Go to Top

Ochrona danych osobowych po nowemu

GDPR

Unia Europejska przygotowała znaczące aktualizacje przepisów o ochronie danych osobowych, które zaczną obowiązywać już od 25 maja 2018 r. GPDR, czyli General Data Protection Regulation to nowe rozporządzenie Unii Europejskiej dotyczące ochrony danych osobowych. Przedsiebiorstwa nie powinny zwlekać z aktualizacją własnej polityki z zakresu ochrony danych osobowych!

Dlaczego o tym mówimy?

  • Polska należy do Unii Europejskiej i jest zobowiązana do stosowania prawa UE (nowa ta stanie się standardem dla wszystkich państw europejskich, a jej implementacja do prawa krajowego nie będzie wymagana).
  • Nowe przepisy dotyczą wszystkich firm i organizacji, które oferują swoje produkty i usługi na terenie Unii Europejskiej oraz jej obywatelom, monitorują ich zachowania oraz przetwarzają ich dane osobowe.

W związku z powyższym, przedsiębiorstwa działające na terenie naszego kraju będą musiały zwrócić szczególną uwagę na GDPR i odpowiednio się przygotować na nadchodzące zmiany. Niezależnie od polityki, ustawodawstwo dotyczące ochrony danych osobowych wymaga uwagi i powinno znaleźć odzwierciedlenie w rzeczywistości opartej na danych.

Nowoczesne przedsiębiorstwa i organizacje zbierają i analizują dane osobowe, które klienci powierzają im na przykład podczas robienia zakupów online czy zapisywaniu się do newsletterów, przez co stale muszą troszczyć się o zapewnienie bezpieczeństwa poufnych danych. Kluczowym elementem ochrony danych jest zapewnienie im bezpieczeństwa, a w przypadku, gdy nie są już one potrzebne, usuwania ich w bezpieczny i trwały sposób. Aby skutecznie wprowadzić zmiany wymagane przez GDPR, firmy powinny skupić się na wdrożeniu i utrzymaniu procesu aktualizacji i kasowania danych, stosując je w swoim codziennym funkcjonowaniu.

Co niesie za sobą GDPR?

GDPR wymaga od organizacji minimalizacji ilości danych, by przetwarzane były tylko te dane osobowe, które są niezbędne. Jest to o wiele bardziej uciążliwy wymóg niż obecnie obowiązujący (zgodnie z ustawą z 1997 roku). GDPR ustanawia także zasadę „prawa do bycia zapomnianym”. Oznacza to, iż firmy muszą wdrożyć procedury mające na celu szybkie i bezpieczne usuwanie danych w przypadku, kiedy dane są już potrzebne do wykorzystania w pierwotnym celu bądź nie zachodzą przesłanki ku temu, by były nadal przechowywane i przetwarzane. Niezależnie od tego, gdzie dane się znajdują – na komputerach, serwerach bądź w chmurze – bezpieczne i całkowite usuwanie danych musi być częścią procesu ochrony danych. Co ważne, nowe regulacje zakładają także nakładanie sporych grzywien związanych z niestosowaniem się do przepisów, które mogą sięgać nawet 4% globalnych przychodów firmy lub 20 mln euro. Dla wielu przedsiębiorstw takie kary mogą okazać się przysłowiowym gwoździem do trumny.

7 rad od Kroll Ontrack

  1. Nie czekaj do ostatniej chwili.

    GDPR zakłada znaczące aktualizacje przepisów o ochronie danych osobowych, ponieważ obecnie obowiązująca dyrektywa UE o ochronie danych osobowych została przyjęta w 1995 roku (po 23 latach zostanie zastąpiona przez GDPR). Przygotowanie do GDPR będzie wymagało czasu i zasobów do wdrożenia nowych procesów, więc warto już teraz rozpocząć proces zmian.

  2. Zaangażuj odpowiednich ludzi.

    Oceń, kto będzie właściwy do badania, wdrożenia i utrzymania nowego procesu zapewnienia bezpieczeństwa i ochrony danych. Zespół często będzie musiał współpracować i konsultować się z działem IT, HR oraz działem prawnym. Jeżeli działania zostaną podjęte szybko, wszystkie zainteresowane i kluczowe strony będą świadome zmian i będą mogły w lepszy sposób zrozumieć wpływ i sens nowych przepisów.

  3. Zweryfikuj przechowywane dane

    Prześledź jakie dane, gdzie, w jaki sposób i za pomocą jakich systemów gromadzisz. Powinieneś zaplanować przeprowadzenie kontroli przechowywanych danych. Czy wiesz, jakie dane i gdzie przechowujesz?

  4. Pozbądź się niepotrzebnych danych.

    Przechowuj tylko niezbędne i istotne dla firmy dane (Zobacz: “Bug Data”? Pierwsze słyszę!“). Przechowywanie przeterminowanych danych może okazać się bardzo kosztowne. Proces usuwania danych powinien być wykonywany profesjonalnie, co wymaga specjalistycznego sprzętu lub oprogramowania.

  5. Komunikuj o zmianach.

    Jak w przypadku każdej zmiany zachodzącej w firmie, odpowiednia komunikacja jest niezbędna. Będzie to wymagało właściwego i bieżącego informowania pracowników oraz dostawców, by uświadomić im proces zmian i zapewnić odpowiedni czas na dostosowanie się do nowych regulacji.

  6. Zrozum nowe przepisy.

    Nowe regulacje będą wymagać ulepszonych procesów usuwania danych. Wyciek danych będzie skutkował nałożeniem surowych kar. W większości przypadków wymagane dane będą musiały zostać dostarczone w terminie do miesiąca od daty złożenia wniosku o ich udostępnienie. W tym miejscu rozważ także podjęcie następujących działań: wyjaśnij klientom, jak będą przechowywane ich dane osobowe i jakie mają w związku z tym prawa (np. prawo do wycofania zgody na przetwarzanie danych osobowych); upewnij się, że dysponujesz odpowiednią dokumentacją na prawidłowe usunięcie danych klienta.

  7. Oceń wpływ na prywatność.

    Podczas kontroli procesu przetwarzania danych osobowych określ, czy wymagana jest ocena wpływu na prywatność. Zastanów się, czy stosujesz inwazyjne metody zbierania danych osobowych oraz czy dane są przetwarzane rzetelnie i zgodnie z prawem, a osoby, od których te dane pochodzą, zostały poinformowane w przejrzysty sposób o celu i sposobie wykorzystywania danych przez firmę.

Choć wiele firm może uznać nowe przepisy za zbyt wymagające, to w ich aktualizacji powinny zobaczyć szansę na wdrożenie nowej polityki bezpieczeństwa i odnowę pewnych przestarzałych już standardów. Aktualizacja przepisów o ochronie danych osobowych jest bez wątpienia bardzo potrzebna, biorąc pod uwagę zwłaszcza nasilające się ataki cyberprzestępców.

, , , , ,

One Response to "Ochrona danych osobowych po nowemu"

  • Zarządzanie kasowaniem danych z HostedErase
    10 marca 2017 - 12:49 Reply

    […] danych zostały zaostrzone wraz z wprowadzeniem europejskich zasad ochrony danych osobowych (EU GDPR), które zostały wdrożone na początku 2016 roku i staną się obowiązkowe we wszystkich […]

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *