10/05/2017

Co każda firma powinna wiedzieć na temat GDPR

Business Informacje Porady

Ilość danych osobowych, które wyciekły w firmach zajmujących się ich przechowywaniem lub przetwarzaniem, rośnie od kilku lat w sposób alarmujący. Rekordowy wyciek w 2016 roku w firmie Yahoo (szacuje się, że wykradziono wtedy ponad pół miliarda rekordów) wydawał się trudny do przełknięcia, a był to tylko jeden incydent. Tymczasem w tym roku znanej firmie zajmującej się wysyłaniem spamu na zlecenie, River City Media, wykradziono 1,37 miliarda adresów e-mail oraz innych informacji osobowych.

Z uwagi na to, że pojedynczy wyciek może potencjalnie dotknąć setki milionów osób, a bezpieczeństwo danych osobowych to gorący temat w wielu krajach na całym świecie, kwestia ich prywatności i bezpieczeństwa zwróciła uwagę polityków.

W efekcie organy rządowe zaczynają podejmować stosowne działania. Na przykład w ciągu najbliższych 12 miesięcy firmy, które pracują w obrębie Unii Europejskiej, będą musiały dostosować się do nowych zasad związanych z prywatnością — General Data Protection Regulation (GDPR). Celem zmian jest ujednolicenie reguł ochrony danych w całej Europie i określenie zasad przestrzegania przepisów związanych z ich przesyłaniem w obrębie Unii Europejskiej oraz między jej członkami i ich partnerami na całym świecie. Zasadniczo chodzi o ulepszenie przechowywania danych osobowych i zapobieganie ich nadużywania.

Oto zarys inicjatywy.

Jak będą wyglądać nowe zasady GDPR?

Po pierwsze, GDPR doprecyzowuje niejasną definicję informacji osobowych wg rozporządzenia Unii Europejskiej („wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”) i rozszerza jej znaczenie. Zgodnie ze zmianami, które zaczną obowiązywać w przyszłym roku, za dane osobowe będą uważane takie dane jak adres IP, informacje związane z tożsamością genetyczną, umysłową, ekonomiczną, kulturową i społeczną. Oprócz tego w definicji tej mieścić się będą przezwiska lub pseudonimy, które w wielu przypadkach umożliwiają skojarzenie z daną osobą w organizacji, jak również imiona klientów, ich numery telefonów i adresy, rejestr dostawców i personelu.

Po drugie, GDPR doprecyzowuje sposoby zwiększenia przezroczystości kontroli i zarządzania danymi: od użytkowników będzie wymagana konkretniejsza zgoda i będą oni mogli ją wycofać. Ponadto użytkownicy będą mogli uzyskiwać informacje na temat tego, jak, gdzie i w jakich celach ich dane osobowe są przetwarzane. Będą także mogli żądać wszystkich swoich danych osobowych od organizacji, które je wykorzystują, i będą mieć prawo żądać ich usunięcia z serwerów organizacji.

Poza tym proces przetwarzania danych musi rozpoczynać się od początku, czyli już na etapie projektowania nowych systemów (ang. „privacy by design”). Co więcej, organizacje, które głównie zajmują się przetwarzaniem dużych zbiorów danych osobowych, będą musiały zatrudnić inspektora odpowiedzialnego za ochronę danych. Działania te mają na celu zmniejszenie prawdopodobieństwa wycieku danych, jednak w przypadku jego wystąpienia organizacje będą miały obowiązek zgłosić incydent w ciągu 72 godzin po uzyskaniu takiej wiedzy przed administratorów danych.

Firmy, które nie spełnią niniejszych regulacji, będą ponosić surowe kary finansowe — nawet do 4% rocznych przychodów na poziomie globalnym lub do 20 milionów euro (w zależności od tego, która kwota będzie większa). Powtórzę: roczny przychód globalny. W przypadku firm działających globalnie, które jednak nie mają fizycznych oddziałów w Europie, regulacje te obejmują wszystkie dane osobowe należące do obywateli tego kontynentu, które niniejsze organizacje kontrolują i którymi zarządzają — bez względu na to, czy przetwarzanie odbywa się na terenie Unii, czy poza nią.

W kolejnych miesiącach będziemy wyjaśniać, w jaki sposób GDPR dotknie różne obszary firmy: IT, kadry, sprzedaż, marketing, dział prawny, finansowy i księgowość. Jesteśmy tu po to, aby przygotować Cię na ten proces.