General Data Protection Regulation (GDPR – Unijny skrót ), czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych ( RODO – polski skrót) zostało ostatecznie przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 roku i zacznie obowiązywać od 25 maja 2018 roku (dotychczasowa ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. utraci moc). Wymusi wiele zmian w tych podmiotach, które gromadzą i przetwarzają dane osobowe, przede wszystkim w zakresie systemów informatycznych (również klasy ERP), działań marketingowych i obsługi klientów. Firmy, które korzystają z takich rozwiązań muszą zadbać, aby były one bezpieczne i chroniły dane osobowe przed ingerencją osób nieupoważnionych. Zasadnicza zmiana podejścia polega na obowiązku aktywnego zabiegania o ochronę prywatności, a nie tylko wypełnianiu konkretnych zapisów ustawy.
RODO liczy 99 artykułów i 173 motywy preambuły, a do tego jeszcze należy wliczyć przepisy nowej polskiej ustawy o ochronie danych osobowych. Nie od dziś wiemy, że rozwój technologii wpłynął na szereg aspektów funkcjonowania społeczeństwa, a systemy prawne nie nadążyły za galopującą zmianą treści analogowej na cyfrową. Korzystanie z Internetu, komputerów i urządzeń mobilnych oraz przeniesienie komunikacji na ścieżkę elektroniczną (dzielenie się informacjami poprzez emaile, Messenger, smsy i media społecznościowe) musiało zaowocować koniecznością dostosowania prawa ochrony danych osobowych i danych wrażliwych.
Unijni urzędnicy chcieli unowocześnić regulacje o ochronie danych osobowych, które obowiązują od 1995 roku, bo w dobie postępującej cyfryzacji miały coraz mniejsze zastosowanie praktyczne, a nowe prawo ma być aktualne niezależnie od rozwoju technologii. Dlatego rozporządzenie to nie zawiera konkretnych wytycznych o zabezpieczeniu danych osobowych, gdyż Unia Europejska musiałaby napisać je dla każdej branży osobno. Dla Firm oznacza to, że wdrożenie nowych regulacji będzie wymagało pracy na tzw.„wyczucie” i zrodzi potrzebę istotnego dostosowania pod profil własnej działalności. Inaczej zabezpiecza się dane w sektorze ubezpieczeniowym, inaczej bankowym, a jeszcze inaczej w handlu internetowym czy transporcie. Oznacza to, że należy stworzyć określony szablon pod różne działalności, biorąc jednocześnie pod uwagę wskazówki i idee, przekazane przez Parlament Europejski i Radę Unii Europejskiej.
Firmy będą musiały samodzielnie przeanalizować jakimi danymi osobowymi dysponują, co z nimi się dzieje w systemie i jakie ryzyko mogłoby się z tym wiązać i wówczas dobrać optymalne środki, które zminimalizują ich utratę lub wgląd osób niepożądanych. Oceną tego, czy dane te są należycie zabezpieczone będzie zajmował się pracownik Urzędu Ochrony Danych Osobowych.
Systemy ERP, w których przetwarzane i przechowywane są dane osobowe, są często dostosowywane do indywidualnych potrzeb konkretnego przedsiębiorcy. Dobrze byłoby uwzględnić wymagania dotyczące ochrony danych i swobodnego przepływu takich danych już na etapie projektowania rozwiązań systemu informatycznego. W przypadku systemów wcześniej wdrożonych konieczne będzie natomiast dostosowanie do wymagań GDPR.
Jedna z zasad, którą uwzględniają nowe przepisy będzie dotyczyła przenoszenia danych osobowych. W praktyce wygląda to następująco: jeśli swoje dane ktoś przekazał do Firmy A, to może żądać, żeby zostały przekierowane do Instytucji B. Systemy muszą zatem być kompatybilne, by wymieniać między sobą informacje z danymi osobowymi. Następną nową zasadą jest prawo do bycia zapomnianym. Konsument, pracownik czy użytkownik będzie mógł żądać nie tylko udostępnienia informacji swoich danych osobowych, ale także usunięcia ich z systemu. Niedopilnowanie nowych obowiązków co do ochrony danych osobowych może Firmę kosztować nawet do 20 mln euro lub 4 % rocznego obrotu Firmy (w zależności od tego, która kwota jest wyższa).
Administrator danych w przedsiębiorstwie zobowiązany będzie prowadzić specjalną dokumentację ochrony danych osobowych, biorąc pod uwagę: politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym czy ewidencję upoważnień do przetwarzania danych osobowych. Instrukcje powinny obejmować takie kwestie jak: rozpoczęcie i zakończenie pracy z systemem informatycznym czy stosowane metody i środki uwierzytelnienia. GDPR mówi, że każde zdarzenie powinno być rozliczane, co oznacza, że musi określać kto i kiedy podejmował działanie na danych osobowych, np. usunął dane. Sieć informatyczna z kolei powinna być zabezpieczona przed atakami z zewnątrz i kradzieżą danych. Wszystkie komputery, na których przetwarzane są dane powinny być zabezpieczone hasłami.
Podsumowując wymagania, które należy wziąć pod uwagę przy wdrażaniu systemu należy wymienić:
- obowiązek prowadzenia rejestrów czynności przetwarzania danych osobowych, nie ma już przy tym obowiązku rejestracji zbiorów danych ani sztywnych wymogów formalnych (długość haseł itp.)
- szerszy niż obecnie obowiązek informacyjny (okres przechowywania danych, zamiar ich przekazania itd.)
- zmiana ABI (administratora bezpieczeństwa informacji) na IOD (inspektor ochrony danych) i analiza konieczności jego powołania
- wdrożenie mechanizmów pozwalających informować osoby o przetwarzaniu ich danych
- ochrona danych w fazie projektowania – kwestie zabezpieczeń danych
- wdrożenie mechanizmu umożliwiającego realizację „prawa do bycia zapomnianym”
- krótszy czas na zgłaszanie naruszeń w zakresie ochrony danych osobowych – 72 godziny
- opracowanie procedur i dokumentów wewnętrznych
- obowiązek uzyskania zgody na profilowanie danych
Należy podkreślić, że nowe przepisy są bardziej rygorystyczne i dostosowanie do nowych przepisów będzie wymagało dodatkowego nakładu pracy. Według ośrodka analitycznego IDC, w 2018 roku 34% wydatków związanych z bezpieczeństwem IT w Europie będzie związanych z koniecznością adaptacji systemów i procesów przedsiębiorstw do nowych wymogów prawnych, dotyczących ochrony danych osobowych. W Polsce obowiązują już przepisy ochrony danych osobowych, tak więc praca nie jest do wykonania „od podstaw” a przepisy i wytyczne trzeba jedynie dostosować do tych nowych.