W UE prawodawstwo dotyczące danych osobowych istnieje od roku 1995. Dyrektywa 95/46/WE jako zbiór norm prawnych zostanie uchylona.
Od wprowadzenia przepisów ogólnych o ochronie danych minęło ponad 20 lat. Przez 20 lat w dziedzinie technologii oraz systemów informatycznych zaszły zmiany, które są zmianami epokowymi.
Do tej pory przez 2014 lat świat wyprodukował tyle danych ile w latach 2015 -2016. Liczba danych, które codziennie produkujemy rośnie w sposób lawinowy.
Nowoczesne technologie to wielkie dobrodziejstwo, jeżeli są wykorzystywane zgodnie z prawem. Z czasem jednak wyspecjalizowani w niezgodnym z prawem pozyskiwaniu danych (także osobowych) ludzie zrobili sobie z obrotu danymi osobowymi znakomity biznes. Dzieje się tak z powodu niefrasobliwego przechowywania, czy też przesyłania danych przez instytucje, które nimi dysponują.
Wystarczy wspomnieć, że kradzieże, włamania oraz wycieki danych powodują większe straty finansowe, niż tradycyjne sposoby stosowane przez złodziei kradnących w sposób tradycyjny.
O samej Dyrektywie 2016/679 jest już wiele, mniej lub bardziej doskonałych materiałów w sieci.
Nie naszą rolą jest analizować obszerny dokument prawny, bo czytelnik nie przebrnie przez pierwsze 1000 znaków i przejdzie do bardziej dynamicznego artykułu. W razie zainteresowania i na życzenie czytelników możemy ten tekst Rozporządzenia udostępnić na naszych stronach.
Naszym zamiarem jest w krótkich żołnierskich słowach przedstawić co grozi za nie przestrzeganie Rozporządzenia 2016/679 oraz kilka kroków, co zrobić aby do wejścia w życie nowych przepisów być na to przygotowanym.
Z niebezpieczeństw bezwzględnie warto wymienić kary finansowe, których wysokość jest porażająca.
Dla firm maksymalny wymiar kary, które przewidują nowe przepisy to 20 milionów euro. Tak - to nie pomyłka. 20 milionów albo 4% rocznych światowych obrotów dla firmy, która utraci dane osobowe powierzone jej do przetwarzania. Warto dodać w tym miejscu, że RODO przewiduje obowiązek poinformowania każdego klienta o tym, że nasza firma przetwarza jego dane osobowe. Ma to taki plus, że po wejściu w życie przepisów dowiemy się nagle, w jak wielu miejscach potrzebnie czy niepotrzebnie ktoś przechowuje nasze dane. Każdy albo prawie każdy z nas doświadczył sytuacji, że na nasz numer telefonu dzwoni przedstawiciel jakiejś firmy, która ma dla nas niewiarygodnie korzystną ofertę. Czegokolwiek – zakupu pościeli, garnków, ubezpieczenia czy jakiejś fantastycznej wycieczki. Operacja poinformowania każdego klienta o tym, że dana firma przechowuje jego dane to gigantyczne i jak należy się spodziewać bardzo kosztowne przedsięwzięcie.
Dość o tym jak nas chce karać ustawodawca, a trochę pomówmy o tym co należy zrobić aby zminimalizować możliwość wystąpienia przesłanek powodujących podleganie karze.
Pierwsza kwestia to Szanowny Przedsiębiorco (nie myśl, że Ciebie to nie dotyczy, bo dotyczy w zasadzie wszystkich) porządna analiza sytuacji w przedsiębiorstwie. W większości firm profesjonalny audyt prawny i techniczny to rzecz zbyt kosztowna, aby firma się na taki zdecydowała. Co prawda naszym zdaniem oszczędności w tym wypadku mogą skutkować brakiem wiedzy co musisz zrobić, ale analiza przedsiębiorstwa jest do zrobienia we własnym zakresie. Dość trudne, ale możliwe.
