Rozporządzenie GDPR – już teraz zadbaj o bezpieczeństwo danych!

25 maja 2018 roku wejdą w życie nowe przepisy dotyczące ochrony danych osobowych gromadzonych przez przedsiębiorstwa. Niestety wiele polskich firm nie ma świadomości, z czym wiążą się owe zmiany i jak się do nich odpowiednio przygotować. Przyglądając się statystykom przeprowadzonym przez Intel Secruity łatwo można zauważyć, że aż 95% firm doświadczyło ataków cyberprzestępców, spośród których jedynie 35% było w stanie zgłosić to w ciągu 72h.

Nowe prawo – Rozporządzenie GDPR

Nowe prawo o ochronie danych osobowych dotyczyć będzie rejestrowania, przetwarzania, przechowywania oraz udostępniania danych zarówno pracowników, jak i klientów. Wprowadzone w 2018 roku przepisy będą obejmować duże firmy, małe oraz jednoosobowe. GDPR przewiduje również spore kary administracyjne za naruszenie przepisów, które maksymalnie będą obejmować 4% rocznego obrotu – tak wysokie sankcje mogą mieć katastrofalne skutki dla firm. Nowością jest również fakt, że nowe regulacje gwarantują każdej osobie fizycznej ”prawo do zapomnienia”, czyli możliwość usunięcia danych osobowych, jeśli nie są one już niezbędne do celów, dla których wcześniej były zbierane. Wprowadzono również zasadę ochrony prywatności by design (ochrona prywatności na etapie projektowania) oraz ochronę by default (prywatność traktowana jako ustawienie domyślne w systemie). GDPR nakłada także na administratorów wprowadzenie obowiązku samooceny pod względem skutków i zagrożeń, jakie wynikają z przetwarzania w celu ochrony danych osobowy (Privacy impact assesment).

Obowiązek informowania o wycieku danych

Wchodzące już za rok nowe rozporządzenie o ochronie danych osobowych nakłada obowiązek na firmy, które zauważyły naruszenie tych danych do zgłoszenia problemu w ciągu najbliższych 3 dni. Warto dodać, że u większości przedsiębiorstw zgłoszenie wykrytego naruszenia zajmuje aż 8 dni, a w niektórych przypadkach nawet do 2 tygodni. Mimo postępujących prac nad polepszeniem tego wyniku, według danych Vanson Bourne z 2016 roku, aż 54% organizacji nie poczyniło odpowiednich kroków do wprowadzenia w struktury firmy zasad nowego rozporządzenia.

Jak przygotować się do nadchodzących zmian?

Realizacja zasad GDPR będzie wymagała sporo czasu, a także zasobów wdrażających nowe procesy mające na celu zmniejszenie podatności sieci na cyberzagrożenia. Z tego względu niezbędne jest przygotowanie się do zmian już dziś. Warto zatrudnić odpowiednią firmę zewnętrzną, która wdroży i utrzyma nowy proces bezpieczeństwa danych osobowych. Pozwoli to w lepszy sposób zrozumieć i zrealizować nowe przepisy. Należy również sprawdzić, za pomocą jakich systemów przechowujemy dane oraz czy korzystamy z profesjonalnego oprogramowania. Niezbędne będzie poinformowanie swojego zespołu o zachodzących zmianach, wyczulenia ich w kwestii bezpieczeństwa, a także przeprowadzenie szkoleń, które ułatwią dostosowanie się do przyszłych regulacji.

W celu spełnienia wymagań GDPR potrzebne będą odpowiednie technologie, które umożliwią pracownikom zarządzanie tożsamością i dostępem. Dzięki temu można zrealizować jeden z ważniejszych przepisów rozporządzenia – zasadę przejrzystości informacji odnośnie czynności, które będą Gwykonywane w konkretnym zbiorze danych osobowych. Przydatne z pewnością będzie wprowadzenie zapory nowej generacji, która pozwoli ochronić dane przed nowymi zagrożeniami na poziomie aplikacyjnym i co za tym idzie, podjąć określone działania. Przepisy GDPR kładą również nacisk na bezpieczeństwo poczty elektronicznej, dzięki czemu firmy będą mogły uporać się z phishingiem, infekcjami zombie oraz innymi zagrożeniami związanymi z atakami na skrzynki mailowe.

Choć temat GDPR jest obecnie bardzo popularyzowany przez media, większość firm wykazuje się nieznajomością nadchodzących nowych przepisów. Warto w tym czasie stosować odpowiednie mechanizmy ochrony danych i przygotować zespół pracowników do nowych regulacji prawnch, aby nie ponieść wysokich kosztów sankcji związanych z naruszeniem Rozporządzenia Unii Europejskiej.