Przechowujesz dane osobowe w swojej firmie? Lepiej przyjrzyj się nowym przepisom
Nowe regulacje Unii Europejskiej dotyczące przechowywania i przetwarzania danych osobowych spędzą w przyszłym roku sen z oczu niejednego szefa. Warto już teraz sprawdzić czym są regulacje GDPR i przygotować przedsiębiorstwo na wdrożenie ich postanowień w życie.
Rozporządzenie służące regulacji zasad oraz konsekwencji nieprzestrzegania reguł przechowywania i przetwarzania danych osobowych wejdzie w życie 25 maja 2018 roku. Na dostosowanie organizacji do nowych wymogów Unii Europejskiej pozostał tylko nieco ponad rok i warto już teraz przyjrzeć się sprawie i nie odkładać tego na ostatnią chwilę.
Jak na razie firmy niezbyt ochoczo podchodzą do sprawy.
Organizacje w większości wypadków nie spełniają wymogów GDPR, czyli General Data Protection Regulation. Zakładają one ujednolicenie przepisów dotyczących ochrony danych osobowych na terenie całej Unii Eurpejskiej. To problem dla firm, które do tej pory nie przykładały do tej kwestii większej wagi.
Na rok przed wejściem w życie nowych regulacji zaledwie 3 na 100 firm działających na rynkach unijnych przygotowała się na nadchodzące zmiany. Przed całą resztą jeszcze sporo pracy, by uniknąć potężnych kar finansowych jakie grożą za niedostosowanie się do nowych przepisów.
Zasady GDPR:
- firmy muszą przedstawić zasady polityki ochrony prywatności oraz opisać je przejrzystym i zrozumiałym językiem;
- firmy i instytucje muszą posiadać wyraźną zgodę na zbieranie wszystkich danych, które gromadzą, a administratorzy danych muszą być w stanie wykazać istnienie takiej zgody, która może być w każdej chwili wycofana;
- podmioty zatrudniające powyżej 250 pracowników muszą powołać inspektora ochrony danych;
- użytkownicy uzyskają prawo do informacji, kiedy ich dane dostały się w niepowołane ręce;
- użytkownicy muszą mieć prawo do bycia zapomnianym (klient może zgłosić się do danej instytucji z prośbą o usunięcie wszystkich informacji, które go dotyczą);
- użytkownicy muszą mieć prawo do przeniesienia swoich danych do innego usługodawcy.
Celem GDPR jest nakłonienie administratorów danych osobowych do zbierania wyłącznie niezbędnych informacji na temat użytkowników, a nie wszystkich jakie kiedykolwiek mogą się przydać. Nowe przepisy mają też stworzyć mechanizm łatwego usuwania tych danych na żądanie osoby, których dotyczą.
Warto zdawać sobie sprawę, że w myśl nowych regulacji kolejne dane będzie można uznać za osobowe, a tym samym podlegające ochronie. Nie są to wyłącznie np. imię i nazwisko i numery PESEL czy NIP, ale mogą to być również adresy IP i identyfikatory zawarte w plikach cookies.
Cios w bankowość i ubezpieczalnie?
GDPR będzie wymagało od firm takiego przetwarzania danych, by profilowanie klientów nie wpływało negatywnie na ich dostęp do usług. To może wywrócić do góry sposób prowadzenia biznesu przez niektóre branże oferujące klientom różne usługi np. finansowe w zależności od tego, jak oceni ich system informatyczny.
Konsumenci mogą w zgodzie z nowymi przepisami liczyć na równe traktowanie przez towarzystwa ubezpieczeniowe, które nie będą mogły dostosowywać oferty wyłącznie na podstawie przesłanek o tym, że ich klient jest chory. Nie będą mogły też profilować klientów na podstawie danych pozyskanych z social media.
Z perspektywy odbiorców usług to świetna wiadomość.
Daje im to narzędzie do zarządzania danymi zbieranymi przez korporacje, a w wypadku np. naruszenia przez nie zaufania - proste odebranie im tego prawa. W tym celu przedsiębiorstwa muszą wdrożyć nowe mechanizmy, które pozwolą zrealizować żądanie każdej osoby z bazy.
Kluczowe jest tutaj informowanie użytkowników o możliwości wykradzenia ich danych osobowych. Firma musi mieć techniczne możliwości, by przesłać wiadomość o tym do wszystkich zainteresowanych w przeciągu 72 godzin od wykrycia takiego zdarzenia. W przeciwnym razie przewidziane zostały konsekwencje.
Kara jest naprawdę dotkliwa i może wynieść 20 mln Euro lub 4 proc. globalnych rocznych przychodów i nie będą brane pod uwagę żadne okoliczności łagodzące.
To nie są pieniądze, na których utratę firmy mogą sobie beztrosko pozwolić. Mimo to 97 na 100 firm nadal nie przygotowało się na wejście w życie przepisów zakładających tak surowe kary. Przede wszystkim uwagę na to powinny zwrócić firmy przetwarzające dane w modelu big data, które zbierają przepastne archiwa danych.
Za nieco ponad rok wszystkie dane identyfikacyjne muszę być zbierane z poszanowaniem nowego prawa. Ograniczy to korporacjom możliwość zbierania dodatkowych danych, jeśli nie są one potrzebne do prowadzenia dalszej działalności. Większe możliwości będą miały firmy, które zdecydują się na wykorzystanie szyfrowania.
Co muszą zrobić firmy, aby przygotować się na nowe przepisy?
Pierwszym krokiem do upewnienia się, że polityka przedsiębiorstwa spełnia założenia GDPR, jest uporządkowanie zebranych informacji i sprawdzenie, które z nich są danymi osobowymi podlegającymi ochronie. Trzeba sprawdzić, jak i gdzie te dane są przechowywane, kto ma do nich dostęp itp.
To może być problematyczne dla firm, które nie przechowują ich w łatwej w zarządzaniu bazie danych. Konieczne może być wdrożenie zupełnie nowego systemu zarządzania danymi, który je nie tylko uporządkuje, ale nada też odpowiednie uprawnienia osobom mającym dostęp do systemu. Przykładem rozwiązania jest system oferowany przez SAS Polska.
Nowe regulacje pomogą międzynarodowym korporacjom, które mogą zyskać na ujednoliceniu przepisów.
Dzięki temu firmy działające na terenie całej Unii Europejskiej będą mogły stosować takie same procedury w każdym z krajów wspólnoty. Wszystkie pozostałe przedsiębiorstwa, w tym firmy krajowe, będą musiały poświęcić czas i środki na to, by przechowywać i zarządzać danymi osobowymi zgodnie z prawem.
W większych firmach konieczne będzie też zatrudnienie osoby na stanowisku inspektora danych osobowych. Taka osoba będzie miała za zadanie dbać o to, by dane były przechowywane w należyty sposób. W ich kompetencji będzie leżało to, by firma spełniała wymogi GDPR.
Zagadnienia związane z nowymi regulacjami Unii Europejskiej ws. zarządzaniami danymi osobowymi zostały poruszone podczas konferencji SAS Data Management Roadshow 2017, która odbyła się 9 marca 2017 roku w warszawskim SAS Innovation Hub.