Cyberbezpieczeństwo w obliczu nowych regulacji RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych weszło w życie 27 kwietnia 2016 roku.

Jej celem jest gruntowna przebudowa modelu ochrony danych osobowych w ramach krajów wspólnoty, której skutkiem ma być lepsze bezpieczeństwo poufnych danych osobowych jako prawa podstawowego. Jednocześnie nastąpi aktualizacja rozwiązań prawnych do potrzeb współczesnego rynku i nieustannie rozwijającej się technologii.

Kluczową datą w kontekście rozporządzenia jest 25 maja 2018 roku – do tego dnia krajowe podmioty mają czas na dostosowanie sowich procedur i systemów teleinformatycznych do nowych wymogów. Co oczywiste – wiąże się to z wieloma wyzwaniami zarówno natury informatycznej jak i formalno-prawnej.

Zacznijmy od definicji

Wiele pojęć i terminów zostało doprecyzowanych, wśród nich znajdziemy między innymi:

Dane osobowe – informacje dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania. Rozszerzone o dodatkowy zakres m.in: dane lokalizacji, adres IP, czy stan zdrowia.

Dane biometryczne – informacje dotyczące danych osobowych przetwarzanych z wykorzystaniem cech fizycznych i fizjologicznych, pozwalające na identyfikację.

Dane genetyczne – dane osobowe bazujące na cechach dziedzicznych lub nabytych w skutek genów i są źródłem unikatowych informacji.

Profilowanie – sposób przetwarzania danych osobowych polegający na gromadzeniu informacji służących do określenia jej konkretnych zachowań, prognozy stanu zdrowia lub wiarygodności.

Jak mają być przetwarzane dane osobowe?

Rozporządzenie określa ogólne zasady jakimi mają kierować się operatorzy:

• zgodność z prawem,
• rzetelność i przejrzystość,
• ograniczenie celu – gromadzenie tylko gdy jest to konieczne,
• minimalizacja danych,
• prawidłowość – a więc wymóg aktualizacji danych,
• ograniczenie przechowywania,
• bezpieczeństwo.

Prawo do bycia zapomnianym

Rozporządzenie wdraża nowy mechanizm prawny zwany potocznie “prawem do bycia zapomnianym”. Dany obywatel ma prawo żądać usunięcia swoich danych z systemu operatora. Skasowanie danych musi odbyć się niezwłocznie gdy cel w jakim zostały zgromadzone został wykonany lub gdy osoba której dotyczą cofnęła zgodę na ich przetwarzanie.

W sytuacji gdy pomimo przekazania informacji administratorowi systemu do takich czynności nie dochodzi – dane będą przetwarzane niezgodnie z prawem.

Inspektor ochrony danych

Rozporządzenie nakłada również obowiązek powołania Inspektora Ochrony Danych, który przejmie obowiązki obecnego Administratora Bezpieczeństwa Informacji. Wśród grupy przedsiębiorstw zobowiązanych do jego powołania zalicza się:

• podmioty publiczne (z wyjątkiem sądów),
• główna działalność podmiotu polega na monitorowaniu osób na dużą skalę,
• główna działalność podmiotu polega na przetwarzaniu danych osobowych na dżą skalę.

Głównym zadaniem stawianym przed inspektorem będzie czuwanie nad wypełnianiem obowiązków prawnych przez dany podmiot – w tym jego pracowników. Będzie on musiał również kontaktować się z danymi organami kontroli w momencie wykrycia naruszeń oraz wydawać własne rekomendacje mające na celu poprawę bezpieczeństwa.

Kary za naruszenia – ubezpiecz cyberbezpieczeństwo

Autorzy regulacji przewidzieli wysokie kary finansowe dla podmiotów, które nie będą stosować się do nowego prawa. Ich wysokość w każdym przypadku ma być ustalana indywidualnie tak aby zachować zasadę “skutecznie, proporcjonalnie, odstraszająco).  Przedsiębiorstwa muszą liczyć się z utratą od 2% do 4% całkowitego rocznego obrotu za poprzedni rok obrachunkowy.

O ile do powszechnego obowiązywania przepisów zostało jeszcze sporo czasu – wiele firm już dziś wdraża regulacje aby być przygotowanymi na nowe wyzwania. Equinum Broker oferuje produkt ubezpieczeniowy w formie ubezpieczenia cybernetycznego, które pozwala pozyskać środki finansowe na przeciwdziałanie negatywnym skutkom ataków hakerskich, kradzieży danych lub wynagrodzeń specjalistów branży IT.