Unia Europejska zadba o nasze dane osobowe. Firmy zapłacą wielomilionowe kary?
Nawet 20 milionów euro. Tyle mogą wynieść kary, nakładane na przedsiębiorców przez Unię Europejską. A wszystko przez unijne rozporządzenie o ochronie danych osobowych. Nowe przepisy zaczną obowiązywać za rok, ale to wcale nie oznacza, że czasu na przygotowanie jest dużo.
Rozporządzenie GDPR (General Data Protection Regulation) wejdzie w życie 25 maja przyszłego roku. Jego celem jest ujednolicenie i wzmocnienie ochrony danych osobowych wszystkich obywateli państw UE. W związku z tym, obejmie ono wszystkie europejskie firmy, które przechowują lub przetwarzają dane osobowe związane z dostarczaniem towarów i usług osobom prywatnym w UE. - Wymagania te będą obowiązywać niezależnie od tego, gdzie firma ma siedzibę główną - wyjaśnia Sebastian Małycha, prezes Mediarecovery.
A to oznacza, że podmioty spoza Unii Europejskiej, które będą przechowywać i przetwarzać dane obywateli państw UE, również będą musiały się dostosować do tych przepisów.
Paleta kar za nieprzestrzeganie nowych przepisów jest dosyć szeroka. Chodzi bowiem nie tylko o pisemne ostrzeżenie ze strony uprawnionego organu, ale i m.in. przeprowadzanie okresowych kontroli, mających na celu sprawdzenie stanu bezpieczeństwa danych.
Jednak najbardziej dotkliwą karą będzie z pewnością 20 milionów euro grzywny lub 4% globalnego obrotu - w zależności od tego, która z kwot będzie wyższa.
- Takie podejście w większym stopniu powinno zdyscyplinować firmy i skłonić je do większej staranności w obszarze danych osobowych - uważa Małycha.
Żeby być w zgodzie z nowym rozporządzeniem, firmy będą musiały dokonać wielu zmian organizacyjnych. Przepisy nałożą na nie m.in. obowiązki przyjęcia wewnętrznych polityk i procedur w celu udokumentowania, że dane osobowe są przechowywane zgodnie z rozporządzeniem.
Konieczne będzie również stworzenie i utrzymywanie dokumentacji wszystkich operacji przetwarzania, a także ocena bezpieczeństwa fizycznego i elektronicznego oraz ryzyka przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieupoważnionego dostępu lub udostępnienia danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych.
Dodatkowym obowiązkiem będzie konieczność wdrożenia odpowiednich kontroli technicznych i organizacyjnych celem zapewnienia poziomu bezpieczeństwa odpowiadającemu poziomowi ryzyka.
Regulacja unijna zobowiązuje firmy do szybkiej informacji związanej z wyciekiem danych. Będą mieć na to tylko 72 godziny. Skończy się zatem możliwości ukrywania przed klientami faktu kradzieży ich danych. Wymusza to zupełnie nowe podejście do monitoringu danych i wszystkich zdarzeń z nimi związanych - mówi Sebastian Małycha.
Warto pamiętać, że na rynku dostępnych jest kilka rozwiązań informatycznych, które pozwalają z jednej strony na monitoring danych, a z drugiej w przypadku incydentu pozwalają zebrać i zabezpieczyć dane w sposób odpowiedni dla sądu.
Przykładem może być amerykański system EnCase eDiscovery, który pozwala realizować nawet skomplikowane procedury związane reakcją na incydenty dotyczące danych osobowych.
Ze względu na dużą ilość regulacji obowiązujących w USA (np. SOX ), amerykanie mają spore doświadczenie w budowaniu systemów pozwalających monitorować i reagować na incydenty w tym obszarze. Dzięki takim rozwiązaniom, w przypadku kontroli organów państwowych firma będzie mogła udowodnić, że dołożyła wszelkiej staranności w związku z rozpoznaniem incydentu - dodaje.
- Szczególnie większe organizacje, chociażby z sektora bankowo-finansowego, będą miały duży problem z poradzeniem sobie z tym wyzwaniem bez wsparcia systemów informatycznych typu GRC - tłumaczy Sebastian Małycha. GRC czyli "Governance, Risk, Compliance" niczym parasol przykrywa wszystkie wewnętrzne procesy, wychodząc o wiele dalej niż tylko systemy IT, dając jednocześnie możliwość świadomego działania w oparciu o pełną wiedzę na temat organizacji. To najnowszy trend wywodzący się wprost z USA.
Mały sklep internetowy, który w zaledwie kilku bazach gromadzi dane swoich klientów i zatrudnia mały zespół pracowników, jest w stanie dość szybko przygotować się do nowych przepisów. - Tymczasem większe firmy, mające dziesiątki oddziałów, liczbę pracowników liczoną w tysiącach i dane osobowe o setkach tysięcy czy milionach klientów, również będą musiały poradzić sobie w nowych realiach. Będzie to trudne - ocenia prezes Mediarecovery.
Bardziej dojrzałe firmy już teraz prowadzą działania, mające dostosować je do nowego rozporządzenia. Robią to począwszy od audytów wewnętrznych, mających na celu sprawdzenie gdzie w firmie "żyją" dane, poprzez tworzenie regulacji i procedur wewnętrznych, a także metod oraz sposobów działania.
- Z naszych doświadczeń we współpracy z sektorem bankowym jasno wynika, że te instytucje, które zdecydowały się na użycie systemów GRC, radzą sobie zdecydowanie lepiej, niż pozostali - twierdzi prezes Mediarecovery.
Źródło: TVN24/x-news