Nadal mamy problem z RODO

Nadal mamy problem z RODO

RODO obowiązuje już w Polsce od 4 lat, nadal jednak wiele organizacji popełnia błędy w jego stosowaniu. Wiele nieprawidłowości wynika z bazowania na starych przepisach czy niewłaściwego rozumienia samej definicji danych osobowych.

– Przypomnę, że do stosowania zasad RODO zobowiązane są wszystkie instytucje, organizacje i przedsiębiorstwa, zarówno publiczne, jak i prywatne. Mimo lat praktyki nawet najlepszym zdarza się jeszcze popełniać błędy w stosowaniu ogólnoeuropejskich zasad. Najczęściej dotyczą one trzech obszarów: tworzenia dokumentacji, rozumienia samej definicji danych osobowych i stosowania zasad zgodnie z prawem. Pomyłki mogą niestety oznaczać wysokie kary, czasem zagrażające płynności finansowej – mówi Jagienka Smura, Konsultant ds. RODO i bezpieczeństwa informacji w Lancea Security Consulting

Trzy najczęstsze błędy w ochronie danych

Większości osób wydaje się, że najbardziej „błędogennym” jest korzystanie ze zebranych danych i sposób informowania ich właścicieli o sposobie ich przetwarzania. Okazuje się jednak, że sporo problemów mamy też z zupełnymi podstawami. Jak to wygląda w praktyce?

1.    Bazowanie na przestarzałych zasadach

W myśl RODO każda organizacja musi mieć Rejestr Czynności Przetwarzania, zawierający opis sposobów zabezpieczenia danych, czyli mówiąc językiem prawnym – Opis Technicznych i Organizacyjnych Środków Bezpieczeństwa. Powinien on oczywiście być zgodny z zasadami wprowadzonymi w życie w 2018 r. Ponadto, każda organizacja zobligowana jest do przeprowadzenia analizy ryzyka, która pomoże dostosować poziom zabezpieczeń danych do wymogów. W praktyce jednak często dokumenty te zawierają nadal stare zasady z czasów sprzed unijnego rozporządzenia, czyli w myśl Polityki

Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym. Treść takiej dokumentacji jest nic nie warta – zarówno z formalnego, jak i technicznego punktu widzenia.

– Zasady, wywodzące się z Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym to przepisy sprzed około 15 lat. Najważniejszy jest aspekt technologiczny. Drastycznie zmienił się sposób przechowywania i przetwarzania wszelkich danych, w tym osobowych. Jeszcze nie tak dawno większość dokumentacji tworzono na papierze i przechowywano w szafie pancernej. Dziś wszystkie te procesy uległy cyfryzacji. To oznacza, że mamy do czynienia z innym rodzajem ryzyka ich wycieku, które w dodatku jest znacznie większe niż w czasach dominacji papieru. W tej sytuacji czołową rolę pełni cyberbezpieczeństwo – wyjaśnia Szymon Bąk, Specjalista ds. ubezpieczeń cybernetycznych z EIB S.A.

2.    Niewłaściwe rozumienie definicji danych osobowych

Kolejny problem to błędne rozumienie samej definicji danych. To powoduje, że niektóre informacje uznaje się za nieistotne, a w praktyce wszystkie dane o człowieku powinny być chronione. Błędny schemat również ma swoje źródło w przeszłości – w Polsce przed 2004 rokiem za dane osobowe uznawało się wyłącznie informacje identyfikacyjne. Zgodnie z definicją zapisaną w RODO, dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To znaczy, że chodzi nie tylko o imię, nazwisko, datę urodzenia, płeć i podobne. Dane osobowe to np. również informacje o posiadanych nieruchomościach czy pojazdach.

W tym miejscu pojawia się znów wątek technologiczny. W definicji danych osobowych według RODO mieszczą się też… zdjęcia. Czy zatem można swobodnie je publikować w mediach społecznościowych? To informacje udostępniane w końcu publicznie, niezależnie od tego, czy da się zidentyfikować osoby widoczne na zdjęciu, więc podlegają ochronie. To samo dotyczy innych informacji udostępnianych na publicznym profilu firmy w mediach społecznościowych, w których wspominamy o pracownikach, partnerach biznesowych, klientach. W tej sytuacji warto zastanowić się, czy rzeczywiście musimy publikować te zdjęcia ze spotkań firmowych, konferencji, targów, a także z życia firmy?  

