Przepisy RODO rodzą setki cyfrowych wyzwań
2018-03-06 11:55
RODO rodzi setki cyfrowych wyzwań © maxsim - Fotolia.com
Przeczytaj także: RODO - tylko pół roku na wdrożenie
RODO zbliża się wielkimi krokami. Do pełnego wdrożenia unijnego Rozporządzenia o Ochronie Danych Osobowych (ang. GDPR) zostało nieco ponad 2,5 miesiąca. O nowych regulacjach napisano już bardzo wiele. Nie obyło się również bez straszenia przedsiębiorców pokaźnymi - bo sięgającymi nawet 4% rocznego globalnego obrotu - karami, które czekają ich za naruszenie przepisów. Jak jednak podkreślają eksperci, istotą zagrożeń dla biznesu są nie tyle same sankcje pieniężne, co ryzyko częstego łamania przepisów w efekcie złej organizacji firmowego IT.Na mocy nowych przepisów na barki przedsiębiorstw nałożony został m.in. obowiązek skrupulatnej ochrony informacji dotyczących pracowników i klientów. Wzmożonej ochronie i kontroli podlegać mają np. imiona i nazwiska, PESEL, adresy mailowe, numery telefoniczne lub IP, zdjęcia, transakcje czy CV, jak również dane geolokalizacyjne gromadzone np. w aplikacjach instalowanych w samochodach flotowych, urządzeniach nawigacyjnych czy telefonach oraz dane pozyskiwane w wyniku tzw. profilowania.
Jak tłumaczy Martyna Waluśkiewicz, radca prawny w SAP Polska, trudno dziś wyobrazić sobie firmę, która nie dysponuje choć częścią z nich - zwłaszcza w dobie lawinowego przyrostu danych cyfrowych. Skala zasięgu rozporządzenia jest więc ogromna. Co więcej, w świetle nowych przepisów to właśnie na firmach będzie ciążyć obowiązek wykazania, że nie naruszyły postanowień RODO.
- Tym, co łączy cały rynek, jest konieczność ugruntowania dojrzałej i konsekwentnej strategii zarządzania danymi osobowymi. Jak w praktyce RODO będzie przekładać się na codzienne życie firm? Literalnie traktowane przepisy mogą prowadzić do dużych trudności dla biznesu. Przykładem mogą być choćby CV. Jeśli wśród setek życiorysów kandydatów posiadanych przez firmę na dyskach, w jednym zabraknie klauzuli zgody na przetwarzanie danych, to niezależnie od tego czy właśnie ta osoba zostanie przez nas z sukcesem zatrudniona, będziemy mogli być posądzeni o złamanie przepisów. Czy jest to istotne ryzyko? W skali całej gospodarki być może nie, ale w skali pojedynczego przedsiębiorcy może okazać się ono istotne – mówi Martyna Waluśkiewicz.
fot. maxsim - Fotolia.com
RODO rodzi setki cyfrowych wyzwań
Bardzo ważnym czynnikiem w kontekście RODO będzie szybkość zarządzania treściami. Przepisy dają bowiem osobom fizycznym jeszcze większe prawa dostępu do danych na swój temat. W centralnym punkcie RODO są osobiste prawa osób, których dane dotyczą.
- Możemy wyobrazić sobie sytuację, w której klient telekomu będzie chciał dostać od niego informację, w jakich miejscach przetrzymywane są informacje na jego temat. I będzie miał do tego prawo, co zresztą nie jest nowością. Ten sam podmiot może jednak jako klient tej firmy zażądać, aby ta „zapomniała” jego dane. Prawo do bycia zapomnianym jest już czymś nowym w sensie prawnym. Kolejnym wypadkiem jest np. wyciek lub kradzież danych osobowych. Nowe regulacje dają firmie zaledwie 72 godziny na poinformowanie o takim przypadku. Dotyczy to zarówno wielkiej firmy FMCG zarządzającej danami milionów osób, atakowanej przez hakerów, jak i małego sklepu internetowego „gubiącego” dane przez błąd pracownika - dodaje Martyna Waluśkiewicz.
Prawnicy podkreślają, że RODO to impuls do budowy spójnych strategii zarządzania cyfrowymi danymi. Dlaczego są one tak ważne? Według badań PwC w 2017 roku 96% polskich średnich i dużych firm odnotowało ponad 50 cyberataków na swoje bazy danych. Bez odpowiednich zabezpieczeń i procedur biznes w najbliższych latach będzie więc narażony na coraz większą liczbę cyfrowych wycieków. Tymczasem według najnowszych badań Deloitte tylko 15% firm w regionie EMEA (Europa, Bliski Wschód, Afryka) szacuje, że będą działać w pełni zgodnie z wymaganiami nowych przepisów w dniu ich wejścia w życie.
- Już dziś nawykiem biznesu powinny być wewnętrzne kontrole i audyty bezpieczeństwa danych osobowych. Zarówno zaplanowane w stałych odstępach czasu, jak i doraźne. Rzeczywistość jednak pokazuje, że w wielu wypadkach tego nawyku nie ma. Bardzo ważną rolę odgrywa także podział ról w firmie i wyznaczenie konkretnych osób, odpowiedzialnych za zarządzanie danymi osobowymi. Kolejny element to hermetyczność danych w przedsiębiorstwie i zróżnicowanie dostępu różnych osób do posiadanych przez nas baz. Na przykład, inne uprawnienia będzie miał administrator systemu, inne główny księgowy, a inne specjalista ds. finansów odpowiedzialny tylko za obsługę płatności. O tym wszystkim trzeba myśleć już na etapie projektowania zmian – komentuje Martyna Waluśkiewicz.
Jak szacują eksperci SAP, na dogłębną analizę stanu baz danych i ich zgodności z przepisami przedsiębiorstwa powinny zarezerwować od 3 do 6 miesięcy. Równie długi czas może zajmować implementacja rozwiązań, które wyegzekwują wnioski z audytu – zwłaszcza technologicznych. Biorąc pod uwagę datę wejścia w życie RODO, dla firm przetwarzających dane osobowe ostatni dzwonek już mija. Obecnie dostępne oprogramowanie umożliwia jednak także szybkie zabezpieczenie firmy na okres przejściowy przed wdrożeniem kompleksowych rozwiązań. Biznes wciąż ma więc możliwości zareagowania na nową sytuację, choć będzie mu coraz trudniej zdążyć przed RODO.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)