GDPR – nieuchronna rewolucja w ochronie danych osobowych

Już za kilkanaście miesięcy (25 maja 2018 r.) wchodzi życie unijna regulacja GDPR dotycząca ochrony danych osobowych. Rozporządzenie GDPR zawiera przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy regulujące swobodny ich przepływ. Rozporządzenie GDPR nakłada obowiązek zapewnienia wysokiego poziomu ochrony i bezpieczeństwa oraz reguluje dostęp do danych osobowych.

Nazwa rozporządzenia stanowi akronim angielskich słów „The General Data Protection Regulation”. Jego nadrzędnym celem jest harmonizacja prawa materialnego w ramach wszystkich krajów UE. Z chwilą wejścia w życie rozporządzenia, nowe prawo zacznie obowiązywać równocześnie we wszystkich krajach Unii Europejskiej. GDPR wchodzi do porządku prawnego bezpośrednio, tj. bez potrzeby wydawania dodatkowych aktów prawnych implementujących je do prawa krajowego.

gdpr

GDPR – zasady ogólne:

Dane muszą być przetwarzane z zapewnieniem wysokiego poziomu bezpieczeństwa, w tym ochroną przed nieautoryzowanym lub bezprawnym dostępem, przypadkową utratą oraz zniszczeniem. Obowiązywać będą następujące zasady:

  • zasada zgodności z prawem
  • zasada rzetelności i prawidłowości
  • zasada ograniczenia celu
  • zasada minimalizacji danych
  • zasada integralności i poufności
  • zasada rozliczalności
  • zasada przejrzystości

GDPR – nowe zobowiązania

Rozporządzenie GDPR zmienia zasady dostępu do danych osobowych i zasady ich przetwarzania. Regulacja wprowadza wiele nowych praw, m.in. przyznaje osobom fizycznym tzw. „prawo do bycia zapomnianym” oraz wprowadza obowiązek raportowania naruszeń bezpieczeństwa danych osobowych w ciągu 72 godzin.

Prawo do bycia zapomnianym

Oznacza prawo do zażądania od podmiotu przetwarzającego dane osobowe usunięcia wszystkich danych zgłaszającego. W przypadku zgłoszenia żądania „do bycia zapomnianym”, przedsiębiorstwo lub organizacja będzie musiała niezwłocznie usunąć wszystkie dane osobowe oraz związane z nimi odnośniki. Należy pamiętać, że usunięcie danych osobowych jest niezwykle trudne. Dane takie muszą bowiem zniknąć z wszystkich miejsc, w których kiedykolwiek się pojawiły, np. ze zarchiwizowanych kopii bezpieczeństwa, nagrań, archiwów przedsiębiorstwa, kopii roboczych itp. Bez odpowiednich narzędzi usuniecie danych osobowych z tak wielu miejsc jest procesem żmudnym i długotrwałym. Według szacunków ekspertów około połowa polskich przedsiębiorstw nie dysponuje żadnymi narzędziami i procedurami umożliwiającymi zapewnienie klientom prawa do „bycia zapomnianym”.

72 godziny – czas na złożenie raportu po naruszeniu bezpieczeństwa danych

Rozporządzenie GDPR obliguje przedsiębiorstwa do informowania organu nadzorczego o pojawiających się naruszeniach bezpieczeństwa. Od czasu wejścia w życie nowych regulacji każdy przypadek wycieku danych osobowych, ich nieautoryzowanej modyfikacji lub innego naruszenia, musi zostać zgłoszony do organu nadzorującego w czasie do 72 godzin od wykrycia. Zgłoszenie takie musi być szczegółowe, m.in. opisywać przebieg włamania, zakres zagrożonych danych oraz środki zaradcze jakie zostały podjęte, aby uniknąć podobnych zdarzeń w przyszłości. Celem regulacji jest wymuszenie na przedsiębiorstwach zaprzestania ukrywania przed opinią publiczną naruszeń bezpieczeństwa danych osobowych i stałe modyfikowanie istniejących zabezpieczeń.



Eksperci oceniają, że polskie firmy nie są wystarczająco dobrze przygotowane do wprowadzenia nowej regulacji. Według badania ARC Rynek i Opinia dla Trend Micro i VMware z końca ubiegłego roku, ponad połowa polskich firm nigdy nie słyszała o GDPR, natomiast dwie trzecie nie zdaje sobie sprawy z tego, ile czasu pozostało na wdrożenie rozporządzenia. (Źródło)


GDPR – sankcje i kary

Niewypełniania postanowień zawartych w rozporządzeniu GDPR wiąże się z możliwością otrzymania bardzo wysokiej kary. W przypadku rażących naruszeń, w regulacji założono możliwość nałożenia grzywny w wysokości do 4 proc. rocznych obrotów przedsiębiorstwa lub do 20 milionów euro. Lżejsze naruszenia mogą być karane grzywną w wysokości do 2% całkowitego rocznego obrotu lub 10 milionów euro.

