50 Największych Banków w Polsce 2017: Wyzwania GDPR: nowe obowiązki, nowe zadania

BANK 2017/06

Za niespełna rok wejdzie w życie nowe ogólnoeuropejskie rozporządzenie o ochronie danych osobowych – General Data Protection Regulation(GDPR). Co ono oznacza dla firm przetwarzających dane osobowe? Jak należy zorganizować przygotowania?

Łukasz Durkalec
Dyrektor ds. Technicznych w Advatech

Rozporządzenie ma na celu  uporządkowanie i ujednolicenie  praktyk w zakresie przetwarzania danych osobowych w Unii  Europejskiej. Dla międzynarodowych organizacji świadczących usługi w krajach EU to dobra wiadomość. Niezależnie czy  w Polsce, Czechach, Niemczech  czy we Francji, będą ich obowiązywały takie same regulacje. Dla małych i średnich firm korzyści  mogą okazać się niewielkie. Dla  wszystkich jednak GDPR oznacza istotne zmiany.

Przede wszystkim firmy i instytucje zostaną zobowiązane do aktywnej ochrony zgromadzonych  zbiorów danych. W odróżnieniu  od dotychczas obowiązujących  w Polsce regulacji, nie będzie  konieczne zgłaszanie posiadania  zbiorów. Obowiązkowe będzie  natomiast zgłaszanie wszelkich  naruszeń, i to w ciągu 72 godzin  od ich wykrycia.

Największym wyzwaniem w kontekście GDPR są potencjalne kosz- ty wynikające m.in. z wyższych  wymagań dotyczących zgody  na przetwarzanie czy nowych  uprawnień dla właścicieli danych.  W praktyce firmy, które posiadają  zgody na wykorzystanie danych  osobowych niezgodne z warunkami GDPR, będą musiały uzyskać  je ponownie. Większość dużych  firm będzie przy tym zobowiązana do powołania inspektora  ochrony danych i zapewnienia  mu zasobów koniecznych do wykonywania powierzonych zadań.  Z pewnością ogromne emocje wzbudza również wysokość kar,  jakie będą mogły zostać nałożone  na organizacje naruszające rozporządzenie. Mogą one wynosić  nawet 20 mln euro.

Cyberryzyko coraz większe

GDPR to próba odpowiedzi na  wyzwania cyfrowej transformacji  i digitalizacji praktycznie wszystkich aspektów ludzkiego życia,  w tym prowadzenia biznesu.  Przedsiębiorstwa i instytucje administracji publicznej posiadają  ogromne ilości danych, w tym  dane osobowe, którym należy zapewnić należytą ochronę. Nawet  dla największych z nich GDPR to  istotne wzywanie. Oznacza bowiem wzrost ryzyka.

Zwłaszcza w obliczu rosnących  zagrożeń w cyberprzestrzeni.  Liczba incydentów rośnie dynamicznie z roku na rok. Mający miejsce przed kilkoma  tygodniami atak złośliwego  oprogramowania WannaCry, za  pomocą którego przestępcy szyfrowali dane na komputerach i za  ich ponowne odszyfrowanie żądali okupu, pokazuje, że ryzyko dotyczy wszystkich i wszędzie.  Według danych Europolu problem dotknął 200 tys. urządzeń  w 150 krajach.

To tylko najświeższy przykład.  Od lat systematycznie rośnie  liczba poważnych ataków wykorzystujących inżynierię społeczną, tzw. phishing, rozwijają  się wykorzystywane przez przestępców sieci botnet, a także  coraz częściej spotykamy się  z zaawansowanymi atakami,  których celem są konkretne organizacje. Oczywiście rozwijają  się także systemy techniczne  mające na celu ochronę firmowych zasobów, ale wyścigu z przestępcami nie można  wygrać. Ze względu na szybki  postęp technologiczny, niższe  koszty działalności przestępczej,  można tylko ograniczać ryzyko.

Jak sobie poradzić?

Właśnie dlatego tak istotne jest  odpowiednie przygotowanie się  do wejścia w życie GDPR. Choć  może się wydawać, że czasu jest  sporo, to skala przedsięwzięcia  i dodatkowe wyzwania sprawia- ją, że projekty należy uruchomić  jak najszybciej.

Jednym z największych problemów związanych z nowym rozporządzeniem jest niejasność  GDPR. Część definicji nie jest  jednoznaczna i może powodować kłopoty interpretacyjne.  Dlatego jednym z obowiązkowych elementów przygotowań  do wejścia w życie GDPR powinno być nawiązanie stałej współpracy z prawnikami oraz intensywna edukacja.

GDPR zobowiązuje organizacje do zapewnienia ochrony na  wszystkich etapach ich przetwarzania, w całym cyklu ich wykorzystania – od określenia posiadanych danych osobowych, przez  zabezpieczenie prawne dla ich  przetwarzania, po ochronę prywatności i zapewnienie danym  bezpieczeństwa.

Dlatego kluczowe znaczenie  ma określenie obszarów, które  powinny znaleźć się w zakresie  projektu: należy odpowiedzieć,  gdzie znajdują się dane osobo – we w naszej organizacji, w jakich  procesach występują i w jaki sposób. GDPR sprowadza się  ostatecznie do kompleksowego  zarządzania danymi – od chwili  ich wpłynięcia do firmy, przez  przetwarzanie, dalsze przechowywanie i zabezpieczenie, aż po  wykasowanie.

W następnym kroku konieczna  jest analiza i audyt mające na  celu inwentaryzację procesów  przetwarzania danych w organizacji. Dopiero w ostatniej  fazie trzeba będzie zastanowić  się nad wypracowaniem proce – dur działania, m.in. w przypadku wykrycia naruszenia, a także  nad wdrożeniem odpowiednich  środków zapewniających zgodność z GDPR i ochronę danych.