RODO obowiązuje już w Polsce od 4 lat, nadal jednak wiele organizacji popełnia błędy w jego stosowaniu. Wiele nieprawidłowości wynika z bazowania na starych przepisach czy niewłaściwego rozumienia samej definicji danych osobowych! Skutki błędów można minimalizować dzięki cyberpolisom i ubezpieczeniom D&O.
To już 4 lata od wejścia w życie RODO, rozporządzenia, które wyznaczyło nowe standardy w ochronie danych osobowych. To dobry moment, żeby przyjrzeć się jak w Polsce wygląda ochrona danych osobowych w praktyce. Czy jest lepiej niż kiedyś? Czy dbamy o bezpieczeństwo tych informacji odpowiednio skutecznie? A przede wszystkim, czy i gdzie szukać pomocy, jak już do złamania przepisów dojdzie?
– Przypomnę, że do stosowania zasad RODO zobowiązane są wszystkie instytucje, organizacje i przedsiębiorstwa, zarówno publiczne, jak i prywatne. Mimo lat praktyki nawet najlepszym zdarza się jeszcze popełniać błędy w stosowaniu ogólnoeuropejskich zasad. Najczęściej dotyczą one trzech obszarów: tworzenia dokumentacji, rozumienia samej definicji danych osobowych i stosowania zasad zgodnie z prawem. Pomyłki mogą niestety oznaczać wysokie kary, czasem zagrażające płynności finansowej – mówi Jagienka Smura, Konsultant ds. RODO i bezpieczeństwa informacji w Lancea Security Consulting
3 Najczęstsze błędy w ochronie danych
Większości osób wydaje się, że najbardziej „błędogennym” jest korzystanie ze zebranych danych i sposób informowania ich właścicieli o sposobie ich przetwarzania. Okazuje się jednak, że sporo problemów mamy też z zupełnymi podstawami. Jak to wygląda w praktyce?
1. Bazowanie na przestarzałych zasadach
W myśl RODO każda organizacja musi mieć Rejestr Czynności Przetwarzania, zawierający opis sposobów zabezpieczenia danych, czyli mówiąc językiem prawnym – Opis Technicznych i Organizacyjnych Środków Bezpieczeństwa. Powinien on oczywiście być zgodny z zasadami wprowadzonymi w życie w 2018 r. Ponadto, każda organizacja zobligowana jest do przeprowadzenia analizy ryzyka, która pomoże dostosować poziom zabezpieczeń danych do wymogów. W praktyce jednak często dokumenty te zawierają nadal stare zasady z czasów sprzed unijnego rozporządzenia, czyli w myśl Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym. Treść takiej dokumentacji jest nic nie warta – zarówno z formalnego, jak i technicznego punktu widzenia.
– Zasady, wywodzące się z Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym to przepisy sprzed około 15 lat. Najważniejszy jest aspekt technologiczny. Drastycznie zmienił się sposób przechowywania i przetwarzania wszelkich danych, w tym osobowych. Jeszcze nie tak dawno większość dokumentacji tworzono na papierze i przechowywano w szafie pancernej. Dziś wszystkie te procesy uległy cyfryzacji. To oznacza, że mamy do czynienia z innym rodzajem ryzyka ich wycieku, które w dodatku jest znacznie większe niż w czasach dominacji papieru. W tej sytuacji czołową rolę pełni cyberbezpieczeństwo – wyjaśnia Szymon Bąk, Specjalista ds. ubezpieczeń cybernetycznych z EIB S.A.
2. Niewłaściwe rozumienie definicji danych osobowych
Kolejny problem to błędne rozumienie samej definicji danych. To powoduje, że niektóre informacje uznaje się za nieistotne, a w praktyce wszystkie dane o człowieku powinny być chronione. Błędny schemat również ma swoje źródło w przeszłości – w Polsce przed 2004 rokiem za dane osobowe uznawało się wyłącznie informacje identyfikacyjne. Zgodnie z definicją zapisaną w RODO, dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To znaczy, że chodzi nie tylko o imię, nazwisko, datę urodzenia, płeć i podobne. Dane osobowe to np. również informacje o posiadanych nieruchomościach czy pojazdach.