Obowiązki administratora danych osobowych

Administrator danych musi zapewnić, że zgromadzone dane osobowe są poprawne i aktualne, a ich przetwarzanie przebiega bez zakłóceń. Realizacja obu zasad nakłada na administratora szereg obowiązków, polegających m.in. na wdrożeniu środków technicznych i organizacyjnych, umożliwiających korektę danych, zmniejszenie ryzyka błędów oraz usunięcie nieprawidłowych danych. Wspomniane zasady nieodłącznie powiązane są z prawem osoby, której dane są przetwarzane do żądania sprostowania i uzupełnienia danych.

gdpr

Każdy Obywatel UE będzie miał prawo do:

  • dostępu do jego danych osobowych i informacji
  • żądania sprostowania i uzupełnienia jego danych
  • odwołania zgody na przetwarzanie jego danych
  • „bycia zapomnianym”
  • przeniesienia jego danych

Obywatelowi przysługiwać będzie prawo do informacji o:

  • tożsamości i danych kontaktowych administratora
  • celu przetwarzania jego danych osobowych
  • tym, czy jego dane osobowe są lub będą
    wykorzystywane do profilowania
  • odbiorcach jego danych osobowych
  • okresie przechowywania jego danych
    albo kryteriach definiujących okres
  • przysługujących mu prawach

Wdrożenia rozwiązań zgodnych z GDPR

W wielu przedsiębiorstwach już dawno powołano zespoły odpowiedzialne za realizacje wymagań GDPR. Przedsiębiorstwa muszą postawić na skalowalność, ochronę infrastruktury i szybki dostęp do danych. Z szacunków naszej firmy wynika, że najbardziej zaawansowane prace nad wdrożeniem regulacji zawartych w GDPR są prowadzone w branżach telekomunikacyjnej i bankowej. Nieco gorzej wygląda to w branży retail oraz w firmach produkcyjnych.

Należy pamiętać, że dostosowanie się do zasad zawartych w GDPR jest procesem długotrwałym. Procedury dostępu do danych oraz zasady ich przetwarzania mogą zostać określone przez przedsiębiorstwo we własnym zakresie lub przy pomocy zewnętrznych firm doradczych. Konieczne są jednak inwestycje w infrastrukturę oraz dostęp do sprawdzonej technologii. Na szczęście istnieją na rynku gotowe rozwiązania technologiczne, które można dostosować do funkcjonującej w przedsiębiorstwie infrastruktury IT. Niezbędne jest jednak znalezienie odpowiedniego Partnera biznesowego, który pozwoli na sprawne przeprowadzenie procesu wdrożeniowego.


Więcej informacji o rozwiązaniach z zakresu
ochrony danych osobowych znajdziesz na stronach:


IBM Business Partner - Big Data

Unima 2000 rozumiejąc potrzeby i obowiązki Klientów wynikające z nowej regulacji GDPR wprowadziła do swojej oferty szereg produktów wspierających ochronę danych osobowych. Jako autoryzowany partner IBM oferujemy doradztwo oraz rozwiązania, umożliwiając skuteczne wprowadzenie postanowień nowej regulacji. Zapraszamy do kontaktu.



Jak uzyskać ofertę:

Jak uzyskać wycenę Unima 2000

Skontaktuj się z naszym przedstawicielem:

Podaj Twój numer telefonu - oddzwonimy

Podaj Twoje imię i nazwisko

Podaj nazwę Twojej firmy

Administratorem danych jest firma Unima 2000 Systemy Teleinformatyczne S.A., ul. Skarżyńskiego 14, 31-866 Kraków.

Wyrażam zgodę na:

 Przetwarzanie moich danych osobowych *

Zobacz treść

Otrzymywanie informacji handlowych drogą elektroniczną *

Zobacz treść

Otrzymywanie informacji marketingowych drogą elektroniczną

Zobacz treść

Używanie telekomunikacyjnych urządzeń końcowych *

Zobacz treść

* Wyrażenie powyższych zgód jest dobrowolne lecz jest niezbędne, żebyśmy mogli się z Tobą kontaktować i odpowiedzieć na Twoje pytanie.

Oświadczam, że zostałam(em) poinformowana(y) o przysługującym mi prawie dostępu do treści moich danych osobowych oraz ich poprawiania, jak również prawie wniesienia w każdym czasie sprzeciwu wobec ich przetwarzania oraz o przysługującym mi prawie wycofania w/w zgód w każdym czasie poprzez kontakt z działem marketingu Unima 2000 Systemy Teleinformatyczne S.A. (telefonicznie: 12 298 05 74 lub mailowo: marketing@unima2000.pl)

Magdalena Pisarczyk

Magdalena Pisarczyk
Dyrektor ds. Projektów Informatycznych
D +48 12 2980 520
M +48 601 416 600

kontakt Unima 2000 SA