Streszczenie: Polskie firmy borykają się z trudnościami w dostosowywaniu swoich procedur cyberbezpieczeństwa do wymagań nowego rozporządzenia GDPR, które wejdzie w życie w maju 2018 roku. Większość przedsiębiorstw nie jest świadoma nadchodzących zmian, co może prowadzić do poważnych konsekwencji prawnych. Nowe przepisy nakładają obowiązek stosowania odpowiednich zabezpieczeń technologicznych, przejrzystości w kwestii bezpieczeństwa danych oraz umożliwienia obywatelom prawa do bycia zapomnianym i przenoszenia danych między podmiotami. Pomimo tego, że przygotowanie do wdrożenia GDPR wymaga dużych inwestycji, polskie firmy nadal nie są wystarczająco przygotowane, a połowa z nich nie ma odpowiednich procedur ani technologii w tej kwestii.
Ogólne rozporządzenie o ochronie danych osobowych wchodzi w życie 25 maja 2018 roku. Będzie ono oznaczało dla polskich firm konieczność weryfikacji i dostosowania wewnętrznych procedur cyberbezpieczeństwa do nowych wymogów pod groźbą wysokich kar. Tymczasem, jak wynika z badania przeprowadzonego przez Trend Micro i VMware, mniej niż połowa przedsiębiorców jest świadoma zmieniającego się prawa.
W grudniu 2015 roku Unia Europejska uzgodniła treść nowego rozporządzenia, które ma chronić dane swoich obywateli. Mowa o GDPR (General Data Protection Regulation), które zacznie obowiązywać już w maju przyszłgo roku. Rozporządzenie będzie dotyczyć wszelkich przedsiębiorstw i instytucji przetwarzających lub gromadzących dane osobowe osób przebywających w krajach UE. Zmianie ulegną zasady rejestrowania, przechowywania, przetwarzania i udostępniania danych wszystkich osób fizycznych. Co się zmieni?
Dotychczasowe podejście polegało na stosowaniu określonych procedur w przetwarzaniu informacji osobowych w celu uświadomienia obywatelom samego faktu ich zbierania. – mówi Michał Jarski, Regional Director CEE w firmie Trend Micro. Obecne rozporządzenie skupia się na problemie jawności bezpieczeństwa zbioru danych – każdy przypadek naruszenia bezpieczeństwa, wyciek lub modyfikacja musi być ujawniany klientom firmy, a odpowiednie organa powiadamiane o fakcie włamania. Ma to ukrócić dotychczasową praktykę ukrywania faktów naruszeń bezpieczeństwa przed opinią publiczną, co powodowało powszechne ignorowanie tego problemu jako rzekomo mało istotnego i niewymagającego jakichkolwiek inwestycji. Dlatego kolejną nowością wprowadzaną przez GDPR jest konieczność zastosowania adekwatnych zabezpieczeń technologicznych. Nie są przy tym wskazywane konkretne technologie, ale stawiany jest wymóg odpowiedniej jakości owych zabezpieczeń. Świadczy to o strategicznym podejściu UE, które ma zachęcić firmy do tego, aby myślały o bezpieczeństwie w bardziej kompleksowy sposób.
GDPR przyznaje także osobom fizycznym prawo do bycia zapomnianym – obywatele UE będę mogli wnioskować o usunięcie swoich danych. Zyskują oni także prawo do otrzymywania powiadomień o wycieku informacji na ich temat, a także przenoszeniu ich pomiędzy podmiotami. Od 25 maja 2018 roku będą więc mieć łatwiejszy dostęp do danych oraz szerszy nadzór nad sposobem ich przetwarzania.
Dostosowanie się do nowego prawa będzie wymagało od organizacji dużych inwestycji w nową technologię, zmiany procedur, a także szkoleń dla pracowników. Prawdziwym wyzwaniem może być nadzór nad informacjami — zwłaszcza nieusystematyzowanymi danymi rozproszonymi na wielu różnych platformach. W tej sytuacji konieczne jest uświadomienie przedsiębiorcom skutków wprowadzenia nowych przepisów, ponieważ polskie firmy nie zdają sobie sprawy z wynikających z tego daleko idących zmian i nie są na nie gotowe.
Z badań przeprowadzonych przez Trend Micro oraz VMware we współpracy z agencją badawczą ARC Rynek i Opinia wśród polskich przedsiębiorców wiemy, że ponad połowa (52%) firm nigdy nie słyszała o GDPR, natomiast aż dwie trzecie (67%) z nich nie zdaje sobie sprawy z tego, ile czasu pozostało na wdrożenie rozporządzenia. Jednocześnie aż połowa ankietowanych firm (50%) nie dysponuje procedurami i technologiami zapewniającymi konsumentowi prawo do bycia zapomnianym. Ponadto, aż 42% organizacji nie ma wdrożonych żadnych procedur informowania organu ochrony danych o zaistniałych naruszeniach. Są one niezbędne do tego, aby realizować założenia nowego prawa, które obliguje firmy do zgłoszenia incydentu w ciągu maksymalnie 72 godzin od jego wystąpienia.
Stawka jest wysoka, bowiem GDPR zakłada bardzo wysokie kary za niedostosowanie się do nowych procedur – nawet do 4% rocznych obrotów. Jak się okazuje, wśród ogółu respondentów przeważa niski stopień wiedzy na temat możliwych kar za nieprzestrzeganie przepisów rozporządzenia — łącznie około dwie trzecie z nich nie wie, czy jakiekolwiek kary będą istnieć, bądź nie jest w stanie określić, jaki będzie ich wymiar. Jedynie 11% badanych wskazało prawidłowo, że będzie to kara do 4% rocznego obrotu przedsiębiorstwa. Co ważne, istotnie większym poziomem wiedzy w tym zakresie wykazali się pracownicy dużych firm zatrudniających powyżej 250 pracowników.
Zachowanie zgodności z nowym prawem nie podlega dyskusji i to w interesie organizacji leży dołożenie wszelkich starań, aby ostrożnie i z rozmysłem zaplanować wszystkie kroki mające zapewnić pełne przestrzeganie zasad zawartych w rozporządzeniu. Szkolenia są tu nieodzowne – mówi Paweł Korzec, Regional Presales Manager, Eastern Europe w firmie VMware.
Rozporządzenie ma dotyczyć również dostawców i sprzedawców mających siedzibę poza Europą, którzy dostarczają towary i usługi osobom przebywającym na terenie Unii Europejskiej oraz przetwarzają lub przechowują ich dane osobowe.
Ten tekst jest częścią projektu How to do IT. To twój sprawdzony przewodnik po cyfrowej transformacji i technologiach dla biznesu. Zapisz się na newsletter projektu!