W tym miejscu pojawia się znów wątek technologiczny. W definicji danych osobowych według RODO mieszczą się też… zdjęcia. Czy zatem można swobodnie je publikować w mediach społecznościowych? To informacje udostępniane w końcu publicznie, niezależnie od tego, czy da się zidentyfikować osoby widoczne na zdjęciu, więc podlegają ochronie. To samo dotyczy innych informacji udostępnianych na publicznym profilu firmy w mediach społecznościowych, w których wspominamy o pracownikach, partnerach biznesowych, klientach. W tej sytuacji warto zastanowić się, czy rzeczywiście musimy publikować te zdjęcia ze spotkań firmowych, konferencji, targów, a także z życia firmy?
3. Dane osobowe przetwarzane niezgodnie z prawem
Błędy powstają też na skutek zawiłości formalnych. Aby przetwarzanie danych odbywało się zgodnie z prawem, musi spełniać warunki zapisane w konkretnych artykułach RODO – 6 i 9. Gdzie zatem można popełnić błąd? Stosując je rozłącznie. Art. 6 jest podstawą, a 9 to tylko jego uzupełnienie, w przypadku danych szczególnych, tzw. „wrażliwych”.
– To problem wypierany przez wielu inspektorów danych w organizacjach. Jeśli w firmie postępuje się według błędnego modelu, koniecznie trzeba poprawić Klauzule Informacyjne oraz przeredagować Rejestr Czynności Przetwarzania Danych. Jeśli te treści są błędne, w przypadku kontroli można spodziewać się wysokiej kary. Świadomość tego błędu przebija się do polskiej praktyki bardzo powoli. Podobnie jest, niestety, także w przypadku stosowania przestarzałych zasad przy tworzeniu dokumentacji RODO oraz rozumieniu definicji danych osobowych. Zmiany w prawie i technologii zachodzą szybciej, niż zdajemy sobie z tego sprawę. Wszystkie instytucje muszą zatem podążać z duchem czasu, aby nie narazić się na kary finansowe – mówi Jagienka Smura.
Ubezpieczenie kołem ratunkowym?
Jak widać błędy zdarzają się nawet najlepszym. Od ich skutków można się jednak chronić, korzystając z odpowiednich ubezpieczeń. Podstawą programu ochrony powinno być ubezpieczenie od skutków zdarzeń cybernetycznych (z racji tego, że dane co do zasady przechowujemy i przetwarzamy elektronicznie). Umożliwia ono m.in. wypłatę środków na pokrycie kosztów związanych z zabezpieczeniem i odtworzeniem zasobów cyfrowych, jeśli dojdzie do wycieku w efekcie ataku hakerskiego czy błędu ludzkiego. Co jednak ważniejsze, ubezpieczenie zakłada pokrycie kosztów działań wymaganych przez RODO w razie takiego zdarzenia, czyli przeprowadzenia akcji informacyjnej wśród potencjalnych ofiar wycieku. Ponadto zapewnia zwrot kosztów związanych z postępowaniami administracyjnymi i sądowymi oraz wypłatę odszkodowań. Na ogół cyberpolisa może uwzględniać też zapłacenie kar nałożonych w myśl RODO.
– Dobrze skonstruowany program ochrony powinien uwzględniać jeszcze jeden rodzaj polis – D&O, czyli odpowiedzialności cywilnej członków kadry menedżerskiej, w końcu nieprawidłowości w tworzeniu dokumentacji, definiowaniu danych osobowych i przetwarzaniu ich zgodnie z prawem to zazwyczaj rezultat niewłaściwej decyzji, podjętej przez konkretną osobę. Właściciele firmy czy akcjonariusze mogą zatem wystąpić z roszczeniami wobec decydentów, którym będą chcieli przypisać odpowiedzialność za straty. Przykładowo, mogą oczekiwać zrefundowania kar administracyjnych czy wyrównania innych szkód wynikających z incydentu RODO. A ubezpieczenie D&O zapewni „oskarżonym” menedżerom pokrycie kosztów obrony oraz dodatkowo tych strat, jeśli rzeczywiście okaże się, że wynikają one z zaniedbań osób odpowiedzialnych – dodaje Szymon Bąk.