Odpowiedzi udzielił Bharat Mistry, główny specjalista ds. strategii w dziedzinie bezpieczeństwa w firmie Trend Micro
Ponad połowa (54%) firm o zasięgu światowym jest przekonanych, że nie jest przygotowana na wejście w życie przepisów RODO — wskazują na to opublikowane w kwietniu wyniki badań przeprowadzonych przez KPMG. Z pewnością wiele z firm nie zdąży się przygotować do 25 maja. I co się stanie? Czy jest już za późno? Czy na nieprzygotowane firmy już pierwszego dnia zostaną nałożone wysokie kary? Dobra wiadomość jest taka, że zapewnienie zgodności z przepisami prawa to proces, a nie cel do osiągnięcia.
Oto odpowiedzi na pięć często zadawanych pytań dotyczących RODO.
Czy już za późno na osiągnięcie zgodności?
Na pewno nie. To nie jest scenariusz problemu roku dwutysięcznego. Zapewnianie zgodności z RODO to ciągły proces, który będzie ewoluować z biegiem czasu. To znaczy, że dla nikogo nie jest za późno — nawet dla tych firm, które dopiero teraz zaczynają. Jeśli urząd ds. ochrony danych będzie widzieć, że dana firma podejmuje rzeczywiste działania służące osiągnięciu zgodności, będzie bardziej skłonny uznać, że kieruje się ona dobrem swoich klientów i pracowników. Z drugiej strony oznacza to, że firma musi mieć specjalny zespół oraz inspektora ochrony danych, którzy będą zarządzać tym procesem w sposób ciągły.
Od czego zacząć?
Wyzwanie może się wydawać niezwykle trudne, ale jest kilka sprawdzonych działań, od których najlepiej zacząć. Najpierw trzeba ustalić, jakie dane posiada firma i jak wygląda ich przepływ — wewnątrz firmy i poza nią. Należy przeprowadzić wszechstronny audyt danych, po czym sklasyfikować te dane według związanego z nimi ryzyka. Następnie należy odwzorować na dane odpowiednie mechanizmy i procesy zabezpieczeń, aby zredukować ryzyko. RODO bazuje na wcześniejszych europejskich przepisach o ochronie danych. Jeśli firma je spełniała, łatwiej jej będzie zapewnić zgodność z nowymi przepisami. Warto również zainteresować się takimi normami jak ISO 27001, a nawet US NIST. Oferują one kluczowe, sprawdzone rozwiązania w dziedzinie ochrony prywatności, mechanizmów kontrolnych, zarządzania ryzykiem itd.
Wysłaliśmy prośby o zgodę na wykorzystanie danych do celów marketingowych. Czy to wystarczy?
Niestety nie. RODO to znacznie więcej niż konieczność uzyskania od klientów wyraźnej zgody na wykorzystanie ich danych. To także ochrona danych: zapewnienie, że dane są przechowywane i przetwarzane w sposób bezpieczny i zgodny z prawem oraz umożliwienie wglądu w dane osobowe lub ich trwałego usunięcia. Trzeba pamiętać, że nawet jeśli firma spełnia prośby o usunięcie lub przeniesienie danych, to może być zobowiązana do zachowania niektórych danych lub dzienników kontroli ze względu na inne wymogi.
Co z moimi dostawcami?
Obecnie jest to największa i potencjalnie najbardziej niebezpieczna biała plama na mapie RODO. Według KPMG tylko 10% firm o zasięgu światowym sprawdziło zgodność swoich dostawców. Jest to bardzo pracochłonne ze względu na złożoność współczesnych łańcuchów dostaw, obejmujących często wielu dostawców usług chmurowych i zarządzanych. Jest to też niezwykle ważne, ponieważ ataki na partnerów są przyczyną wielu wycieków danych i mogą dać intruzom dostęp do sieci firmy. Należy sprawdzić wszystkie umowy i przeprowadzić audyty zgodności dostawców.
Czy zostanie na nas nałożona kara?
Brytyjski urząd ds. ochrony danych ICO bardzo jasno wypowiedział się na ten temat: „sugerowanie, że dla przykładu będziemy nakładać maksymalne kary za drobne naruszenia przepisów, to sianie paniki”. To chyba dość jednoznaczne stwierdzenie. Trzeba jednak również pamiętać, że choć urzędy będą się starać odgrywać rolę doradczą i edukacyjną — pokazując atrakcyjną perspektywę wyróżnienia się na tle konkurencji zamiast nakładać kary — będzie to miało swoje granice.
Krótko mówiąc: firmy, które nie będą się starać osiągnąć zgodności po 25 maja, narażą się na kary, zwłaszcza gdy przetwarzają wrażliwe dane osobowe lub robią to w sposób potencjalnie niepożądany. W oświadczeniu ICO znajduje się następujące stwierdzenie: „Mniej istotna jest wielkość firmy, a bardziej ryzyko związane z daną firmą i rodzajem przetwarzania danych”.
Pamiętaj: nigdy nie jest za późno na rozpoczęcie procesu zapewniania zgodności. Jeśli firma podejdzie do tego poważnie, może nawet dzięki temu zyskać przewagę nad konkurencją i szanse na większy rozwój.