Przedsiębiorcy muszą się dostosować do unijnych przepisów o ochronie danych osobowych. W przeciwnym razie czekają ich spore kary finansowe

W połowie 2018 roku zacznie obowiązywać Ogólne rozporządzenie o ochronie danych osobowych (GDPR). Unijne prawo wprowadza narzędzia, które mają zwiększyć kontrolę osób fizycznych nad ich danymi osobowymi. Z drugiej strony nakłada szereg wymogów na firmy i podmioty, które gromadzą, przetwarzają i udostępniają dane. Firmy, które nie wdrożą nowych przepisów, czekają kary finansowe.

Resort cyfryzacji szacuje, że 90 proc. dostępnych dzisiaj danych zostało wygenerowanych w ostatnich dwóch latach. Ich ilość na świecie będzie wzrastać w tempie 40 proc. rocznie.

– Obecnie zagłębiamy się w technologie powiązane ze swobodnym przepływem danych takie jak cloud i big data. W oparciu o te elementy będziemy chcieli budować nowoczesne usługi administracyjne. Nad tym obecnie aktywnie pracujemy w ministerstwie – mówi agencji Newseria Biznes Krzysztof Szubert, Doradca Strategiczny Ministra Cyfryzacji.

Rosnąca ilość danych to dla firm i instytucji nie tylko szansa, lecz także duże wyzwanie w związku z bezpieczeństwem tych informacji. Tym bardziej że przepisy w tym zakresie stają się coraz bardziej rygorystyczne.

– Przepisy ogólnego rozporządzenia o ochronie danych osobowych będą sporą rewolucją. Ciężar odpowiedzialności za dane osobowe zostaje nałożony na administratora, czyli firmę, fundację czy stowarzyszenie, które te dane gromadzi, przetwarza i udostępnia. Przedsiębiorcy będą musieli wprowadzić rozwiązania organizacyjne i techniczne służące bezpiecznemu przetwarzaniu tych danych. Co więcej, będą musieli udowodnić, że zastosowali odpowiednie środki, które służą ochronie praw konsumentów zagwarantowanych w rozporządzeniu. To duże wyzwanie – mówi Paweł Makowski, zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej z Biura Generalnego Inspektora Ochrony Danych Osobowych.

Ogólne rozporządzenie o ochronie danych osobowych to nowe unijne prawo, które zostało przyjęte w tym roku i zacznie obowiązywać 25 maja 2018 roku. Nowelizacja ma na celu ujednolicenie przepisów o ochronie danych osobowych we wszystkich państwach członkowskich UE i nakłada szereg nowych wymogów na wszystkie podmioty, które zbierają i przetwarzają dane osobowe.

Jednym z celów rozporządzenia jest zwiększenie kontroli osób fizycznych nad ich danymi osobowymi. Dlatego nowe prawo nadaje konsumentom szereg uprawnień, m.in. prawo do informacji na temat tego, w jaki sposób wykorzystywane są ich dane, oraz tzw. prawo do bycia zapomnianym, które przewiduje, że każdy będzie mógł wnioskować o usunięcie jego danych osobowych z systemów informatycznych.

– Rozporządzenie gwarantuje dużo większy zasób praw dla osób, których one dotyczą. Będziemy mieli prawo do uzyskania informacji na temat tego, jak nasze dane osobowe są przetwarzane przez konkretny podmiot. Zostało również wprowadzone prawo do bycia zapomnianym, co oznacza, że będziemy mogli wnioskować o usunięcie swoich danych osobowych przez administratora. To niesłychanie istotne, ponieważ pojawiły się narzędzia służące temu, abyśmy mogli lepiej egzekwować swoje prawa wobec podmiotów, które przetwarzają nasze dane osobowe – mówi Paweł Makowski.

Nowe przepisy nakładają duże wymogi na przedsiębiorców, którzy będą musieli m.in. zadbać o ochronę danych osobowych już na etapie projektowania systemów informatycznych, każdorazowo uzyskiwać zgodę klienta na przetwarzanie jego danych i rejestrować takie operacje. Administratorzy będą również musieli obowiązkowo zgłaszać każdy incydent polegający na naruszeniu przepisów o ochronie danych osobowych.

Michał Jaworski, członek zarządu Microsoft, podkreśla, że przedsiębiorcy powinni wykorzystać okres przejściowy przed wprowadzeniem nowych przepisów na szkolenia i opracowanie szczegółowego planu, który pozwoli się dostosować do wymogów rozporządzenia.

– Już teraz firmy muszą zdefiniować krytyczne obszary, które będą wymagały zmian. Z pewnością będzie to marketing, komunikacja z klientami oraz przede wszystkim współpraca pomiędzy działem prawnym a IT. Dokładna analiza systemów firmy pokaże, co trzeba będzie zmienić, ale musi być wykonana przez zgodny zespół prawników i informatyków. Nowe wymagania będą musiały spełnić wszystkie systemy, a rozwiązania chmurowe z mechanizmami udostępnionymi przez dostawców mogą proces dostosowania przyspieszyć i ułatwić – podkreśla Michał Jaworski.

Przedsiębiorcom, którzy nie dostosują się do wymogów rozporządzenia, będą grozić wysokie kary finansowe. Egzekwowaniem nowych przepisów zajmie się Biuro Generalnego Inspektora Ochrony Danych Osobowych, które zostało wyposażone w nowe kompetencje.

– Będziemy stać na straży procesów przetwarzania danych i w tym celu dostaliśmy szereg nowych narzędzi, dzięki którym możemy robić to skutecznie. Mamy możliwość nakładania wysokich kar finansowych, których górny próg sięga 20 mln euro lub 4 proc. światowego obrotu firmy, co może budzić lekki niepokój. Dojdzie do tego wyłącznie w tych sytuacjach, w których wnikliwa analiza wykaże rażące naruszenie przepisów. Niemniej jednak przedsiębiorcy muszą być świadomi, że jeżeli nie zadbają należycie o nasze dane osobowe, to możemy ich za ten brak należytej staranności ukarać karą finansową – przestrzega Paweł Makowski.

Wymogi w zakresie przetwarzania i gromadzenia danych stawiane przez rozporządzenie i bezpieczeństwo danych w chmurze to jedne z głównych tematów podczas konferencji Trusted Cloud Day 2016, która odbyła się 16 listopada w Warszawie.