RODO. Czy strach ma wielkie oczy?
Nowe, unijne rozporządzenie o ochronie danych osobowych zacznie nas obowiązywać za kilka miesięcy – już od 25 maja 2018 roku wszystkie firmy, które obcują z tzw. „danymi wrażliwymi osób fizycznych” będą musiały wdrożyć rozwiązania, które pozwolą na minimalizację ryzyka ich wycieku. Co zaś, jeśli mimo wszystko coś – w wyniku niedopatrzenia lub ataku hakerów – wydostanie się z naszej bazy? Czekać na nas mogą nawet wielomilionowe kary.
Czym jest RODO?
Ekwiwalent angielskiego GDPR (General Data Protection Regulation) znany nam jest bardziej po spolszczeniu funkcjonując pod nazwą RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych). Formuła, która przyjęta została przez Parlament Europejski w kwietniu 2016 roku, ma ujednolicić system zabezpieczeń przepływu danych w krajach członkowskich UE. Co ważne, nie reguluje jednak tego, w jaki sposób zapewnimy bezpieczeństwo swoim klientom – tym musimy się zająć osobiście i postarać się stworzyć odpowiedni model w zależności od tego, czy kierujemy instytucją bankową, ubezpieczeniową lub mniejszym sklepem internetowym. RODO nie informuje, w jaki sposób to osiągniemy – liczą się efekty i koncept. W tym miejscu warto posłużyć się przykładem.
Prowadząc sklep internetowy, który – w skali dynamicznego rozwoju branży IT – jest leciwy, czyli ma już kilka lat, posiadamy zwykle dostęp do danych wrażliwych osób, które dokonały w nim zakupu. Do tej pory wszelkie wycieki informacji o nich nie były – zwykle – nigdzie zgłaszane, zaś media skupiały się tylko na takich sytuacjach, które dotyczyły zintensyfikowanych ataków hakerów i prowadziły m.in. do zdobycia dostępu do bazy dużych banków. Od 25 maja sytuacja nieco się zmieni – przedsiębiorca będzie musiał zgłosić nawet najdrobniejsze problemy w tym aspekcie do 72 godzin od momentu ich powstania. Organem, który musi przyjąć nasze zgłoszenie, będzie Generalny Inspektorat Ochrony Danych Osobowych. To novum, gdyż do tej pory właściciele firm raczej nie zgłaszali drobnych potknięć ze swojej strony… Wróćmy jednak do przykładu.
W momencie, w którym przedsiębiorca nie dopilnuje obowiązku zgłoszenia, nałożona zostać może na niego kara – w zależności od skali pominięcia nowych przepisów wynieść może do 20 milionów Euro lub stanowić nawet 4% rocznych obrotów firmy. O tym, którą z opcji zostaniemy obciążeni, zadecyduje bardzo prosta zasada. Jeżeli wartość procentowa przekroczy wspomniane 20 milionów zapłacimy… Więcej.
Wobec nowych regulacji warto skupić się więc na dwóch elementach – zabezpieczeniu zarówno naszych klientów, jak i swojej firmy.
Zmiana definicji danych osobowych
Wspomnijmy jeszcze jednak przez chwilę o samej specyfice danych osobowych o których tak dużo dziś mówimy, a która – w zgodzie z RODO – została dość poważnie przedefiniowana. Według widniejących w serwisie blog-daneosobowe.pl przyjęte do tej pory standardy świadczące o tym, czy możemy mówić o danych osobowych, czy też nie, przyjęte zostały w myśl dyrektywy 95/46/WE, według której możemy uznać za nie wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Na tej podstawie opierać będziemy się również po 25 maja. Kilka elementów ulegnie jednak rozszerzeniu. Zmiana dotknie m.in. traktowania adresu IP oraz zbieranych przez popularne na stronach ciasteczka informacji. Oczywiście, nowe definicje wymagają nowych regulacji prawnych – dlatego we wszystkich umowach segment dotyczący kwestii danych osobowych zostanie – dzięki regulacjom RODO – znacznie poszerzony. Jeśli chcielibyście poczytać o wszystkich nowych regulacjach dotyczących danych osobowych, wejdźcie tutaj.
Problematyczne, starsze strony
Fakt, iż RODO dotyczyć będzie wszystkich firm mających dostęp do danych wrażliwych, jest dość istotny zwłaszcza wtedy, gdy weźmiemy pod uwagę powszechną technicyzację biznesu. Niemal każdy przedsiębiorca posiada firmową stronę internetową, często zaś w jej karb włożony zostaje również sklep online – jedna z efektywniejszych form sprzedaży przez Internet. Posiadając przestarzałe systemy, niejako sami wyciągamy rękę do wszystkich tych, którzy chcą znaleźć dziury w naszych zabezpieczeniach, gdyż… Sami je poszerzamy. Umówmy się – już 2 lata w branży to dużo, nie wspominając nawet o zmianach wdrożonych w ciągu 3-4 lat. Warto przygotować się więc na ewentualność kradzieży danych z naszych serwerów i wzmocnić ich zabezpieczenia, choć rozwiązanie to często może być zarówno problematyczne, jak i kosztochłonne. Lepszym rozwiązaniem jest zwykle stworzenie nowej platformy zakupowej, która pozwoli w dalszym ciągu na generowanie przychodów, jak i uniknięcie kar.
Obawiasz się RODO? Doradzimy i pomożemy wdrożyć w życie nowe, bezpieczne rozwiązania! Skontaktuj się z nami już teraz!
Czy warto się ubezpieczyć od cyberprzestępstw?
Czy można jednak w jakiś sposób zapewnić sobie spokojny sen i nie obawiać się tego, że przez jeden błąd lub niedopatrzenie stracimy sporą część zysków? Ano można. O ile oczywiście zdołamy się przemóc i zainwestujemy w – wciąż traktowane w kategoriach paserstwa i czarnej magii w Polsce – specjalistyczne ubezpieczenia od cyberprzestępstw. Cieszą się one sporą popularnością już na ten moment, zaś prognozy dość wyraźnie wspominają o tym, że sama tendencja ma charakter progresywny. Z tego względu warto pomyśleć również o tym, by pomyśleć o profesjonalnym ubezpieczeniu przed, a nie post factum, gdyż – podobnie jak prawo – ubezpieczenia od cyberataków nie działają wstecz.
Czy należy… Bać się RODO?
Proponowane przez nas dwie drogi – modernizacja stron i sklepów z danymi osobowymi i jednoczesne ubezpieczenie własnej działalności – zdają się uzupełniać i zapewniać bezpieczeństwo naszym klientom i nam samym. Wprowadzone przez RODO wytyczne są restrykcyjne, to prawda, niemniej w żadnym wypadku nie powinniśmy nakładać włosiennicy i oddać się samobiczowaniu, gdyż sam projekt zakłada raczej minimalizację ryzyka związanego z wyciekiem informacji, co w efekcie pozwala nam, konsumentom, czuć się bezpieczniej.
Jeśli odpowiednio zaplanujemy najbliższe miesiące również jako przedsiębiorcy nie powinniśmy przestraszyć się nowych regulacji. Dlatego warto chyba teraz, już niemal w ostatnim momencie, uświadomić sobie, że należy dość mocno przygotować swoją witrynę lub sklep – tak, żeby mieć pewność, iż wszystko będzie dokładnie tak, jak sobie to zaplanowaliśmy.