25 maja 2018 wejdą w życie nowe przepisy dotyczące ochrony danych osobowych mieszkańców Unii Europejskiej.
Firmy Trend Micro oraz VMware we współpracy z agencją badawczą ARC Rynek i Opinia opracowały raport przedstawiający stan przygotowania polskich przedsiębiorców do wprowadzenia unijnego rozporządzenia o ochronie danych.
Wyniki badania pokazują, że ponad połowa respondentów (52%) jeszcze nie słyszała o GDPR, a aż 67% przedsiębiorców nie wie, ile czasu pozostało do wdrożenia nowych przepisów. Wielu badanych nie jest świadomych tego, że nowe rozporządzenie dotyczy wszystkich firm – niezależnie od wielkości, więc również mikroprzedsiębiorstw oraz firm jednoosobowych.
GDPR
Rozporządzenie GDPR (od angielskiej nazwy General Data Protection Regulation) wymusi zmiany w zasadach rejestrowania, przechowywania, przetwarzania i udostępniania danych wszystkich osób fizycznych. Tym samym wszelkie podmioty, które przetwarzają takie dane – nie tylko wielkie korporacje, ale i małe przedsiębiorstwa (np. sklepy internetowe i inne firmy obsługujące klientów indywidualnych) – muszą wdrożyć odpowiednie technologie, dzięki którym dostosują się do nowych wymogów. W przeciwnym razie mogą zostać na nie nałożone wielkie kary finansowe.
Rozporządzenie GDPR dotyczy każdego przedsiębiorcy przetwarzającego dane osobowe – na wszystkie firmy nakłada obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Unijne przepisy zaczną obowiązywać za niewiele ponad rok, czasu na zmiany jest więc coraz mniej.
http://branden.biz/index.php/2017/04/03/rodo-wstepny-projekt-polskiej-regulacji/
Regulacja polska
W zakresie ochrony danych osobowych w Polsce od dłuższego czasu nie wprowadzono znaczących dla przedsiębiorców zmian – obowiązuje ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Na straży jej przestrzegania stoi GIODO (Generalny Inspektor Ochrony Danych Osobowych), urząd uprawniony m.in. do kontroli zgodności przetwarzania danych z ustawą czy rozpatrywania skarg dotyczących uchybień w stosowaniu się do przepisów.
Ogólne rozporządzenie o ochronie danych osobowych (GDPR) jest próbą ujednolicenia przepisów chroniących dane ponad 500 mln obywateli UE. Akt prawny, oprócz zmiany wymogów formalnych, niesie ze sobą szereg zmian w obszarze funkcjonowania firm – sposobie rejestrowania, przechowywania, przetwarzania i udostępniania danych zarówno klientów, jak i pracowników. Nowa regulacja wprowadzi restrykcyjne wymogi uzyskania zgody na przetwarzanie danych, przyzna obywatelom prawo do bycia zapomnianym (do usunięcia danych), na przedsiębiorstwa nałoży wymóg zgłoszenia wszystkich naruszeń w ciągu maksymalnie 72 godzin od wykrycia incydentu oraz wprowadzi kompleksową definicję danych.
Rozporządzenie GDPR przewiduje kary finansowe za złamanie obowiązujących przepisów – w przypadku np. naruszenia podstawowych zasad przetwarzania, takich jak warunki wyrażania zgody, kary mogą sięgać nawet 4% rocznych obrotów firmy. Za pozostałe naruszenia wyszczególnione w akcie prawnym kary wynoszą maksymalnie 2% łącznych obrotów przedsiębiorstwa.
Wszystkie firmy, które przetwarzają dane osobowe, muszą czym prędzej podjąć odpowiednie kroki w celu zapewnienia zgodności z aktem GDPR. Im wcześniej przedsiębiorcy zaczną dostosowywać się do nowej dyrektywy, tym pewniej unikną wysokich kar finansowych za ewentualne niedopatrzenia.
Przedsiębiorcy muszą zapoznać się z obecnym systemem przetwarzania danych w firmie – czyje dane są dostępne w systemie, gdzie i w jaki sposób są przechowywane oraz kto ma do nich dostęp. Na podstawie zdobytej wiedzy powinna zostać opracowana strategia cyberbezpieczeństwa oraz plan powiadamiania o wyciekach danych, tak aby w przypadku incydentu można działać szybko i sprawnie, ograniczając szkody dla firmy.