Ochrona danych komputerowych: poważne wyzwanie dla firm

Firmy na całym świecie przechowują ogromne ilości danych komputerowych o swoich klientach, partnerach i dostawcach usług.

Czasami może być trudno zrozumieć, w jaki sposób można wykorzystać wszystkie te informacje, z których niektóre są bardzo wrażliwe.

A to, czy znajdujesz się w Europie, czy w Stanach Zjednoczonych, może mieć duże znaczenie, jeśli chodzi o ramy prawne i obowiązki dotyczące tych danych.

Dane komputerowe: co to tak naprawdę jest?

163 zettabajty (163 miliardy terabajtów) to ilość danych komputerowych, które będą przechowywane na całym świecie do 2025 roku. Istnieje kilka rodzajów danych komputerowych, takich jak dane osobowe.

Dane osobowe to wszelkie informacje dotyczące osoby fizycznej, która jest zidentyfikowana lub możliwa do zidentyfikowania, bezpośrednio lub pośrednio, poprzez odniesienie do numeru identyfikacyjnego lub jednego lub więcej czynników charakterystycznych dla tej osoby.

Osobę można zidentyfikować, na przykład, jeśli plik zawiera informacje umożliwiające jej rozpoznanie (np. nazwisko, imię, numer telefonu, zdjęcie, numer rejestracyjny samochodu, adres IP, cechy biometryczne, takie jak odciski palców itp.)

W ramach spółki tworzenie i przetwarzanie takich danych teoretycznie podlega obowiązkom mającym na celu ochronę prywatności i wolności jednostki.

Ochrona danych: kluczowa kwestia w relacjach z klientami

Ogromny rozwój technologii cyfrowych sprawił, że kwestia ta stała się jeszcze bardziej złożona. Technologie informacyjne i komunikacyjne są źródłem dużej ilości danych osobowych i wrażliwych, a także "śladów komputerowych", które można wykorzystać dzięki rozwojowi oprogramowania, w szczególności wyszukiwarek. Firmy muszą pamiętać, że trudno jest uniknąć kradzieży danych.

Wielu obywateli uważa, że ich dane osobowe nie są odpowiednio przetwarzane.

Obecnie lojalność wobec marki zależy częściowo od zdolności do zapewnienia bezpieczeństwa danych cyfrowych klientów. Dla firm absolutnie niezbędne jest opracowanie strategii, które ograniczą włamania do ich systemów.

Bardziej rygorystyczne przepisy dotyczące ochrony danych w Europie

Parlament Europejski przyjął szereg dokumentów, w tym rozporządzenie o ochronie danych.

Dokument ten, mający zastosowanie nawet do firm zlokalizowanych poza Unią Europejską, ale skierowany do europejskich konsumentów, określa minimalny zestaw praw i obowiązków mających zastosowanie do przetwarzania danych osobowych, zwłaszcza w Internecie.

Najważniejsze środki, z których większość jest już przewidziana w prawie francuskim, obejmują:

•  Obowiązek uzyskania "jasnej i wyraźnej" zgody przed jakimkolwiek przetwarzaniem danych osobowych;
•  Prawo do przenoszenia danych. Środek ten pozwala użytkownikom usług online na odzyskanie swoich danych i zaimportowanie ich do konkurencyjnej usługi;
•  Prawo do informacji w przypadku piractwa danych;
•  Grzywny w wysokości do 4% globalnego obrotu firmy za naruszenie praw do ochrony danych;
•  Bardziej rygorystyczne obowiązki dla firm.

Bezpieczeństwo danych wrażliwych staje się coraz bardziej uregulowane. Rozporządzenie o Danych Osobowych, opublikowane w Dzienniku Urzędowym Unii Europejskiej, zawiera takie elementy, jak obowiązek uwzględniania ochrony prywatności w fazie projektowania oraz obowiązek domyślnej ochrony prywatności.

Firmy są teraz zobowiązane do oferowania produktów i usług, które gromadzą jak najmniej danych osobowych, zarówno w fazie projektowania, jak i domyślnie. Muszą oferować swoim klientom najwyższy możliwy poziom ochrony ich danych osobowych.

Wewnętrznie administrator danych musi podjąć niezbędne środki w celu zapewnienia najwyższego możliwego poziomu bezpieczeństwa gromadzonych danych.

Będą również musieli przeprowadzać analizy wpływu, jeśli korzystanie z nowych technologii stwarza ryzyko dla praw i wolności zainteresowanych osób.

Nowe dokumenty wymagają również od firm prowadzenia wewnętrznych rejestrów, które będą odzwierciedlać przetwarzanie danych osobowych.

Ponadto CNIL będzie mogła przeprowadzać niespodziewane inspekcje podmiotów przetwarzających dane, aby upewnić się, że podejmują one niezbędne środki bezpieczeństwa.

Wybór dostawcy usług ochrony danych

Kiedy firma decyduje się na przechowywanie całości lub części swoich danych (z których część jest wrażliwa i poufna) u strony trzeciej, musi dokładnie ocenić konsekwencje takiego działania. Wybór dostawcy usług ma kluczowe znaczenie.

Do końca 2015 r. umowa Safe Harbor między Departamentem Handlu USA a Komisją Europejską zezwalała amerykańskim firmom na eksport danych osobowych obywateli europejskich do Stanów Zjednoczonych, nawet jeśli zabraniało im tego prawo europejskie.

Firma, która wybrała amerykańskiego dostawcę usług, nawet jeśli jej dane były hostowane w Europie, ryzykowała, że wszystkie jej poufne informacje trafią za granicę i nic nie będzie mogła z tym zrobić.

Umowa ta została unieważniona przez Trybunał Sprawiedliwości Unii Europejskiej i zastąpiona nowym tekstem znanym jako Tarcza Prywatności. Umowa ta ma jednak pewne ograniczenia. Na przykład nie może zagwarantować, co stanie się z danymi powierzonymi firmom amerykańskim.

W Stanach Zjednoczonych w czerwcu 2015 r. uchwalono ustawę Freedom Act, upoważniającą rząd USA do dostępu do wszystkich danych przetwarzanych przez amerykańskie firmy, niezależnie od tego, czy znajdują się one w USA, czy nie.

Jeśli amerykański dostawca usług w chmurze ma biura i serwery w Europie, podlega temu prawu. Dlatego tak ważne jest, aby europejskie firmy wybierały lokalnych dostawców usług.  

W Europie przepisy są znacznie bardziej rygorystyczne. Gromadzenie danych osobowych jest ściśle regulowane. Konieczne jest uzyskanie zgody osoby zainteresowanej, określenie celu gromadzenia danych, umożliwienie jej ich zmiany lub usunięcia. Ponadto formalnie zabronione jest przekazywanie tych danych poza terytorium Europy.