Szykują się duże kary? Firmy nie są gotowe na nowe przepisy
Po wejściu w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) za niewłaściwą ochronę danych firmy zapłacą gigantyczne kary. Już za pół roku. Spora część firm nie jest na to jednak gotowa.
RODO niejako rozszerza pojęcie danych osobowych. Do tej pory dotyczyło ono głównie imion i nazwisk, adresów, dat urodzenia, maili itp. Według nowego rozporządzenia dane osobowe to również numery ID, informacje dotyczące lokalizacji, wskaźniki odnośnie zdrowia fizycznego i psychicznego, statusu majątkowego oraz społecznego, a nawet dane genetyczne czy biometryczne, które pomogłyby zidentyfikować konkretną osobę. Właśnie takie informacje wyciekają podczas ataków hakerskich lub zwykłych błędów.
Nowy przepis będzie prawdziwą rewolucją. Od 25 maja 2018 roku, kiedy RODO zacznie obowiązywać, firmy w ciągu 72 godzin będą miały obowiązek zgłoszenia każdego incydentu władzom, opinii publicznej i klientom, którzy mogli ucierpieć na skutek ataku. Jeśli przedsiębiorca tego nie zrobi, zapłaci gigantyczną karę - od 10 mln do 20 mln euro lub od 2 do 4 proc. rocznego obrotu - w zależności, która z sankcji będzie bardziej dotkliwa.
Firmy zapłacą więc olbrzymie kary, jeżeli dojdzie do ataku hakerskiego i wycieku danych. Powinny więc już robić wszystko, by przygotować się na ewentualne próby kradzieży poufnych informacji. Tymczasem jak wynika z badania IDC 2017, niemal 80 proc. osób decyzyjnych z działów IT w firmach nie jest w pełni świadomych konsekwencji Rozporządzenia o Ochronie Danych Osobowych lub w ogóle nie słyszało o RODO.
Spośród pozostałych 20 proc. tylko jedna piąta spełnia nowe wymogi, 59 proc. wciąż pracuje nad wdrożeniem odpowiednich zmian, a 21 proc. przyznaje, że nie jest przygotowana.
A do zrobienia jest sporo.
- Przede wszystkim organizacje powinny dokładnie sprawdzić, jakie kategorie danych przechowują i czy są one wykorzystywane do właściwych celów. Kolejny krok to zweryfikowanie, kto ma dostęp do danych i czy są one bezpiecznie przechowywane – konieczna jest rewizja polityki cyberbezpieczeństwa. Warto przyjrzeć się temu, jak działa obieg informacji wewnątrz firmy i w końcu, kto jest odpowiedzialny za zarządzanie danymi – mówi Marcin Czarnecki, Konsultant ds. Ochrony Danych Osobowych w firmie Konica Minolta Business Solutions Polska.
Wymagane są liczne inwestycje, z zakresu zarządzania danymi czy oprogramowania. Ważne jest też sprawdzenie partnerów i dostawców usług, a także - jak radzą eksperci - zatrudnienie lub oddelegowanie osoby odpowiedzialnej za bezpieczeństwo danych. Tymczasem jak sugerują badania, wiele firm nadal nie wie, czym jest i czym grozi RODO. Konsekwencje mogą być ogromne.
Warto być świadomym RODO nie tylko z powodu kar. Nowy przepis to świetny prezent dla przestępców – uważa szef rozwoju F-Secure, Mikko Hypponen. – Do tej pory hakerzy atakujący firmy za pomocą ransomware nie wiedzieli jak dużo pieniędzy mają żądać za oddanie kontroli nad danymi. Z pomocą przychodzi im RODO, które dokładnie wycenia, ile dla firmy warte są dane ich klientów – mówił w rozmowe z WP Tech.
Włos może jeżyć się na głowie, gdy słyszymy, że firmy nie są świadome, co zmienia RODO.
