RODO jest z nami cztery lata, a ciągle popełniamy te błędy. Z czego wynikają problemy organizacji i firm?

Zbigniew Biskupski
Opracowanie:
Zgodnie z definicją zapisaną w RODO, dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To znaczy, że chodzi nie tylko o imię, nazwisko, datę urodzenia, płeć i podobne. Dane osobowe to np. również informacje o posiadanych nieruchomościach czy pojazdach.
Zgodnie z definicją zapisaną w RODO, dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To znaczy, że chodzi nie tylko o imię, nazwisko, datę urodzenia, płeć i podobne. Dane osobowe to np. również informacje o posiadanych nieruchomościach czy pojazdach. Małgorzata Genca / Polska Press
Przepisy o ochronie danych osobowych RODO obowiązują w Polsce już od czterech lat, nadal jednak wiele organizacji popełnia błędy w jego stosowaniu. Wiele nieprawidłowości wynika z bazowania na starych przepisach czy niewłaściwego rozumienia samej definicji danych osobowych!

To już cztery lata od wejścia w życie RODO, rozporządzenia, które wyznaczyło nowe standardy w ochronie danych osobowych. To dobry moment, żeby przyjrzeć się, jak w Polsce wygląda ochrona danych osobowych w praktyce. Czy jest lepiej niż kiedyś? Czy dbamy o bezpieczeństwo tych informacji odpowiednio skutecznie? A przede wszystkim, czy i gdzie szukać pomocy, jak już do złamania przepisów dojdzie?

– Przypomnę, że do stosowania zasad RODO zobowiązane są wszystkie instytucje, organizacje i przedsiębiorstwa, zarówno publiczne, jak i prywatne. Mimo lat praktyki nawet najlepszym zdarza się jeszcze popełniać błędy w stosowaniu ogólnoeuropejskich zasad - Jagienka Smura, Konsultant ds. RODO i bezpieczeństwa informacji w Lancea Security Consulting.

- Najczęściej dotyczą one trzech obszarów: tworzenia dokumentacji, rozumienia samej definicji danych osobowych i stosowania zasad zgodnie z prawem. Pomyłki mogą niestety oznaczać wysokie kary, czasem zagrażające płynności finansowej – wskazuje Jagienka Smura.

Większości osób wydaje się, że najbardziej „błędogennym” jest korzystanie ze zebranych danych i sposób informowania ich właścicieli o sposobie ich przetwarzania. Okazuje się jednak, że sporo problemów mamy też z zupełnymi podstawami. Jak to wygląda w praktyce?

Częsty błąd w stosowaniu RODO: bazowanie na przestarzałych zasadach

W myśl RODO każda organizacja musi mieć Rejestr Czynności Przetwarzania, zawierający opis sposobów zabezpieczenia danych, czyli mówiąc językiem prawnym – Opis Technicznych i Organizacyjnych Środków Bezpieczeństwa. Powinien on oczywiście być zgodny z zasadami wprowadzonymi w życie w 2018 r.

Ponadto, każda organizacja zobligowana jest do przeprowadzenia analizy ryzyka, która pomoże dostosować poziom zabezpieczeń danych do wymogów. W praktyce jednak często dokumenty te zawierają nadal stare zasady z czasów sprzed unijnego rozporządzenia, czyli w myśl Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym. Treść takiej dokumentacji jest nic nie warta – zarówno z formalnego, jak i technicznego punktu widzenia.

– Zasady, wywodzące się z Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym to przepisy sprzed około 15 lat. Najważniejszy jest aspekt technologiczny. Drastycznie zmienił się sposób przechowywania i przetwarzania wszelkich danych, w tym osobowych. Jeszcze nie tak dawno większość dokumentacji tworzono na papierze i przechowywano w szafie pancernej.
Dziś wszystkie te procesy uległy cyfryzacji. To oznacza, że mamy do czynienia z innym rodzajem ryzyka ich wycieku, które w dodatku jest znacznie większe niż w czasach dominacji papieru. W tej sytuacji czołową rolę pełni cyberbezpieczeństwo – wyjaśnia Szymon Bąk, Specjalista ds. ubezpieczeń cybernetycznych z EIB S.A.

Najpowszechniejsze błędy: niewłaściwe rozumienie definicji danych osobowych

Kolejny problem to błędne rozumienie samej definicji danych. To powoduje, że niektóre informacje uznaje się za nieistotne, a w praktyce wszystkie dane o człowieku powinny być chronione. Błędny schemat również ma swoje źródło w przeszłości – w Polsce przed 2004 rokiem za dane osobowe uznawało się wyłącznie informacje identyfikacyjne. Zgodnie z definicją zapisaną w RODO, dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To znaczy, że chodzi nie tylko o imię, nazwisko, datę urodzenia, płeć i podobne. Dane osobowe to np. również informacje o posiadanych nieruchomościach czy pojazdach.

