ENNowe zasady ochrony danych osobowych, które zaczną obowiązywać od 25 maja 2018 r. pozwolą nam wszystkim zwiększyć kontrolę nad przetwarzaniem naszych danych. Jednolity zestaw zasad będzie obowiązywał wszystkie firmy prowadzące działalność na terenie Unii Europejskiej bez względu na ich siedzibę. Co to oznacza dla małych i średnich firm, które stanowią większość także w Polsce?
Definicja danych chronionych
Od momentu wejścia regulacji w życie za dane szczególnie chronione uważa się m.in. imię, nazwisko, adres zamieszkania, profil w mediach publicznych, informacje w dokumentacji medycznej czy przychód firmy. Bez względu na to czy przetwarzasz dane na cele firm trzecich czy wykorzystujesz dane wyłącznie do własnego użytku, musisz zastosować odpowiednie procedury bezpieczeństwa.
Dlaczego następuje zmiana?
Zmiana jest wywołana kilkoma kluczowymi czynnikami:
- Brak zaufania do obecnych systemów i przestarzałych procedur, często różnych dla danego kraju,
- Brak możliwości kontroli nad każdą przetwarzaną informacją przez instytucje prywatne,
- Potrzeba unifikacji kodeksu ochrony danych w celu łatwiejszego nadzoru i kontroli w każdym kraju zrzeszonym w UE,
- Redukcja kosztów zarządzania, nadmiernej dokumentacji i utrzymywania, często rozproszonych i niedostosowanych, systemów do nowych wymogów,
- Nowe regulacje mają zwiększyć zaufanie społeczne do ochrony danych, tym samym stymulując biznes do inwestycji w nowe technologie.
Kary finansowe i odpowiedzialność firm
W każdym kraju nadrzędną kontrolę nad ochroną danych osobowych sprawuje dedykowana jednostka publiczna. W Polsce będzie to Regulator Ochrony Danych Osobowych (RODO), który zastąpi obecnie funkcjonujące GIODO. Jednostka ta w przypadku wykrycia naruszeń może wykonać działanie w postaci:
- Ostrzeżenia,
- Oficjalnego upomnienia,
- Nakazu zawieszenia działań związanych z przetwarzaniem danych przez firmę,
- Kary finansowej – do 20 milionów EURO lub 40% rocznego obrotu firmy.
ISCG radzi: Warto już teraz zorientować się w wymaganiach RODO/GDPR i zacząć przygotowywać odpowiednie procedury wsparte szkoleniami i edukacją pracowników. ISCG łączy ekspercką wiedzę z zakresu ochrony danych krytycznych z wdrożeniami rozwiązań do zabezpieczenia krytycznej infrastruktury IT.
Jestem małą firmą. Co robić? Jak żyć? – ISCG rekomenduje:
- Chroń prawa i dane osób, które ci je powierzają,
- Zbuduj przejrzysty system informacji o źródłach danych, tego jak je przetwarzasz, jak długo je składujesz oraz kto ma do nich dostęp,
- Udostępnij możliwość aktualizacji, zmiany i całkowitego usunięcia danych na żądanie („prawo Robinsona” – prawo do bycia zapomnianym),
- Jeśli przetwarzasz dane z portali społecznościowych, szczególnie dotyczących danych dzieci, upewnij się, że są pełnoletnie lub posiadasz odpowiednią zgodę ich prawnych opiekunów na przetwarzanie danych wrażliwych,
- Informuj w przypadku wycieku danych oraz poważnych zagrożeniach
z tego wynikających, - Jeżeli używasz algorytmów profilowania, które wynikają z domeny twojej działalności (np. instytucja finansowa), musisz: informować o tym fakcie swoich klientów, sprawdzać dane w procesie odmowy weryfikacji danych najlepiej z drugą osobą, poinformować stronę ujawniającą dane
o możliwości wyrażenia sprzeciwu na ich przetwarzanie, - W przypadku systemów marketingowych udostępnij możliwość wypisania się ze wszelkich kanałów komunikacji w każdym momencie,
- Wdróż dodatkowe systemy i zabezpieczenia do ochrony danych szczególnie wrażliwych, tj.: informacje medyczne, narodowość, orientacja seksualna, wyznanie czy przekonania polityczne,
- Stwórz dokumentację oraz zastosuj odpowiednie przepisy prawne
w przypadku kiedy wysyłasz dane do krajów spoza Unii Europejskiej, - Jeśli przetwarzasz dane w imieniu firmy trzeciej upewnij się, że posiadasz umowę jasno precyzującą prawa i obowiązki każdej ze stron w zakresie obrotu danymi.
Źródło:http://ec.europa.eu/justice/smedataprotect/index_en.htm
Potrzebujesz wsparcia? Skorzystaj z bezpłatnej konsultacji z ekspertem ISCG i dowiedz się jak zwiększyć Twój komfort bezpieczeństwa.