3.    Dane osobowe przetwarzane niezgodnie z prawem

Błędy powstają też na skutek zawiłości formalnych. Aby przetwarzanie danych odbywało się zgodnie z prawem, musi spełniać warunki zapisane w konkretnych artykułach RODO – 6 i 9. Gdzie zatem można popełnić błąd? Stosując je rozłącznie.  Art. 6 jest podstawą, a 9 to tylko jego uzupełnienie, w przypadku danych szczególnych, tzw. „wrażliwych”.

– To problem wypierany przez wielu inspektorów danych w organizacjach. Jeśli w firmie postępuje się według błędnego modelu, koniecznie trzeba poprawić Klauzule Informacyjne oraz przeredagować Rejestr Czynności Przetwarzania Danych. Jeśli te treści są błędne, w przypadku kontroli można spodziewać się wysokiej kary. Świadomość tego błędu przebija się do polskiej praktyki bardzo powoli. Podobnie jest, niestety, także w przypadku stosowania przestarzałych zasad przy tworzeniu dokumentacji RODO oraz rozumieniu definicji danych osobowych. Zmiany w prawie i technologii zachodzą szybciej, niż zdajemy sobie z tego sprawę. Wszystkie instytucje muszą zatem podążać z duchem czasu, aby nie narazić się na kary finansowe – mówi Jagienka Smura.

Ubezpieczenie kołem ratunkowym?

Jak widać błędy zdarzają się nawet najlepszym. Od ich skutków można się jednak chronić, korzystając z odpowiednich ubezpieczeń. Podstawą programu ochrony powinno być ubezpieczenie od skutków zdarzeń cybernetycznych (z racji tego, że dane co do zasady przechowujemy i przetwarzamy elektronicznie). Umożliwia ono m.in. wypłatę środków na pokrycie kosztów związanych z zabezpieczeniem i odtworzeniem zasobów cyfrowych, jeśli dojdzie do wycieku w efekcie ataku hakerskiego czy błędu ludzkiego.  Co jednak ważniejsze, ubezpieczenie zakłada pokrycie kosztów działań wymaganych przez RODO w razie takiego zdarzenia, czyli przeprowadzenia akcji informacyjnej wśród potencjalnych ofiar wycieku. Ponadto zapewnia zwrot kosztów związanych z postępowaniami administracyjnymi i sądowymi oraz wypłatę odszkodowań. Na ogół cyberpolisa może uwzględniać też zapłacenie kar nałożonych w myśl RODO.

– Dobrze skonstruowany program ochrony powinien uwzględniać jeszcze jeden rodzaj polis – D&O, czyli odpowiedzialności cywilnej członków kadry menedżerskiej, w końcu nieprawidłowości w tworzeniu dokumentacji, definiowaniu danych osobowych i przetwarzaniu ich zgodnie z prawem to zazwyczaj rezultat niewłaściwej decyzji, podjętej przez konkretną osobę. Właściciele firmy czy akcjonariusze mogą zatem wystąpić z roszczeniami wobec decydentów, którym będą chcieli przypisać odpowiedzialność za straty. Przykładowo, mogą oczekiwać zrefundowania kar administracyjnych czy wyrównania innych szkód wynikających z incydentu RODO. A ubezpieczenie D&O zapewni „oskarżonym” menedżerom pokrycie kosztów obrony oraz dodatkowo tych strat, jeśli rzeczywiście okaże się, że wynikają one z zaniedbań osób odpowiedzialnych  – dodaje Szymon Bąk z EIB S.A.

Źródło: EIB S.A.

Portal internetowy ForumBiznesu.pl

Portal internetowy ForumBiznesu.pl

Portal internetowy ForumBiznesu.pl

Portal internetowy ForumBiznesu.pl

Publish the Menu module to "offcanvas" position. Here you can publish other modules as well.
Learn More.