W 2016 r. weszła w życie nowelizacja ustawy o ochronie danych osobowych. Przewidziane w niej sankcje zaczną obowiązywać od 25 maja przyszłego roku. Warto jednak już teraz wiedzieć więcej o zmianie przepisów. Na ile uzasadnione są obawy firm przed konsekwencjami i jak można się przygotować, odpowiedzieli eksperci.
Ustawa RODO wprowadza m.in. Urząd Ochrony Danych Osobowych w miejsce GIODO (Generalnego Inspektoratu Ochrony Danych Osobowych). Zobowiązuje też przedsiębiorstwa do wykasowania informacji o kliencie, gdy rezygnuje on z ich usług.
Dostosowanie się do wymogów ustawy może zająć minimum kilka miesięcy. Jak uważa Usamah Afifi z DE Consulting, dotyczy to wielu działów firm – od kadr do IT.
Zacząłbym od analizy ryzyka, na jakie możemy trafić. Wiadomo, że każdy biznes jest inny, każdy przypadek firmy jest indywidualny. Natomiast z doświadczenia – na pewno wychodzi to poza obszar IT. Na pewno działy HR, czyli rekrutacyjne, działy marketingu, bo tam jest kwestia zgód i kupowanie baz danych, które zawierają dane osobowe. Działy ryzyk, działy jakości, bezpieczeństwa – wszystkie, które przetwarzają systemy transakcyjne, gdzie są zawarte dane osobowe.Usamah Afifi
Kary nałożone za złamanie przepisów mogą sięgać nawet milionowych kwot.
Na rynku bardzo często kary są używane jako straszak. Klient buntuje się przed takimi hasłami, ale z drugiej strony są to kary w dużym stopniu dyscyplinujące. Są dwie kategorie kar: pierwsze może nałożyć Urząd Ochrony Danych Osobowych. To będą kary między 2 do 4% światowego rocznego przychodu danej firmy bądź 10 do 20 milionów. W zależności od tego, która kwota jest wyższa. To obowiązuje wszystkich. Druga kategoria jest związana z powództwem cywilnoprawnym. Jeśli ja jako klient zobaczę, że moje dane nie zostały właściwie potraktowane, doszło do wycieku danych, które wpływają na moje dobra osobiste, to mogę taką firmę podać do sądu.Usamah Afifi
Nowe rozwiązania, które chronią dane osobowe, wprowadziła firma RICOH. Ich urządzenia drukujące mają funkcję szyfrowania danych. Przedsiębiorstwo opracowało też metody uwierzytelniania użytkowników.
Podstawowa metoda to uwierzytelnianie przy pomocy nadanym użytkownikom kodów PIN. Kolejną jest uwierzytelnianie przy użyciu kart zbliżeniowych – takich samych, z jakich korzystamy w biurach czy na uczelniach. Jest jeszcze jedna metoda, związana z autoryzacją domenową. Tę metodę staramy się rzadko wdrażać. Z uwagi na to, że wymaga niestety wpisania bardzo często długiego hasła i loginu użytkownika.Rafał Szarzyński, dyrektor sprzedaży, firma RICOH
Ustawa o ochronie danych osobowych obejmuje wszystkie spółki, które działają na terenie Unii Europejskiej.
Całość rozmów do odsłuchania poniżej. Wywiady przeprowadził Marcin Fijałkowski.
Usamah Afifi
Rafał Szarzyński