Rozporządzenie Unii Europejskiej dotyczące Ochrony Danych Osobowych (EU General Data Protection Regulation – GDPR) wejdzie w życie 25 maja 2018 roku. Kroll Ontrack, wiodący na świecie dostawca usług odzyskiwania danych i eDiscovery ostrzega przedsiębiorstwa, by zwróciły uwagę na proces zarządzania danymi w celu przygotowania się na wejście nowych przepisów.
GDPR będzie miało zastosowanie dla organizacji działających w Polsce z następujących powodów:
- Po pierwsze, Polska należy do Unii Europejskiej i jest zobowiązana do stosowania prawa UE (regulacja ta stanie się standardem dla wszystkich państw europejskich, a jej implementacja do prawa krajowego nie będzie wymagana).
- Po drugie, nowe przepisy dotyczą wszystkich firm i organizacji, które oferują swoje produkty i usługi na terenie Unii Europejskiej oraz jej obywatelom, monitorują ich zachowania oraz przetwarzają ich dane osobowe.
W związku z powyższym, przedsiębiorstwa działające na terenie naszego kraju będą musiały zwrócić szczególną uwagę na GDPR i w związku z tym odpowiednio się przygotować.
Niezależnie od polityki, ustawodawstwo dotyczące ochrony danych osobowych wymaga uwagi i powinno znaleźć odzwierciedlenie w rzeczywistości opartej na danych. Nowoczesne przedsiębiorstwa i organizacje zbierają i analizują dane osobowe, które klienci powierzają im na przykład podczas robienia zakupów online, przez co stale muszą się troszczyć o zapewnienie bezpieczeństwa poufnych danych. Ochrona danych wymaga bowiem, aby były one bezpieczne, a w przypadku, gdy nie są już one potrzebne, usuwania ich w bezpieczny i trwały sposób.
Nowe regulacje zakładają także nakładanie grzywien związanych z niestosowaniem się do przepisów, które mogą sięgać nawet 4% globalnych przychodów firmy lub 20 mln euro. Dla wielu przedsiębiorstw takie kary mogą oznaczać prawdziwą ruinę finansową.
„GDPR wymaga od organizacji minimalizacji ilości danych, by przetwarzane były tylko te dane osobowe, które są niezbędne. Jest to o wiele bardziej uciążliwy wymóg niż obecnie obowiązujący (zgodnie z ustawą z 1997 roku). GDPR ustanawia także zasadę „prawa do bycia zapomnianym”. Oznacza to, iż firmy muszą wdrożyć procedury mające na celu szybkie i bezpieczne usuwanie danych na przykład w przypadku, kiedy dane są już potrzebne do wykorzystania w pierwotnym celu bądź nie zachodzą przesłanki ku temu, by dane były nadal przechowywane i przetwarzane. Niezależnie od tego, gdzie dane się znajdują – na komputerach, serwerach bądź w chmurze – bezpieczne i całkowite usuwanie danych musi być częścią procesu ochrony danych” – komentuje Adam Kostecki, Dyrektor ds. Sprzedaży Kroll Ontrack.
„Aby skutecznie wprowadzić zmiany wymagane przez GDPR, firmy powinny skupić się na wdrożeniu i utrzymaniu procesu aktualizacji i kasowania danych, stosując je w swoim codziennym funkcjonowaniu” – dodaje Adam Kostecki.
Co zalecamy?
- Zacznij działać już teraz. GDPR zakłada znaczące aktualizacje przepisów o ochronie danych osobowych, ponieważ obecnie obowiązująca dyrektywa UE o ochronie danych osobowych została przyjęta w 1995 roku (po 23 latach zostanie zastąpiona przez GDPR). Przygotowanie do GDPR będzie wymagało czasu i zasobów do wdrożenia nowych procesów, więc warto już teraz rozpocząć proces zmian.
- Upewnij się, że zaangażowałeś odpowiednich ludzi. Oceń, kto będzie właściwy do badania, wdrożenia i utrzymania nowego procesu zapewnienia bezpieczeństwa i ochrony danych. Zespół często będzie musiał współpracować i konsultować się z działem IT, HR oraz działem prawnym. Jeżeli działania zostaną podjęte szybko, wszystkie zainteresowane i kluczowe strony będą świadome zmian i będą mogły w lepszy sposób zrozumieć wpływ i sens nowych przepisów.
- Sprawdź, jakie dane przechowujesz (włącznie z danymi osobowymi), gdzie, w jaki sposób i za pomocą jakich systemów. Powinieneś zaplanować przeprowadzenie kontroli przechowywanych danych.
- Bezpiecznie kasuj dane. Proces usuwania danych powinien być wykonywany profesjonalnie, co wymaga specjalistycznego sprzętu lub oprogramowania.
- Informuj o zmianach. Jak w przypadku każdej zmiany zachodzącej w firmie, odpowiednia komunikacja jest niezbędna. Będzie to wymagało właściwego i bieżącego informowania pracowników oraz dostawców, by uświadomić im proces zmian i zapewnić odpowiedni czas na dostosowanie się do nowych regulacji.
- Zrozum zmiany. Nowe regulacje będą wymagać ulepszonych procesów usuwania danych. Wyciek danych będzie skutkował nałożeniem surowych kar. W większości przypadków wymagane dane będą musiały zostać dostarczone w terminie do miesiąca od daty złożenia wniosku o ich udostępnienie.
- Oceń wpływ na prywatność. Podczas kontroli procesu przetwarzania danych osobowych określ, czy wymagana jest ocena wpływu na prywatność. Zastanów się, czy stosujesz inwazyjne metody zbierania danych osobowych oraz czy dane są przetwarzane rzetelnie i zgodnie z prawem, a osoby, od których te dane pochodzą, zostały poinformowane w przejrzysty sposób o celu i sposobie wykorzystywania danych przez firmę.
dostarczył infoWire.pl