Europejskie firmy nie są gotowe na unijne regulacje GDPR
Z badania przeprowadzonego na zlecenie koncernu Dell wynika, że jedynie 3 proc. działających na rynkach unijnych firm jest przygotowanych na nadchodzące zmiany związane z regulacjami GDPR, które wejdą w życie w maju 2018 roku.
Głównym założeniem rozporządzenia GDPR (General Data Protection Regulation - PAP), które wejdzie w życie 28 maja 2018 roku, jest ujednolicenie przepisów o ochronie danych osobowych na terenie Unii Europejskiej. Rozwiązanie to może stanowić ułatwienie dla dużych organizacji operujących w różnych krajach, dla których wprowadzenie jednolitych procedur na wielu rynkach wiąże się z redukcją kosztów i uproszczeniem polityki wewnętrznej. Z drugiej strony, regulacja niesie ze sobą ogromne wyzwania dla firm, które do tej pory nie przywiązywały odpowiedniej wagi do kwestii przetwarzania danych osobowych – przekonują przedstawiciele biznesu.
Nieznajomość zasad wynikających z GDPR może wiązać się z ogromnymi kosztami. W świetle nowego rozporządzenia, organizacje będą zobowiązane do przekazania, w ciągu 72 godzin, właściwym organom i potencjalnie poszkodowanym klientom informacji dotyczących jakiegokolwiek naruszenia bezpieczeństwa ich danych. W innym wypadku, firma może spodziewać się kary w wysokości do 20 mln euro, bądź 4 proc. globalnych rocznych obrotów. Co ważne, kary mają charakter administracyjny, dla organu zajmującego się sprawą nie będą więc istotne przyczyny, a sam fakt zaistnienia naruszenia przepisów.
Jak przekonują twórcy regulacji głównym celem GDPR jest zapewnienie prywatności obywatelom UE, co powoduje, że od maja 2018 roku organizacje z terenu Wspólnoty będą mogły gromadzić i przetwarzać tylko te dane, które są potrzebne w ich działalności. Przykładowo, jeśli firma dotychczas w kontakcie z klientami wykorzystywała wyłącznie takie dane, jak imię, nazwisko i adres mailowy, nie może w swoim formularzu umieszczać prośby o podanie numeru telefonu. Rozporządzenie GDPR przewiduje większą elastyczność w zbieraniu danych, jeśli informacje będą szyfrowane.
Ochrona prywatności i wrażliwych danych jest jednym z priorytetów Unii Europejskiej, co znalazło odzwierciedlenie w ostatecznym kształcie rozporządzenia GDPR. Głównym założeniem regulacji w ramach tzw. privacy by design jest zmniejszenie ilości danych gromadzonych przez firmy i zachęcenie przedsiębiorstw do pozyskiwania tylko tych informacji, które są im potrzebne. To właśnie dane są fundamentem działalności każdej organizacji, dlatego ich ochrona powinna stanowić strategiczny cel współczesnej firmy – mówi przedstawiciel firmy analitycznej SAS Miłosz Trawczyński.
Jednym z ważniejszych elementów nowego rozporządzenia jest zaktualizowana definicja danych osobowych. Według regulacji unijnej, dane osobowe to wszystkie informacje dotyczące osoby fizycznej, które umożliwiają jej identyfikację. W rozumieniu GDPR, adres IP oraz identyfikatory zamieszczone w tzw. ciasteczkach (cookies) są więc danymi osobowymi podobnie jak PESEL czy NIP.