10 faktów dotyczących nowych zasad ochrony danych osobowych w UE

Najważniejsze zmiany planowane w nowych europejskich przepisach dotyczących ochrony danych osobowych przygotowywanych przez urzędników UE mają dotyczyć technologii i Internetu.

Pierwsza europejska dyrektywa w sprawie ochrony danych osobowych powstała w 1995 r. - od jej stworzenia minęły dwie dekady, nic więc dziwnego, że UE pracuje nad nowymi przepisami, w których uwzględnione zostaną zmiany i nowe zjawiska w świecie nowych technologii i Internetu. Nigel Hawthorn z firmy Skyhigh Networks uważnie przestudiował aktualny projekt – oto 10 najważniejszych jego zdaniem nowości.

Na początek warto podkreślić, że nowe zasady ochrony danych osobowych mają wejść w życie w 2017 r. i teoretycznie do tego czasu ów projekt może się jeszcze zmieniać. Faktem jednak jest, że w ostatnich dwóch wersjach wprowadzono już tylko niewielkie zmiany, więc istnieje duże prawdopodobieństwo, że przepisy zostaną uchwalone w tej właśnie formie. Co warto o nich wiedzieć?

Zobacz również:

1. To regulacja, nie dyrektywa

Dwa powyższe terminy często są używane wymiennie – ale to błąd, bo są między nimi poważne różnice. Dyrektywy mogą być wdrażane i adaptowane przez poszczególne kraje, a regulacja – po zaakceptowaniu - stają się prawem bez żadnych zmian w treści. Aktualna europejska sytuacja w zakresie prawodawstwa dot. ochrony danych osobowych przypomina patchwork – we wszystkich krajach obowiązuje podobne, ale jednak nieco zróżnicowane prawo. Po wdrożeniu nowych regulacji we wszystkich 28 krajach UE obowiązywały będą identyczne przepisy.

2. Organizacje przetwarzające dane będą odpowiedzialne za ich ochronę

Wedle aktualnych przepisów, za każde dane “za pomocą których można kogoś zidentyfikować” odpowiedzialna jest instytucja lub firma, która te dane kontroluje – czyli ich właściciel. Nowe regulacje przewidują, że za bezpieczeństwo danych będą również odpowiadały wszystkie organizacje, które będą je przetwarzały – w tym również firmy trzecie, czyli np. dostawcy usług chmurowych. Innymi słowy – ktokolwiek uzyska dostęp do danych, natychmiast staje się za nie odpowiedzialny. Takie podejście będzie miało istotne konsekwencje – wszystkie zaangażowane w cały proces firmy będą musiały być wyjątkowo wyczulone na to, jak chronią dane i jak robią to ich kontrahenci.

Oznacza to tyle, że firmy i instytucje powinny już teraz przeanalizować kontrakty podpisane z firmami zewnętrznymi – i jeśli owe umowy przewidują przekazywanie lub udostępnianie danych, należy upewnić się, czy zachowane są w tej kwestii odpowiednie standardy bezpieczeństwa. Wielu dostawców usług chmurowych – szczególnie spoza UE – może nie zdawać sobie sprawy z tego, że te przepisy dotyczą również ich.

3. Regulacje mają globalne konsekwencje

Zgoda, cały czas mówimy o regulacjach UE, czy europejskich – ale warto sobie uświadomić, że będą one miały istotny wpływ na firmy czy instytucje z całego świata. Jeśli tylko jakaś organizacja posiada lub korzysta z danych obywateli UE, automatycznie będzie musiała stosować się do nowych przepisów.

4. Użytkownicy będą mogli się domagać rekompensat

Nowe regulacje umożliwią użytkownikom domaganie się odszkodowań np. za nielegalne udostępnienie lub utratę ich danych, np. w efekcie nieuprawnionego ich przetwarzania. Co więcej, poszkodowani będą mogli występować grupowo, dzięki instytucji pozwów zbiorowych.

Dlatego też menedżerowie firm będą musieli uświadomić sobie, jak duży wpływ na funkcjonowanie ich przedsiębiorstwa mogą mieć wszelkie „wpadki” w tym zakresie. Nie chodzi tu tylko o potencjalnie niezwykle kosztowne procesy sądowe i wysokie odszkodowanie, ale również o utratę wizerunku, odejście klientów itp.

5. Nowe – bardziej surowe – zasady transferowania danych obywateli UE poza wspólnotę

Obecnie UE zakazuje transferowania danych swoich obywateli poza Europejski Obszar Gospodarczy (EEA - European Economic Area), dopóki firma kontrolująca owe dane nie potwierdzi, że po przesłaniu dane będą odpowiednio chronione (co najmniej w tym samym stopniu jak w UE).

