Jak zostać zapomnianym w Europie?

Już co za niedługo okaże się, że jednym z najważniejszych praw człowieka jest prawo „do zapomnienia”. To określenie nie oddaje istoty zagadnienia, gdyż w istocie chodzi o prawo do żądania usunięcia danych osobistych z rejestrów przedsiębiorstw i innych komercyjnych systemów informatycznych.

Unijna regulacja GDPR mówi o sektorze przedsiębiorstw podlegającym obowiązkowi wdrożenia systemu usuwania danych. Należy wszakże pamiętać o tym, że dane osobowe funkcjonują wieczyście (może nawet wiecznie?) w systemach informatycznych bezpieczeństwa publicznego i nie ma mowy prawie do decyzji wykluczającej naszą obecność z systemów bezpieczeńśtwa państwa. W systemach bezpieczeństwa będziemy więc wieczyście lub, jak mówi Jerzy Owsiak, manager nowoczesnej dobroczynności: „o jeden dzień dłużej”.

GDPR to tylko sektor komercyjny, gdzie możemy „zostać zapomniani” aby uwolnić się od obecnego zalewu ofert, promocji, unikalnych okazji czy niepowtarzalnych akcji skierowanych wyłącznie do wybranego grona konsumentów. Problem polega na tym, że gdy raz klikniemy, stosowane klauzule prawne dają możliwość powielania naszych adresów i danych w sferze firm komercyjnych – prawie publicznie, co powoduje iż wartość jednostkowa takich danych jest dramatycznie niska. Konsument jest wart bowiem tyle, ile wyda od okresu prenatalnego, do odejścia jako klient firmy i kościołów zajmujących  się obsługą funeralną oraz zapewnieniem szczęścia po tamtej stronie.

http://branden.biz/index.php/2016/11/24/nieznana-regulacja-ue-o-ochronie-danych-gdpr/

Tym, którzy nie dostosują się do wymogów rozporządzenia GDPR (General Data Protection Regulation), grożą duże kary finansowe, których wysokość może sięgnąć nawet 2–4 proc. rocznych obrotów całego przedsiębiorstwa.

Obawiam się scenariusza, w którym na początku obowiązywania nowych przepisów ktoś będzie przysłowiową ofiarą i będzie musiał zapłacić ogromną karę. Wtedy wszystkie firmy zaczną panicznie wdrażać wymogi rozporządzenia GDPR. To stwarza zagrożenie, że te rozwiązania nie będą bezpieczne ani wystarczająco dobre pod kątem zabezpieczenia danych – mówi Michał Jarski z firmy Trend Micro.

GDPR nas uwolni?

Ogólne rozporządzenie o ochronie danych osobowych zacznie obowiązywać w Polsce w maju 2018 roku. Z badań przeprowadzonych w tym roku na zlecenie firm VMware i Trend Micro wynika jednak, że ponad połowa polskich przedsiębiorstw wciąż nie wie o jego istnieniu. Zaledwie w jednej trzeciej firm pracownicy, którzy zajmują się ochroną danych, mają przynajmniej podstawową wiedzę o nowych przepisach. Rozporządzenie o ochronie danych osobowych (GDPR) zacznie obowiązywać w maju 2018. Nowe przepisy wprowadzą również zasadę ochrony „by default”. Oznacza to, że firmy i przedsiębiorcy mogą wykorzystywać dane osobowe klientów tylko i wyłącznie w celu, w którym zostały one pobrane. Przedsiębiorstwa muszą zbudować mechanizmy, które udowodnią, że pozyskane przez nie informacje nie były przetwarzane ani wykorzystywane niezgodnie z przeznaczeniem.

Nowe przepisy nadają konsumentom szereg uprawnień, które obejmują m.in.:

  • prawo do bycia zapomnianym oraz prawo do informacji o tym, jak wykorzystywane są ich dane osobowe.
  • Z drugiej strony unijne regulacje wymuszą ogrom zmian na wszystkich podmiotach, które gromadzą i przetwarzają dane osobowe. Dotyczyć one będą systemów informatycznych, działań marketingowych i obsługi klientów oraz tworzenia nowych procedur. Na ich wdrożenie firmom pozostało półtora roku.

– Firmy mają tylko 18 miesięcy na dostosowanie się do wymogów rozporządzenia. Świadomość tego faktu jest bardzo niska. Przedsiębiorcy staną przed ogromnym wyzwaniem ewidencji wszystkich danych osobowych, ich lokalizacji, miejsca przetwarzania. Na tak długie procedury, dostosowanie kwestii formalnych i wdrożenie rozwiązań technologicznych pozostało bardzo mało czasu – mówi Michał Jarski, dyrektor regionalny Trend Micro.

  • Celem uchwalonego w tym roku rozporządzenia GDPR jest ujednolicenie przepisów o ochronie danych osobowych na terenie całej Unii Europejskiej. Nowe przepisy mają również zwiększyć kontrolę osób fizycznych nad ich danymi osobowymi i nałożą szereg nowych wymogów na wszystkie podmioty, które gromadzą i przetwarzają takie dane. Eksperci podkreślają, że wyzwań jest bardzo dużo.
  • Rozporządzenie wymusi również na przedsiębiorstwach, aby zadbały o ochronę danych osobowych już na etapie projektowania swoich systemów informatycznych. W przypadku naruszenia baz danych albo wycieku informacji administratorzy będą zmuszeni każdorazowo zgłaszać taki incydent do organów nadzorujących.

– GDPR narzuca konieczność wdrożenia tzw. systemu bycia zapomnianym. Każdy obywatel w Unii Europejskiej będzie mógł zażądać od firmy, z którą współpracuje, aby jego dane zostały wykasowane z systemów informatycznych. My, jako administratorzy danych, musimy więc dysponować systemami, które po pierwsze zapewnią nam możliwość trwałego usunięcia tej informacji, niezależnie od tego, czy znajduje się ona w wewnętrznym data center, czy w zewnętrznej chmurze. Po drugie, musimy być w stanie udowodnić w przypadku urzędowej kontroli, że takie dane faktycznie usunęliśmy – wyjaśnia Paweł Korzec.

Przedsiębiorców czekają ogromne zmiany i konieczność wypracowania nowych procedur. Od maja 2018 roku będą bowiem musiały każdorazowo uzyskiwać zgodę swoich klientów na przetwarzanie ich danych osobowych, powiadamiać ich o zmianie lokalizacji danych oraz o ewentualnym naruszeniu albo wycieku informacji.

Interesujący ciąg dalszy nastąpi na pewno.