GDPR: ochrona danych albo wielkie kary finansowe dla firm

Mało która firma w Polsce zna obowiązki, które nałoży na wszystkie podmioty gospodarcze w Polsce rozporządzenie GDPR. Kto nie spełni wymagań jakie nakłada od 2018 rozporządzenie GDPR będzie płacił wysokie kary.

• General Data Protection Regulation (GDPR) to bazujące na dyrektywie 95/46/WE rozporządzenie o ochronie danych osobowych UE, wejdzie w życie w roku 2018.

Z badania firmy Dimensional Research wynika, że przedsiębiorstwa — zarówno sektora MSP, jak i korporacje — nie są świadome wymagań nakładanych na nie przez nowe przepisy. Firmy nie wiedzą, jak dostosować się do regulacji i nie znają konsekwencji nieprzestrzegania jej postanowień. Badanie globalne Dell, które  objęło również Polskę wykazuje żenujący poziom wiedzy na temat GDPR. A przecież to regulacja, której nie spełnienie jest zagrożone wysokimi karami finansowymi.

Z badania wynika, że 82% osób odpowiedzialnych za bezpieczeństwo danych – zarówno w małych i średnich firmach, jak i w korporacjach – jest zaniepokojonych kwestią spełnienia wymogów GDPR. Jednocześnie tym samym osobom brakuje ogólnej świadomości w zakresie nowej dyrektywy i udzielone odpowiedzi dowodzą, że firmy nie są jeszcze przygotowane na nowe przepisy i prawdopodobnie nie będą na nie przygotowane w chwili jej wejścia w życie.

• 97% przedsiębiorstw nie ma planu przygotowań do spełnienia wymogów GDPR.
• Tylko 9% ankietowanych uważa, że ich firmy będą w pełni gotowe na GDPR w chwili wejścia w życie nowego rozporządzenia.
• Ponad 80% przedstawicieli firm, którzy wzięli udział w badaniu, ma szczątkową wiedzę lub nie wie nic na temat rozporządzenia GDPR.
• Mniej niż 1/3 firm czuje się przygotowana na GDPR już dziś.
• Niemal 70% ankietowanych twierdzi, że nie są jeszcze przygotowani na GDPR lub nie wiedzą nic o stanie przygotowania swojej firmy, a tylko 3% z nich ma stosowny plan przygotowań.
• Ponad 75% respondentów spoza Europy przyznało, że ich firmy nie są w ogóle przygotowane do GDPR lub nie mają żadnej wiedzy na ten temat.
• Niemal żadna z firm (97%) nie ma przygotowanego planu działań do wdrożenia w momencie wejścia w życie GDPR w roku 2018

Wymagania GDPR

Unijne rozporządzenie GDPR zostało przyjęte przez Parlament Europejski i Radę w 2016, a zacznie obowiązywać w roku 2018. Przestrzeganie kilku zasad pozwoli firmom dostosować się do nowych wymogów, a także chronić dane osobowe klientów, uniknąć naruszeń bezpieczeństwa, a także uszczerbku na reputacji firmy oraz wysokich kar finansowych.