W nowych realiach przepisy te zostaną zaostrzone – decyzję o tym, czy danym zapewniono odpowiednią ochronę podejmie już nie bezpośrednio zainteresowana firma, lecz odpowiednia komisja. Dlatego kluczowe jest porozumienie się z partnerami spoza UE (np. dostawcami usług chmurowych) i poinformowanie ich o nowych wymaganiach wobec nich oraz procedurach kontrolnych.

6. Harmonizacja przepisów o udostępnianiu użytkownikowi jego danych

Użytkownicy już teraz mają pełne prawo do wglądu danych, jakie firmy zgromadziły na ich temat – jednak przepisy określające na jakich zasadach i w jakim czasie się to odbywa, różnią się pomiędzy poszczególnymi krajami. W nowych regulacjach zasady zostaną ujednolicone (prawdopodobnie organizacja będzie miała 20 dni na przekazanie użytkownikowi jego danych).

7. Nowe zasady wymazywania danych

Dyskutowany właśnie projekt przewiduje również, że użytkownik będzie miał prawo domagać się, by z bazy danych wymazano jego dane. Na pierwszy rzut oka nie wydaje się to skomplikowane, jednak w praktyce ta operacja może nie być tak prosta do przeprowadzenia – warto więc się do niej przygotować. Co, jeśli firma zarządza kilkoma bazami danych, a użytkownik poprosi o wymazanie tylko jednej z nich? Czy w organizacji wdrożone są procedury które pozwolą na łatwe przeprowadzenie takiej operacji? To wszystko warto sprawdzić przed wprowadzeniem nowych przepisów.

8. Powiadomienie użytkowników o ich prawach to twój obowiązek

Nowe przepisy przewidują, że organizacja kontrolujące dane będzie miała obowiązek poinformować użytkowników o przysługujących im prawach, a także przypominać im o tym… oraz udokumentować fakt, że podjęła takie działania. Dodatkowo należy upewnić się, że użytkownicy nie będą domyślnie zgadzać się na zbieranie ich danych – aby firma mogła je gromadzić, użytkownik musi się na to zgodzić. To zdecydowanie ostrzejsze zapisy niż obowiązujące obecnie, a firmy, które nie spełnią nowych wymagań, mogą spodziewać się surowych kar finansowych.

9. Ostrzejsze sankcje i sprawniejsze raportowanie incydentów

To jedna z ważniejszych zmian. Gdyby ktoś do tej pory wątpił, że europejscy regulatorzy poważnie traktują sprawę ochronę danych osobowych i wycieków danych, to nowe regulacje powinny rozwiązać wszelkie wątpliwości. Wedle nowych zasad kary mogą sięgać 100 mln euro lub 5% przychodu (w zależności od tego, która kwota będzie wyższa) – co znacznie przekracza obecne kwoty (w Wielkiej Brytanii maksymalna kara to obecnie 500 tys. funtów).

Obecnie w różnych krajach obowiązuje różne przepisy dotyczące np. informowania o wycieku danych (zarówno użytkowników, których dane udostępniono, jak i regulatorów). Nowe regulacje mają ujednolicić kluczowe kwestie – np. wprowadzić obowiązek informowania o wycieku danych w ciągu określonego czasu (prawdopodobnie będą to 72 godziny) od wykrycia incydentu (aczkolwiek będą przewidziane wyjątki od tej reguły).

10. Szyfrowanie i tokenizacja

Jak już wspomnieliśmy, projekt przewiduje, że organizujące przechowujące i kontrolujące dane mieszkańców UE będą musieli zapewnić im odpowiednio wysoki poziom bezpieczeństwa informacji. Warto podkreślić, że za „odpowiednio zabezpieczone” uznano również dane, które zostały zaszyfrowane, tokenizowane lub pseudoanonimizowane. To dla firm bardzo dobra informacja – oznacza, że nowe przepisy pozwolą na szyfrowanie/tokenizowanie danych przed wysłaniem ich do chmury, przy jednoczesnym pozostawieniu klucza szyfrującego w firmie. To powinno znacząco ograniczyć ryzyko ich wykradzenia, a nawet jeśli do tego dojdzie – pomóc w wykazaniu, że zaatakowana firma podjęła odpowiednie działania mające zablokować ew. działania przestępców.

Konkluzja

Do wprowadzenia nowych regulacji zostały dwa lata – dzięki temu, że już teraz znamy dość dobrze ich finalny (prawdopodobnie) kształt, specjaliści ds. IT, bezpieczeństwa i zespoły odpowiedzialne za spełnianie wymagań regulatorów mają dość czasu na przystosowanie się do wdrożenia nowych przepisów. Oczywiście, niezbędne może okazać się przeprowadzenie szeregu audytów, konsultacji prawnych i generalnie uruchomienie szeregu procesów dopasowujących funkcjonowanie organizacji do nowych realiów prawnych. Wyzwań jest wiele – ale na szczęście czasu też jest dość.

Nigel Hawthorn is dyrektorem strategicznym działu EMEA w firmie Skyhigh Networks.


TOP 200