Od maja 2018 roku, czyli od wejcia w ¿ycie nowych unijnych przepisów, kary dla przedsiêbiorców za naruszenie ochrony danych osobowych bêd¹ znacznie bardziej dotkliwe ni¿ obecnie. Choæ na przygotowanie firmy maj¹ coraz mniej czasu, 23 proc. z nich nie ma wiadomoci wprowadzenia koniecznych zmian – wynika z badañ Fundacji Wiedza to Bezpieczeñstwo. 42 proc. badanych twierdzi, ¿e w ich firmach nigdy nie dosz³o do incydentu naruszenia danych.
– Niew³aciwe przetwarzanie danych osobowych oznacza przetwarzanie niezgodne z zasadami okrelonymi obecnie w przepisach ustawy o ochronie danych osobowych, a ju¿ za 9 miesiêcy niezgodne z nowymi przepisami RODO, czyli rozporz¹dzenia ogólnego na poziomie UE – przypomina w rozmowie z agencj¹ informacyjn¹ Newseria Biznes Konrad Ga³aj-Emiliañczyk, ekspert ds. ochrony danych z ODO24.pl.
Obecnie zagadnienia zwi¹zane z ochron¹ danych osobowych reguluje ustawa o ochronie danych osobowych i rozporz¹dzenia wydane na jej podstawie. Za przetwarzanie danych przez osobê nieuprawnion¹, udostêpnianie danych takim osobom czy naruszenie obowi¹zku zabezpieczenia danych grozi kara grzywny, która nie mo¿e przekraczaæ 10 tys. z³ w stosunku do osób fizycznych lub 50 tys. z³ w stosunku do osób prawnych.
Od maja 2018 roku i wejcia w ¿ycie przepisów RODO kary bêd¹ ju¿ znacznie dotkliwsze. Ka¿da instytucja bêdzie musia³a wdro¿yæ odpowiednie procedury bezpieczeñstwa i zbudowaæ system raportowania. Kary administracyjne bêd¹ mog³y siêgn¹æ 20 mln euro lub 4 proc. wiatowego obrotu firmy.
– Najwa¿niejsze elementy, które wiêkszoæ organizacji powinna wdro¿yæ, w zasadzie obowi¹zuj¹ od 20 lat. Przede wszystkim chodzi o to, aby dane osobowe w organizacji mia³y podstawy prawne. Kolejnym istotnym elementem jest koniecznoæ zapewnienia obowi¹zku informacyjnego, czyli poinformowanie osób, których dane dotycz¹, o ich podstawowych uprawnieniach. Pewnym novum w RODO jest kwestia zwi¹zana z koniecznoci¹ przeprowadzenia analizy ryzyka, która wska¿e, jakie zabezpieczenia w stosunku do danych osobowych musz¹ zostaæ zastosowane – wymienia Ga³aj-Emiliañczyk.
Jak wynika z raportu Fundacji Wiedza to Bezpieczeñstwo „Co wiemy o ochronie danych”, w ponad po³owie firm zmieniono ju¿ procedury przetwarzania danych osobowych w zwi¹zku ze zmian¹ przepisów. 41 proc. ankietowanych zosta³o za kilka razy wprowadzonych w nowe obowi¹zki w zakresie przetwarzania danych.
– Od maja 2018 roku urz¹d nadzoruj¹cy przestrzeganie przepisów ustawy o ochronie danych osobowych przestanie istnieæ, nowy urz¹d bêdzie egzekwowa³ nowe przepisy. Inn¹ kluczow¹ zmian¹ jest przejcie z modelu ustawowo regulowanego systemu ochrony danych osobowych na model autoregulowany – wskazuje ekspert.
Przepisy RODO zak³adaj¹, ¿e funkcjê administratora bezpieczeñstwa informacji (ABI) w firmach przejmie inspektor ochrony danych (IOD). Ponad po³owa ABI twierdzi, ¿e ma wystarczaj¹c¹ wiedzê, aby pe³niæ funkcjê IOD. Pozosta³a czêæ stara siê zwiêkszyæ swoje kompetencje w zakresie ochrony danych osobowych, z czego 54 proc. twierdzi, ¿e zna szczegó³owo zakres zmian, jakie wprowadza RODO, ale 46 proc. ma jedynie ogóln¹ wiedzê.
– Naruszenia prawa w przedsiêbiorstwie powinnimy traktowaæ powa¿nie. W ¿adnym wypadku nie powinnimy ignorowaæ takich sytuacji. Celem nadrzêdnym jest, aby naruszenia nigdy nie wystêpowa³y. Temu ma sprzyjaæ funkcja inspektora ochrony danych, która powstanie pod rz¹dami rozporz¹dzenia – mówi Aleksandra Piotrowska, prezes zarz¹du Fundacji Wiedza To Bezpieczeñstwo.
Choæ nowe przepisy wymuszaj¹ na firmach dostosowanie procedur i systemów informatycznych, to 23 proc. przedsiêbiorstw nie ma wiadomoci wprowadzenia koniecznych zmian. Co wiêcej, 42 proc. badanych twierdzi, ¿e w organizacjach, z którymi s¹ zwi¹zani, incydenty zwi¹zane z ochron¹ danych osobowych nigdy siê nie zdarzy³y.
– Z prawdopodobieñstwem granicz¹cym z pewnoci¹ pozwala nam to przypuszczaæ, ¿e tak naprawdê wród przedsiêbiorców nie ma w ogóle wiedzy o tym, co to jest incydent i jakie konsekwencje mog¹ byæ z tym zwi¹zane. Pod rz¹dami RODO taka niewiadomoæ mo¿e mieæ daleko id¹ce konsekwencje, bowiem powstaje nowy obowi¹zek zg³oszenia incydentu w przeci¹gu 72 godzin – wyjania Aleksandra Piotrowska.
– Nie wiadomo jeszcze, jak bêdzie egzekwowane prawo o ochronie danych osobowych. Przepisy wskazuj¹ na to, ¿e bêd¹ to kary grzywny nak³adane przez nowy Urz¹d Ochrony Danych Osobowych. Egzekucja bêdzie siê opiera³a przede wszystkim na dzia³aniach urzêdu, który bêdzie przeprowadza³ kontrole bezporednio w organizacjach – mówi Konrad Ga³aj-Emiliañczyk.
ród³o artyku³u: www.scanner.com.pl