Cisco Poland Blog

Pięć rzeczy, które musisz wiedzieć o GDPR

4 min read



Prawdopodobnie dotarła już do Ciebie informacja, że 25 maja 2018 r. będzie istotną datą. Oprócz tego, że jest to dzień poprzedzający o kilka tygodni rozpoczęcie się Mistrzostw Świata FIFA w Rosji, jest to również data wejścia z życie poprawki GDPR (ogólnego rozporządzenia o ochronie danych).

GDPR (General Data Protection Regulation) już w tym momencie nakłania przedsiębiorstwa do dokonania zasadniczych zmian w sposobie ich funkcjonowania oraz w sposobie zarządzania ryzykiem. Firmy mają teraz mniej niż rok, aby dostosować infrastrukturę i uniknąć kar finansowych w przyszłości.

Zebraliśmy 5 najważniejszych pytań i odpowiedzi dotyczących GDPR. Sprawdź, w jaki sposób zmiany w rozporządzeniu będą miały wpływ na Twoją firmę i jak możesz się na nie przygotować.

1) Czym jest GDPR oraz dlaczego jest wprowadzane?

Ogólne rozporządzenie o ochronie danych (GDPR) wprowadzi nowe przepisy, które będą dotyczyć firm na całym świecie. Będzie ono obowiązywało wszystkie firmy mające siedzibę na terenie Europejskiego Obszaru Gospodarczego, jak również tych, które działają w obrębie rynków lub konsumentów Unii Europejskiej (UE).

W skrócie GDPR daje obywatelom UE nowe prawa w zakresie danych osobowych, takie jak na przykład prawo do wycofania zgody na przetwarzanie danych osobowych oraz łatwiejszy dostęp do swoich danych. Prawo to zmusza firmy do wzięcia na siebie większej odpowiedzialności za gromadzone dane użytkownika i do zapewnienia, że zrobią wszystko, aby te dane chronić.

Rozporządzenie zostanie wprowadzone z dwóch powodów. Pierwszy dotyczy nadania prawa do kontroli danych osobowych indywidualnym użytkownikom. Firmy już nie będą mogły bez ważnego uzasadnienia zbierać dowolnych informacji na ich temat.

Po drugie, każdy kraj ma obecnie własne prawo w zakresie kontroli praw dostępu do danych. Co się zatem dzieje, gdy firma z siedzibą w Austrii ma klientów w całej Polsce, Niemczech i Rumunii? Jakie prawo odnosi się do nich? GDPR będzie bardziej przejrzyste i łatwiejsze do zrozumienia w kwestii reguł, które w takich przypadkach należy przestrzegać.

Prawdę mówiąc, niektóre kraje mają już prawa, które są bardzo podobne do GDPR, ale z jedną zasadniczą różnicą: wielkość kar finansowych. Sankcje za nieprzestrzeganie GDPR są bardzo wysokie. Potrafią wystraszyć nawet największych graczy. Grzywny mogą osiągnąć poziom 4% rocznego obrotu lub nawet 20 milionów euro, w zależności od tego, która kwota będzie wyższa.

Dla przedsiębiorstw najważniejsze jest to, że muszą pogodzić się z wprowadzanymi zmianami. Grzywny i potencjalne sankcje są zbyt wielkim ryzykiem, aby można je było zignorować. Im szybciej rozpoczniesz przygotowania, tym lepiej.

2) Co zrobić, jeśli moja organizacja ma siedzibę poza UE? Czy nadal muszę przestrzegać GDPR?

GDPR ma wpływ na każdą organizację, która aktywnie kieruje reklamy do klientów lub użytkowników z Unii Europejskiej, a nie tylko na te firmy, które są fizycznie zlokalizowane w UE.

W jaki sposób UE jest w stanie sprawdzić czy moja firma prowadzi działalność na jej obszarze? Istnieje kilka sposobów na weryfikację. Wystarczy zadać sobie kilka pytań. Na przykład – czy Twoja firma ma domenę .eu? Czy Twoja strona internetowa została przetłumaczona na języki europejskie? Czy stosujesz Euro jako walutę? Czy masz europejskie studia przypadków? Jeśli odpowiedziałeś “tak” na co najmniej jedno z tych pytań, musisz postępować zgodnie z GDPR.

Istnieje prawdopodobieństwo, że Twoja organizacja wykorzystuje w pewnym stopniu dane osobowe obywatela UE. Jeśli uważasz, że nie, zapoznaj się z zasadami dotyczącymi danych osobowych, które dotyczą nie tylko szczegóły konta bankowego, adresy e-mail, poufne dane osobowe, ale także adresów IP. Jeśli zastanowisz się, jak wiele organizacji korzysta z informacji na temat adresów IP, to rzeczywiście zakres firm objętych GDPR wzrasta.

Zastanów się nad szerszą perspektywą. Podejmując kroki w celu ochrony danych, będziesz miał znacznie większą szansę na ochronę firmy przed cyberzagrożeniami. To ogromny krok naprzód w kierunku zmiany sposobu postrzegania ochrony danych przez świat i jest pozytywną zmianą dla Twoich klientów.