1. Zatrudnienie specjalisty ds. ochrony danych. To jeden z wymogów GDPR. Funkcję tę może pełnić osoba zatrudniona w pełnym wymiarze godzin, pracownik, dla którego jest to jedynie część obowiązków lub agencja zewnętrzna. Warto zaznaczyć, że specjaliści ds. ochrony danych będą mogli oferować swoją pracę w modelu usługowym, dlatego niektórzy integratorzy systemów lub sprzedawcy będą mogli uruchomić stosowną usługę, rozwijając swoją ofertę.
2. Wdrożenie niezawodnego rozwiązania do kontroli dostępu. Możliwość kontroli dostępu do aplikacji, które dają wgląd w dane osobowe obywateli Unii — a w szczególności w dane nieusystematyzowane — to element kluczowy dla ochrony danych i zgodności z przepisami GDPR. Kontrola ta zwykle wymaga okresowych przeglądów praw dostępu przeprowadzanych przez kierowników pionów oraz wydawania certyfikatów potwierdzających, że uprawnienia są adekwatne do zadań pracowników i nie zagrażają bezpieczeństwu danych. Taki poziom przejrzystości i kontroli zapewnia rodzina rozwiązań Dell One Identity do zarządzania tożsamością i dostępem.
3. Zarządzanie kontrolą dostępu. Aby spełnić wymagania GDPR, pracownicy i współpracownicy muszą dysponować uprawnieniami dostępu, umożliwiającymi im wykonanie tylko i wyłącznie zadań, które faktycznie zostały im powierzone. Odpowiednie technologie, które pozwalają kontrolować dostęp do danych na tym poziomie, to uwierzytelnianie wieloskładnikowe, bezpieczny dostęp zdalny, zabezpieczenia oparte na ryzyku oraz zabezpieczenia adaptacyjne, precyzyjne zarządzanie hasłami oraz pełna kontrola nad danymi uwierzytelniającymi i aktywnością użytkowników uprzywilejowanych.
4. Ochrona granic zewnętrznych. Wdrożenie zapór firewall nowej generacji (NGFW) pozwala zmniejszyć podatność sieci na cyberzagrożenia i zniwelować ryzyko wycieków danych, które mogą doprowadzić do naruszenia bezpieczeństwa danych, skutkującego surowymi karami, nakładanymi na mocy GDPR. Należy również zadbać o zgromadzenie informacji na potrzeby ewentualnych dochodzeń, niezbędnych do udowodnienia zgodności z przepisami i wdrożenia stosownych korekt po incydencie naruszenia. Zapory firewall nowej generacji Dell SonicWALL chronią przed nowymi rodzajami zagrożeń i oferują funkcje takie jak głęboka inspekcja pakietów, szyfrowanie i inspekcja sesji SSL w czasie rzeczywistym, adaptacyjne wydzielone środowisko uruchamiania aplikacji (sandbox) oraz pełna kontrola i wizualizacja aplikacji.
5. Zapewnienie bezpiecznego dostępu mobilnego. Warto wspierać bezpieczny przepływ chronionych danych, jednocześnie umożliwiając pracownikom dostęp do aplikacji i danych biznesowych wtedy, gdy ich potrzebują, w preferowany przez nich sposób i za pomocą wybranych przez nich urządzeń. Bezpieczeństwo danych można zwiększyć poprzez połączenie komponentów związanych z tożsamością użytkowników, zmiennych reprezentujących urządzenia i czynników czasowych (czas, lokalizacja itp.), aby stworzyć elastyczne, oparte na ryzyku rozwiązanie, które zawsze i nieprzerwanie zapewnia właściwy dostęp, a zarazem poprawia ochronę danych i zgodność z przepisami GDPR.
6. Zapewnienie bezpieczeństwa poczty elektronicznej. Aby spełnić wymagania GDPR, należy zadbać o pełną kontrolę i przejrzystość aktywności w obszarze poczty elektronicznej. Pomoże to zniwelować zagrożenie w postaci phishingu i innych ataków na informacje chronione, opartych na wiadomościach e-mail. Jednocześnie umożliwi to bezpieczną, zgodną z przepisami wymianę poufnych i zastrzeżonych danych.

Badanie

Badanie zlecone przez firmę Dell zostało przeprowadzone przez Dimensional Research. Wzięło w nim udział 821 specjalistów ds. IT i biznesowych, odpowiedzialnych za ochronę danych w przedsiębiorstwach mających klientów w Europie. Respondenci odpowiadali na pytania dotyczące świadomości i postrzegania przepisów GDPR, przygotowania na ich wejście w życie w maju 2018 r. oraz oczekiwanych konsekwencji ich nieprzestrzegania. Badanie przeprowadzono w Stanach Zjednoczonych, Kanadzie, regionie Azji i Pacyfiku (Australia, Hongkong, Singapur, Indie),  Wielkiej Brytanii, Niemczech, Szwecji, Belgii, Holandii, Francji, Włoszech, Hiszpanii i Polsce. Ankietę wypełniła również kadra kierownicza z firm zatrudniających poniżej 100 pracowników.