1/3 Polaków doświadczyła naruszenia prawa do prywatności. Nowe rozporządzenie o danych osobowych wyzwaniem zwłaszcza dla dużych firm

Co trzeci Polak przynajmniej raz w życiu doświadczył naruszenia prawa do prywatności. Często wystarczy jedno włamanie w niezabezpieczonym systemie, aby wyciekły wszystkie dane osobowe o klientach. Najczęściej dotyczy to dużych instytucji finansowych. Firmy i organizacje będą zmuszone wdrożyć takie rozwiązania techniczne i organizacyjne, które zagwarantują wysoki poziom bezpieczeństwa informacji o ich klientach.

– Rozporządzenie RODO daje nam większą ochronę co do wykorzystania naszych danych. W stosunku do poprzednich rozwiązań ta ochrona idzie o wiele dalej. Przykładem może być profilowanie, czyli wyszukiwanie klientów pod kątem danego produktu lub rozwiązania. Wcześniej nie mówiło o tym żadne prawo, teraz ta usługa będzie objęta ochroną, czyli należy informować podmiot, o którym zbieramy dane, o tym, że mamy te dane i na życzenie, po ustaniu zobowiązań np. związanych z usługą, którą dla niego świadczymy, może zażądać usunięcia danych osobowych – wskazuje w rozmowie z agencją informacyjną Newseria Innowacje Marek Najmajer, dyrektor ds. sprzedaży w Linux Polska.

Ogólne rozporządzenie o ochronie danych osobowych (RODO) wejdzie w życie 25 maja 2018 roku. Narzuci ono szereg nowych obowiązków na podmioty, które gromadzą i przetwarzają dane osobowe. Coraz częściej stosowane profilowanie nie będzie zabronione, ale osoby, których dane są gromadzone, będą musiały zostać poinformowane nie tylko o tym fakcie, lecz także o wynikających z tego konsekwencjach. To o tyle istotny przepis, że duża grupa osób nie wie, że udostępniane przez nie dane, mogą być wykorzystywane. Ważne będzie także odpowiednie zabezpieczanie danych klientów.

– W dobie globalizacji i handlu elektronicznego, takie dane bardzo łatwo wyciekają. Jedna instytucja może mieć dane o 10 milionach klientów, wystarczy jedno włamanie w niezbyt dobrze zabezpieczonym systemie, aby wyciekły wszystkie dane osobowe o klientach. Najczęściej dotyczy to dużych instytucji finansowych, gdy elektronizacja usług medycznych będzie bardziej posunięta, często pojawią się wycieki danych medycznych, o wiele bardziej wrażliwych niż finansowe – podkreśla Najmajer.

Firmy będą musiały nie tylko każdorazowo uzyskiwać zgodę swoich klientów na przetwarzanie ich danych osobowych, lecz także raportować każdy wyciek danych i nieautoryzowany dostęp. Zgodnie z przepisami każdy potencjalny wyciek danych osobowych firma będzie musiała zgłaszać w ciągu 72 godzin. Kary administracyjne będą mogły sięgnąć 20 mln euro lub 4 proc. światowego obrotu.

– Nie da się do końca ograniczyć wycieku danych, bo jest to cały czas walka dobra ze złem, jedni wymyślają coraz lepsze ochrony, natomiast hakerzy wymyślają coraz lepsze formy ataku. To rozporządzenie podchodzi też bardziej logicznie niż poprzednie do nakładania kar. Wszystko oparte jest na analizie ryzyka, jeżeli np. instytucja finansowa dobrze zanalizuje to ryzyko i wykona wszelkie związane z dobrą praktyką metody ograniczenia tego ryzyka, to jest w stanie ochronić się przed maksymalnym wymiarem kary – ocenia ekspert.

Jak wynika z badań BIK, co piąty Polak doświadczył negatywnych konsekwencji związanych z ryzykiem naruszenia danych. Z kolei raport Fundacji Wiedza to Bezpieczeństwo „Co wiemy o ochronie danych 2017” pokazuje, że Polacy są świadomi zagrożeń związanych z naruszeniem danych osobowych, ale nie do końca wiedzą, jak się przed nimi bronić i jak reagować w przypadku takich incydentów. Co trzeci badany przynajmniej raz w życiu doświadczył naruszenia prawa do prywatności, ale tylko 10 proc. zgłosiło to odpowiedniej instytucji.

– Rozporządzenie ustala pewne środowisko działania, trzeba podejść procesowo, na każdym etapie przetwarzania danych. Chodzi nie tylko o systemy informatyczne, lecz także papierowe przechowywanie danych, procesy biznesowe, to w jaki sposób świadczymy usługi, w którym momencie pobieramy dane, czy klient rozumie, jakie dane udostępnia, i czy wie, co dalej będzie z nimi robione – wymienia przedstawiciel Linux Polska.

Z raportu Fundacji Wiedza to Bezpieczeństwo wynika, że w ponad połowie firm już wprowadzono zmiany w procedurach przetwarzania danych osobowych w związku ze zmianą przepisów o ochronie danych osobowych.