Europejskie firmy nie są gotowe na GDPR

1

W maju 2018 roku wejdzie w życie rozporządzenie GDPR regulujące zasady przechowywania i przetwarzania danych osobowych na terenie Unii Europejskiej. Mimo, że konsekwencje niezastosowania się do rozporządzeń ustalonych przez organy Wspólnoty są niezwykle dotkliwe, jedynie 3% firm działających na rynkach unijnych jest przygotowanych na nadchodzące zmiany[1]. Obecnie, zdecydowana większość organizacji nie spełnia wymogów GDPR oraz nie dysponuje skutecznymi narzędziami umożliwiającymi lokalizowanie danych osobowych wewnątrz organizacji.

Głównym założeniem rozporządzenia GDPR (General Data Protection Regulation), które wejdzie w życie 28 maja 2018 roku, jest ujednolicenie przepisów o ochronie danych osobowych na terenie Unii Europejskiej. Rozwiązanie to może stanowić ułatwienie dla dużych organizacji operujących w różnych krajach, dla których wprowadzenie jednolitych procedur na wielu rynkach wiąże się z redukcją kosztów i uproszczeniem polityki wewnętrznej. Z drugiej strony, regulacja niesie ze sobą ogromne wyzwania dla firm, które do tej pory nie przywiązywały odpowiedniej wagi do kwestii przetwarzania danych osobowych.

Na podstawie nowego rozporządzenia GDPR:

  • firmy muszą przedstawić zasady polityki ochrony prywatności oraz opisać je przejrzystym i zrozumiałym językiem;
  • firmy i instytucje muszą posiadać wyraźną zgodę na zbieranie wszystkich danych, które gromadzą, a administratorzy danych muszą być w stanie wykazać istnienie takiej zgody, która może być w każdej chwili wycofana;
  • podmioty zatrudniające powyżej 250 pracowników muszą powołać inspektora ochrony danych;
  • użytkownicy zyskają prawo do informacji, kiedy ich dane dostały się w niepowołane ręce;
  • użytkownicy muszą mieć prawo do bycia zapomnianym (oznacza to, że klient może zgłosić się do danej instytucji z prośbą o usunięcie wszystkich informacji, które go dotyczą);
  • użytkownicy muszą mieć prawo do przeniesienia swoich danych do innego usługodawcy.

Nieznajomość zasad wynikających z GDPR może wiązać się z ogromnymi kosztami. W świetle nowego rozporządzenia, organizacje będą zobowiązane do przekazania, w ciągu 72 godzin, właściwym organom i potencjalnie poszkodowanym klientom informacji dotyczących jakiegokolwiek naruszenia bezpieczeństwa ich danych. W innym wypadku, firma może spodziewać się kary w wysokości do 20 milionów Euro, bądź 4% globalnych rocznych obrotów. Co ważne, kary mają charakter administracyjny, dla organu zajmującego się sprawą nie będą więc istotne przyczyny, a sam fakt zaistnienia naruszenia przepisów.

Czytaj również:  Cyberzagrożenia i zarządzanie zmianą największymi wyzwaniami dla ubezpieczycieli w Europie

IP niczym PESEL

Z perspektywy biznesu posiadanie dużej ilości danych pozwala lepiej zrozumieć klientów i zmieniające się trendy rynkowe, ale może także wpływać na podejmowanie trafnych decyzji. Nie dziwi zatem fakt, że organizacje powszechnie wdrażają nowe technologie umożliwiające zbieranie informacji, m.in. dotyczących preferencji zakupowych czy aktywności w Internecie. Jednak sposób wykorzystania niektórych rozwiązań umożliwiających masowe gromadzenie i przetwarzanie informacji nie zawsze jest zgodny z regulacjami dotyczącymi ochrony danych osobowych.

  • fred

    Jasne, ze nie gotowe. Kto ma czas na śledzenie coraz to nowszych zmian w obowiązkach przedsiębiorcy…Może ktoś wpadnie na pomysł zrobienia filmów edukacyjnych na ten temat?