Raport specjalny Bezpieczeństwo banków 2017: Długi i bolesny poród

BANK 2017/04

25 maja 2018 r. wejdą w życie przepisy dotyczące ochrony danych – GDPR (General Data Protection Regulation). Nowe prawo obejmuje wszystkie organizacje, przedsiębiorstwa oraz instytucje przetwarzające lub gromadzące dane osób przebywających na terytorium państw UE.

25 maja 2018 r. wejdą w życie przepisy dotyczące ochrony danych – GDPR (General Data Protection Regulation). Nowe prawo obejmuje wszystkie organizacje, przedsiębiorstwa oraz instytucje przetwarzające lub gromadzące dane osób przebywających na terytorium państw UE.

Artur Król

Zmianie ulegną zasady rejestrowania, przechowywania, przetwarzania i udostępniania danych wszystkich osób fizycznych, a firmy będą musiały dostosować się do nowych procedur w zakresie cyberbezpieczeństwa. Wypracowanie skuteczniejszych, ogólnoeuropejskich przepisów dotyczących ochrony danych zajęło państwom Unii Europejskiej aż cztery lata. Wejście w życie nowych uregulowań będzie najistotniejszą zmianą ustawodawstwa w tym zakresie w ostatnim dwudziestoleciu. Po pierwsze, stworzono zestaw skutecznych, możliwych do wyegzekwowania przepisów chroniących dane obywateli Europy. Po drugie, niesie on ze sobą daleko idące konsekwencje i może spowodować gruntowną zmianę dotychczasowych procesów i procedur organizacyjnych we wszystkich obszarach działania przedsiębiorstw – od kadr po sprzedaż i marketing. Od maja 2018 r. stworzone zostaną realne możliwości przeciwdziałania nadużyciom i niedopełnieniu obowiązków ochrony danych.

Na firmy łamiące unijne przepisy mogą być nakładane kary finansowe w wysokości nawet 20 mln euro lub 4% rocznych obrotów – w zależności, która kwota będzie wyższa. Rozporządzenie będzie mieć również zastosowanie w przypadku dostawców i sprzedawców mających siedzibę poza Europą, którzy świadczą usługi osobom przebywającym na terenie UE oraz przetwarzają lub przechowują ich dane osobowe.

Prawo do być zapomnianym

Jednym z istotnych zapisów będzie prawo konsumentów do bycia zapomnianym, które „odzwierciedla roszczenia osoby do zagwarantowania usunięcia informacji o niej umieszczonych w internecie, tak by nie mogły być wyszukane przez osoby trzecie”.

– Zgodnie z rozporządzeniem GDPR każda osoba fizyczna uzyska prawo do bycia zapomnianym, czyli niezwłocznego usunięcia swoich danych osobowych z bazy organizacji, która je pozyskała, bądź też zaprzestania ich przetwarzania – mówi Marek Krauze, Sales Engineer w Trend Micro. – W takim przypadku firmy czy organizacje muszą na życzenie klienta usunąć wszystkie dane osobowe i związane z nimi odnośniki. Jak wynika z badania Trend Micro i VMware, aż połowa ankietowanych firm nie dysponuje procedurami czy technologiami zapewniającymi konsumentowi prawo do bycia zapomnianym. Proces usunięcia danych jest wieloetapowy i bardziej skomplikowany niż ich zapisywanie. Największy problem pojawia się wtedy, gdy przechowywanie danych jest zlecone zewnętrznym firmom lub dane dodatkowo przetwarzane są przez inne podmioty – dlatego tak istotne są procedury kontrolujące, zwłaszcza sposób ich kasowania – dodaje.

 

Strategie ochrony

W 2016 r. odnotowano wycieki danych osobowych z systemów bankowych, firm transportowych i energetycznych, a nawet rejestrów publicznych – problem ten mógł dotyczyć nawet setek tysięcy Polaków. Pamiętny był również incydent z wyciekiem setek numerów PESEL. Według danych opublikowanych w raporcie dotyczącym Polski, przygotowanym przez firmy Trend Micro oraz VMware we współpracy z agencją badawczą ARC Rynek, skala oraz specyfika naruszeń powinna być przestrogą dla firm oraz zmusić je do przemyślenia swego stosunku do kwestii związanych z cyberbezpieczeństwem.

Informacje o wyciekach danych osobowych w innych firmach na ogół przyczyniają się do weryfikacji własnych strategii ochrony danych, jednak niewielki odsetek respondentów (16%) przyznał, że konsekwencją kontroli systemów zabezpieczających jest wdrożenie nowych rozwiązań, mających na celu usprawnienie obowiązujących systemów i procedur. Kluczowymi inicjatywami są stosowanie szyfrowania (81%) oraz zwiększenie świadomości pracowników w zakresie ochrony danych (80%). Pozostałe metody, na jakie zwrócono uwagę w raporcie, to: blokada sprzętu w celu uniknięcia użycia zainfekowanych nośników USB (66%), wprowadzenie przejrzystych procesów, ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: