organ ochrony danych osobowych nie będzie analizował winy podmiotu, ale zaistnienie naruszenia przepisów o ochronie danych.

Aby uniknąć ryzyka, firmy muszą prędko rozpocząć przygotowania do adaptacji do nowego stanu prawnego. Według raportu Trend Micro i VMware, blisko dwie trzecie (67%) uczestników badania nie wiedziało jednak, ile czasu pozostało na przygotowanie się do wejścia w życie GDPR. „Zachowanie zgodności z nowym prawem nie podlega dyskusji i to w interesie organizacji leży dołożenie wszelkich starań, aby ostrożnie i z rozmysłem zaplanować wszystkie kroki mające zapewnić pełne przestrzeganie zasad zawartych w rozporządzeniu. Szkolenia są tu nieodzowne” – stwierdza Paweł Korzec, Regional Presales Manager na Europę Wschodnią w VMware.

Raport o GDPR zrealizowany został na podstawie badania przeprowadzonego przez przez ARC Rynek i Opinia na zlecenie Trend Micro i VMware jesienią 2016 roku. Respondenci wywodzili się spośród pracowników odpowiedzialnych za ochronę danych w 200 firmach zatrudniających powyżej 100 osób. Struktura próby jest reprezentatywna ze względu na proporcje sektorowe (przemysł/usługi/handel).