Co zmienia data: 25 maja 2018?

Nowe unijne ustawodawstwo spędza sen z oczu wielu administratorów IT. To od nich zarządy firm będą oczekiwać zabezpieczenia danych przed wyciekiem. A jeśli taki nastąpi, czego nigdy nie należy wykluczać, informatycy powinni udowodnić, że zrobili wszystko, co możliwe, aby działać zgodnie z przepisami.

Których podmiotów dotyczą przepisy?

Mniejsze firmy nie są będą zadowolond z tego, że nowe obostrzenia dotyczące bezpieczeństwa i ewentualne kary dotkną ich w podobnych proporcjach jak największe przedsiębiorstwa. Wszystkim nowe przepisy narzucają, żeby w bardziej dojrzały sposób gromadziły, przechowywały i przetwarzały dane osobowe klientów/petentów.
Dodatkowo od firm zatrudniających więcej niż 250 pracowników oczekuje się wprowadzenia stanowiska specjalisty ds. ochrony danych osobowych (Data Protection Officer, DPO). Dla mnijszych firm zalecane jest, aby także miały do dyspozycji osobę o podobnej funkcji, np. w charakterze konsultanta, zatrudnionego na umowę-zlecenie lub w niepełnym wymiarze godzin.

O czym należy wiedzieć, jakie konkretnie przepisy mogą być problematyczne?

Artykuł 323 dotyczy bezpieczeństwa przetwarzania danych: 
1. Biorąc pod uwagę aktualny stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania danych, a także ryzyko zmiennego prawdopodobieństwa i surowości w odniesieniu do praw i wolności osób fizycznych, administrator i podmiot przetwarzający dane powinni wdrożyć odpowiednie działania techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa właściwego dla ryzyka, włączając w to między innymi stosowną/y: 
(a) Pseudonimizację i szyfrowanie danych osobowych; 
(b) Możliwość zapewnienia ciągłej poufności, integralności, dostępności i wytrzymałości systemów przetwarzania i usług przetwarzających dane osobowe; 
(c) Możliwość przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku zdarzenia fizycznego lub technicznego; 
(d) Proces regularnego sprawdzania i oceny skuteczności technicznej i organizacyjnej działań zapewniających bezpieczeństwo przetwarzania.
W przypadku naruszenia danych osobowych, Artykuł 333 określa, że przedsiębiorstwo w ciągu 72 godzin ma obowiązek powiadomić organ nadzoru po zapoznaniu się z naruszeniem. Jednakże firma może, ale nie jest zobowiązana do powiadomienia osób, których dane zostały naruszone. Artykuł 343 stanowi: 

1. Jeśli naruszenie danych osobowych mogłoby spowodować wysokie ryzyko praw i wolności osób fizycznych, administrator powinien zakomunikować naruszenie danych osobowych bez zbędnej zwłoki. 

2. (...) 

3. Zakomunikowanie osobie, której dane dotyczą, a o których jest mowa w paragrafie 1 nie jest wymagane, jeśli spełniony jest którykolwiek z następujących warunków: 

. (a)  Administrator wdrożył odpowiednio zabezpieczające środki techniczne i organizacyjne, które zostały zastosowane w danych osobowych, dotkniętych naruszeniem, a w szczególności takie, które czynią dane osobowe niezrozumiałymi dla nikogo, kto nie jest upoważniony do ich dostępu, jak na przykład szyfrowanie; 

. (b)  Administrator podjął kolejne kroki, które zagwarantują, że nie istnieje prawdopodobieństwo wystąpienia wysokiego ryzyka praw i wolności osób, których dotyczą dane, o których mowa w paragrafie 1 lub; 

. (c) Wymagałoby to nieproporcjonalnego wysiłku. W takim przypadku zamiast tego, powinien pojawić się komunikat publiczny lub podobny środek, na mocy, którego można przekazać dane w równie skuteczny sposób.

Jakie zagrożenie dla firm, może skutkować niesdostosowanie się do nowych regulacji?

Artykuł 833 w sprawie grzywien administracyjnych określa ewentualną maksymalną sankcję:

1. Naruszenia następujących przepisów, zgodnie z ustawą 2a podlegają grzywnie administracyjnej do maksymalnej wysokości 20 000 000 euro, a w przypadku przedsiębiorstwa aż do 4% całkowitego poprzedniego roku obrotowego, w zależności od tego, który jest wyższy.
*Zagadnienia prawne oparte na dokuemntacji przygotowanej przez firmę SOPHOS