3) Od czego zacząć planowanie spełnienia kryteriów?

Jedynym sposobem na rozpoczęcie, jest przeprowadzenie analizy obecnej sytuacji. Opracuj, co musisz zrobić, aby spełniać wymagania GDPR, ponieważ istnieją bardzo szczegółowe wytyczne. Porównaj je z procesami i strukturą tego, co obecnie funkcjonuje w Twojej firmie, a następnie zidentyfikuj ewentualne luki.

Następnie możesz zbudować mapę kolejnych kroków. Najważniejsze jest rozbudzić w Twoim przedsiębiorstwie świadomość tego, co jest oczekiwane od Twoich pracowników, w każdym momencie podróży. Im dłużej będziesz odkładać ten krok, tym bardziej stresujące będzie wprowadzenie zmiany.

Jeśli potrzebujesz pomocy specjalistów, skontaktuj się z Cisco. Nasi eksperci od prywatności i ochrony danych pomogą Ci zrozumieć co należy zrobić, aby dostosować się do GDPR.


4) Czy zakup określonej technologii wystarczy, aby być w zgodzie z GDPR?

Niekoniecznie. GDPR dotyczy procesów z zakresu bezpieczeństwa i zarządzania ryzykiem. Technologia odgrywa tutaj ważną rolę, lecz nie ma produktu, który rozwiąże wszystkie Twoje problemy. Technologia nie będzie pomocna, dopóki wszystkie procesy nie będą działały spójnie.

Wielu ludzi nadal postrzega cyberbezpieczeństwo jako problem technologiczny, który można rozwiązać odpowiednim rozwiązaniem technologicznym. Niestety, hakerzy z czasem stają się coraz sprytniejsi. Technologia sama w sobie zaczyna być niewystarczająca do ich zatrzymania. Będą szukali słabych punktów, aby znaleźć możliwość ataku.

Zapoznaj się z naszym niedawno opublikowanym raportem Midyear Cybersecurity, aby dowiedzieć się, jaki rodzaj eskalacji jest używany obecnie przez cyberprzestępców. Reguły gry uległy zmianie, a ochrona przed naruszeniami danych powinna być wysoko w agendzie wszystkich przedsiębiorstw.

GDPR wskazuje również, że organizacje muszą wyznaczyć osobę ds. ochrony danych, która różni się od pracownika ds. ryzyka oraz od większości podobnych, obecnie istniejących funkcji informatycznych.

Pracownicy ds. ochrony danych mają określony zakres funkcjonowania. Ich rola pozostaje poza informatyką i poza salą konferencyjną, w związku z czym posiadają oni autonomię, aby podejmować decyzje w najlepszym interesie zgodności z wymaganiami GDPR.

5) Jak GDPR wpłynie na sposób radzenia sobie z naruszeniami danych?

Obecnie, w niektórych krajach UE, informacja o tym, że firma ucierpiała z powodu naruszenia bezpieczeństwa danych osobowych nie musi być ujawniana. Jednak niektóre firmy ze względów etycznych i moralnych czują się do zobowiązane do poinformowania o naruszeniu, szczególnie jeśli dotyczy ono bezpośrednio ich klientów.

GDPR nałoży taki obowiązek na wszystkie firmy. Jeśli w ciągu 72 godzin nie poinformujesz o naruszeniu, spotka się kara.

Jeśli organizacje nie wdrożą właściwych procesów lub technologii, nie zawsze są w stanie stwierdzić, jak bardzo niebezpieczne jest dla nich dane naruszenie. W związku z tym ich odpowiedzi na następujące pytania nie będą przekonywujące: “Co zostało zrobione”, “Co zamierzasz z tym zrobić?” lub “Czy możesz zapewnić, że to się nie powtórzy?”.

Po drugie, średni czas wykrycia ataku w biznesie to od 100 do 200 dni, co jest wyjątkowo długim okresem. W firmie Cisco zostało to skrócone do 3,5 godziny, co jest ogromnym osiągnięciem. Krótki czas wykrywania naruszeń w połączeniu z naszą technologią Stealthwatch pomoże firmom zidentyfikować co się stało i jak najlepiej zapobiec uszkodzeniom – zarówno teraz, jak i w przyszłości.

Organizacje muszą być świadome aktualnych zagrożeń i być przygotowane na próbę kradzieży danych. Jest to zachowanie w dużej mierze ukierunkowane na proces – chodzi w nim o rozpoznanie naruszenia, a następnie zapobiegnięcie ewentualnym szkodom. Do tego właśnie stara się zachęcić GDPR.

Skontaktuj się z nami, aby dowiedzieć się w jaki sposób możemy Ci pomóc we wdrożeniu procesów związanych z GDPR.

Authors

Carolina Marino Sargeant

Subject Matter Expert

Security

Leave a comment