GDPR, to opracowane przez Komisję, Radę i Parlament Europejski zapisy, ubrane w enigmatyczny skrót z języka angielskiego General Data Protection Regulation. GDPR wejdzie w życie już w maju 2018 r. Nowe prawo będzie dotyczyło wszystkich przedsiębiorców. Jego zapisy są zawiłe, a rygorystyczne kary o których się coraz częściej słyszy – nie są mitem, a drastycznym faktem.

http://gdpr.pl/interaktywny-tekst-gdpr

Jaki przekaz niesie za sobą to Rozporządzenie?

Przede wszystkim ma ono na celu ujednolicenie i modernizację obowiązujących już praw dotyczących prywatności w wirtualnym świecie i ochrony danych osób fizycznych mieszkających na terenie całej Unii Europejskiej. Ukazując w jaki sposób 28 dotychczasowych regulacji poszczególnych państw UE, z dyrektywy z 1995r. wchodziło w życie, można zauważyć, że proces wdrożenia każdej nowelizacji odbywa się w nieusystematyzowany sposób. Unifikacja tych regulacji jest nastawiona na obsługiwanie mieszkańców Unii Europejskiej przez firmy i organizacje w uproszczony sposób.

Nowe przepisy dotyczyć będą wszystkich przedsiębiorców, bez względu na wielkość prowadzonej przez nich działalności. Świadomość nadejścia i wprowadzenia zmian w każdej organizacji, a nawet małej firmie jest więc bardzo ważna. Brak proaktywnych działań przed obowiązywaniem RODO, przyniesie wielu firmom duże straty. Zarówno te finansowe, narzucone przez GIODO, jak i te dotyczące postrzegania danej organizacji na rynku – PR.

Nie każda organizacja jest chętna do codziennego narażania się na możliwość nałożenia kar przez GIODO. Do tej pory kary administracyjne były nakładane dopiero po niedotrzymaniu terminu, czasu wyznaczonego na uszczelnienie luk w ochronie danych osobowych. System kar ujęty w rozporządzeniu RODO został znacząco rozbudowany:

Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (…)”

Czy to już rewolucja?

Nadchodzące zmiany to odpowiedź na coraz większe, rzeczywiste problemy dotyczące ochrony danych osobowych w dzisiejszym świecie. Cyberprzestępczość, cyberterroryzm –to populistyczne i bardzo medialne zagadnienia. Użytkownik końcowy oraz ochrona danych personalnych są w tym wszystkim najważniejsze. W dzisiejszym świecie – czyli rzeczywistości, w której nieustanna wymiana danych na portalach społecznościowych jest codziennością, a o chmurze słyszy się w kategoriach standardu przy nowych technologiach. IoT – przestaje być kolejnym enigmatycznym skrótem, a staje się rzeczywistością.

Dane osobowe, które wszyscy nieustannie przetwarzamy w coraz większych ilościach, zawsze zostawiają po sobie ślad w wirtualnym świecie. Nie można o tym zapominać.

Dla jednych udostępnienie kilku informacji na swój prywatny temat – jest problemem, inni robią to nieustannie. Ludzie dążą do rozpoznawalności w wirtualnym świecie choć nie wiedzą, że niesie to za sobą również negatywne skutki.

Przykładem czarnego PR i problemów, które wynikają ze złego zabezpieczenia danych jest Samodzielny Publiczny Zakład Opieki Zdrowotnej w Kole. Ostatni głośny wyciek bazy danych obejmował 50 tys. pacjentów (imiona, nazwiska, numery PESEL, numery ubezpieczeń, informacje o grupach krwi, a nawet rejestr chorób zakaźnych dzieci).

Media ochoczo opisują takie precedensy, a PR takiej placówki zostaje zmieszany z błotem. Szukanie i dochodzenie kto zawinił będą się ciągnąć w nieskończoność. W wycieku danych prócz informacji prywatnych pacjentów, nie zabrakło danych pracowników takich jak numery kont bankowych przypisane do wynagrodzenia, zawartość poczty czy podejrzane kopie pirackich programów i aplikacji przystosowanych do „kopania” krypto walut.

Czy jest to spowodowane niedopatrzeniem ze strony pracowników? A może, zaniedbaniem wynikającym ze zmian w infrastrukturze? Brak odpowiednich zabezpieczeń sprzętowych? Brak reguł i polityk bezpieczeństwa? Co było powodem? Nieistotne.

GDPR, ma służyć ujednoliceniu podejścia do ochrony danych osobowych i zwiększeniu ogólnej świadomości przedsiębiorców na wrażliwe i dyskusyjne problemy jak przykład ZOZ w Kole.

Ministerstwo Cyfryzacji zapowiadało przedstawienie do końca 2016 roku dokumentu kierunkowego dotyczącego wdrożenia w Polsce Ogólnego Rozporządzenia o Ochronie Danych Osobowych (General Data Protection Regulation). Jednak nowa Ustawa o ochronie danych – oraz niezbędne zmiany w wielu innych ustawach i aktach wykonawczych do niej – planowane są dopiero na drugą połowę 2017 roku. Finalnie, firmy nie będą miały wiele czasu na dostosowanie się do nowych wymogów.

Warto skorzystać ze specjalistycznej wiedzy i porad prawnych dotyczących właściwego zabezpieczenia danych osobowych przetwarzanych przez dane przedsiębiorstwo czy organizację.
Przedsięwzięcia dotyczące zmian organizacyjnych ochrony i przetwarzania danych wyznacza w dużej mierze strona techniczna, ochrona serwerów, systemów poczty, systemów archiwizacyjnych, kopii zapasowych, umów i zgód kontrahentów i klientów, których dane są przetwarzane.