W tym miejscu pojawia się znów wątek technologiczny. W definicji danych osobowych według RODO mieszczą się też… zdjęcia. Czy zatem można swobodnie je publikować w mediach społecznościowych? To informacje udostępniane w końcu publicznie, niezależnie od tego, czy da się zidentyfikować osoby widoczne na zdjęciu, więc podlegają ochronie.

To samo dotyczy innych informacji udostępnianych na publicznym profilu firmy w mediach społecznościowych, w których wspominamy o pracownikach, partnerach biznesowych, klientach. W tej sytuacji warto zastanowić się, czy rzeczywiście musimy publikować te zdjęcia ze spotkań firmowych, konferencji, targów, a także z życia firmy?

Dane osobowe przetwarzane niezgodnie z prawem

Błędy powstają też na skutek zawiłości formalnych. Aby przetwarzanie danych odbywało się zgodnie z prawem, musi spełniać warunki zapisane w konkretnych artykułach RODO – 6 i 9. Gdzie zatem można popełnić błąd? Stosując je rozłącznie. Art. 6 jest podstawą, a 9 to tylko jego uzupełnienie, w przypadku danych szczególnych, tzw. „wrażliwych”.

– To problem wypierany przez wielu inspektorów danych w organizacjach. Jeśli w firmie postępuje się według błędnego modelu, koniecznie trzeba poprawić Klauzule Informacyjne oraz przeredagować Rejestr Czynności Przetwarzania Danych. Jeśli te treści są błędne, w przypadku kontroli można spodziewać się wysokiej kary.
Świadomość tego błędu przebija się do polskiej praktyki bardzo powoli. Podobnie jest, niestety, także w przypadku stosowania przestarzałych zasad przy tworzeniu dokumentacji RODO oraz rozumieniu definicji danych osobowych. Zmiany w prawie i technologii zachodzą szybciej, niż zdajemy sobie z tego sprawę. Wszystkie instytucje muszą zatem podążać z duchem czasu, aby nie narazić się na kary finansowe – mówi Jagienka Smura.

Od błędów w stosowaniu RODO można się ubezpieczyć

Jak widać, błędy zdarzają się nawet najlepszym. Od ich skutków można się jednak chronić, korzystając z odpowiednich ubezpieczeń. Podstawą programu ochrony powinno być ubezpieczenie od skutków zdarzeń cybernetycznych (z racji tego, że dane co do zasady przechowujemy i przetwarzamy elektronicznie). Umożliwia ono m.in. wypłatę środków na pokrycie kosztów związanych z zabezpieczeniem i odtworzeniem zasobów cyfrowych, jeśli dojdzie do wycieku w efekcie ataku hakerskiego czy błędu ludzkiego.

Co jednak ważniejsze, ubezpieczenie zakłada pokrycie kosztów działań wymaganych przez RODO w razie takiego zdarzenia, czyli przeprowadzenia akcji informacyjnej wśród potencjalnych ofiar wycieku. Ponadto zapewnia zwrot kosztów związanych z postępowaniami administracyjnymi i sądowymi oraz wypłatę odszkodowań. Na ogół cyberpolisa może uwzględniać też zapłacenie kar nałożonych w myśl RODO.

Idealny telefon do pracy i rozrywki

– Dobrze skonstruowany program ochrony powinien uwzględniać jeszcze jeden rodzaj polis – D&O, czyli odpowiedzialności cywilnej członków kadry menedżerskiej, w końcu nieprawidłowości w tworzeniu dokumentacji, definiowaniu danych osobowych i przetwarzaniu ich zgodnie z prawem to zazwyczaj rezultat niewłaściwej decyzji, podjętej przez konkretną osobę. Właściciele firmy czy akcjonariusze mogą zatem wystąpić z roszczeniami wobec decydentów, którym będą chcieli przypisać odpowiedzialność za straty - mówi Szymon Bąk z EIB S.A.

- Przykładowo, mogą oczekiwać zrefundowania kar administracyjnych czy wyrównania innych szkód wynikających z incydentu RODO. A ubezpieczenie D&O zapewni „oskarżonym” menedżerom pokrycie kosztów obrony oraz dodatkowo tych strat, jeśli rzeczywiście okaże się, że wynikają one z zaniedbań osób odpowiedzialnych – dodaje Szymon Bąk.

Źródło: EIB S.A.

emisja bez ograniczeń wiekowych
Wideo

Najem krótkoterminowy - czy zmienią się zasady?

Komentarze

Komentowanie artykułów jest możliwe wyłącznie dla zalogowanych Użytkowników. Cenimy wolność słowa i nieskrępowane dyskusje, ale serdecznie prosimy o przestrzeganie kultury osobistej, dobrych obyczajów i reguł prawa. Wszelkie wpisy, które nie są zgodne ze standardami, proszę zgłaszać do moderacji. Zaloguj się lub załóż konto

Nie hejtuj, pisz kulturalne i zgodne z prawem komentarze! Jeśli widzisz niestosowny wpis - kliknij „zgłoś nadużycie”.

Podaj powód zgłoszenia

Nikt jeszcze nie skomentował tego artykułu.
Wróć na strefabiznesu.pl Strefa Biznesu