Po wykonaniu wewnętrznego audytu należy podjąć kroki w celu przeszkolenia pracowników z zagadnień RODO. Jest mnóstwo opracowań odnośnie Rozporządzenia i we własnym zakresie przedsiębiorstwo może zorganizować dość obszerne i porządnie opracowane materiały. Oczywiście pewniejszą metodą byłby profesjonalny kurs dla wszystkich w firmie. Na rynku cena takich szkoleń jest uzależniona od ilości uczestników, a także czasu trwania. Przegląd, który wykonaliśmy wykazał, że są dostępne szkolenia 4 godzinne, 8 godzinne ale również dwudniowe. Obserwując rosnące zapotrzebowanie firmy szkoleniowe oferują także szkolenie on-line, ale to rozwiązanie dopiero zaczynać być oferowane i popularyzowane.
Kolejna rzecz do zrobienia to rekonesans w sektorze dostępnych rozwiązań odnośnie możliwości rozwiązań służących do przechowywania, a także przesyłania danych, które powinny być w tych operacjach bezpieczne. Jednocześnie firmy będą zobligowane do powołania Inspektora Ochrony Danych Osobowych. Najwygodniejszym rozwiązaniem jest oczywiście etatowy pracownik, ale możliwe będzie korzystanie z zewnętrznego usługodawcy w tym obszarze.
Kilka pytań które powinien sobie zadać każdy przedsiębiorca, aby przeprowadzić czynności wymienione powyżej :
- ile urządzeń w firmie służy pracownikom w dostępie do danych osobowych.
- w jaki sposób są przechowywane dane osobowe.
- czy istnieje możliwość dostępu i zgrania danych na pendrive. Wielu profesjonalnych audytorów rekomenduje brak takiej możliwości. Czynność zgrania na nośnik pamięci powinien odbywać się za wiedzą i pod nadzorem Inspektora Ochrony Danych Osobowych.
- w jaki sposób odbywa się współdzielenie informacji zawierających dane osobowe z kontrahentami.
- czy firma prowadzi archiwizację dokumentów cyfrowych.
Bardzo ważnym problemem, na który warto zwrócić uwagę jest to, że wielu pracowników, a także zarząd czy właściciel firmy używa urządzenia typu laptop poza firmą. Różne zdarzenia losowe powodują, że urządzenie ulega utracie. Wówczas powstaje poważny problem, ponieważ utracie ulegają także dane osobowe oraz inne wrażliwe przechowywane w komputerze podręcznym.
Art. 34 Rozporządzenia o Ochronie Danych Osobowych wskazuje na jedną bardzo ważną kwestię. Utrata danych osobowych, które są zaszyfrowane w sposób uniemożliwiający ich odczytanie nie jest traktowana w świetle wchodzących w życie przepisów jako naruszenie. Nie ma obowiązku informowania o tym fakcie urzędu nadzorującego jakim będzie nowo powołana do życia instytucja w miejsce GIODO – Urząd Ochrony Danych Osobowych ze stojącym na jego czele prezesem UODO.
Szyfrowanie danych to już w zasadzie standard. Brzmi dość poważnie, ale w dzisiejszych czasach jest to najtańsza, najpewniejsza i najprostsza metoda zabezpieczania danych, plików, a także wszystkich innych treści, które według nas powinny być dostępne tylko uprawnionym.
Wdrożenie rozwiązań zabezpieczających może być bardzo kosztowne. Nikt z nas nie zastanawia się jeżeli stoi przed decyzją kupna zamka do drzwi wejściowych w domu, czy w mieszkaniu. To oczywiste, że staramy się wybrać najlepsze z dostępnych rozwiązań w ramach budżetu na jaki nas stać.
Tym powinniśmy się kierować także przy wyborze rozwiązania zabezpieczającego przechowywane treści w naszym systemie komputerowym. To inwestycja.
Jeżeli szanowni czytelnicy wykażą zainteresowanie postaramy się dokonać analizy dostępnych dzisiaj rozwiązań służących do zabezpieczenia posiadanych danych w Państwa firmach.