RODO a bezpieczny Internet. Dlaczego to ważne?

W średniej wielkości firmie ubezpieczeniowej zakończono sześciomiesięczny proces wdrażania systemu do obsługi ubezpieczeń komunikacyjnych. Kierownik siedmioosobowego zespołu odpowiedzialnego za projekt ogłosił sukces – zmieszczono się w czasie i tylko nieznacznie przekroczono budżet. Trzy dni później okazało się jednak, że z firmy wyciekły dane osobowe klientów korzystających z ubezpieczeń komunikacyjnych.

Krótka analiza sytuacji wykazała, że informatycy pracowali na bazie rzeczywistych klientów, a ponadto każdy z nich korzystał z tego samego konta. Firma ma pewność, że dane wyciekły
z konta wdrożeniowego, ale nie jest w stanie wskazać, kto doprowadził do wycieku. Sukces przekształcił się w porażkę – zgodnie z nowymi przepisami na firmę może zostać nałożona kara nawet do 20 mln euro. Jak się chronić przed tak poważnymi konsekwencjami?

Szybki postęp technologiczny doprowadził do tego, że organizacje przechowują zbiory danych osobowych w formie elektronicznej. Ogromne plusy takiego rozwiązania wiążą się jednak z dużymi zagrożeniami. Brak odpowiednich zabezpieczeń może bowiem spowodować wyciek danych, ich upublicznienie, a co za tym idzie – możliwość wykorzystania ich w celach narażających dobro klientów firmy.

RODO – odpowiedzią na postęp technologiczny

25 maja 2018 roku wejdzie w życie unijne rozporządzenie o ochronie danych osobowych (RODO). Jest ono aktem nadrzędnym wobec ustaw obowiązujących obecnie w państwach Unii Europejskiej. Ujednolici więc przepisy na całym terenie UE. Jego głównym celem jest zwiększenie ochrony danych osobowych. Osoby fizyczne uzyskają dodatkowe prawa związane ze swoimi danymi: będą miały większą kontrolę nad nimi, a także łatwiejszy dostęp do nich.

RODO wprowadza nową filozofię myślenia o ochronie danych osobowych, a także zasady, które odpowiadają na technologiczne wyzwania obecnych czasów. Jeżeli firma naruszy obowiązki wynikające z rozporządzenia, narazi się na bardzo wysokie kary finansowe.

Dwie zasady prywatności: by design i by default

Zgodnie z nową filozofią myślenia o ochronie danych osobowych administratorzy powinni zadbać o prywatność już na etapie projektowania rozwiązań. Jest to zasada privacy by design. Według niej należy wprowadzić takie środki, które zmniejszą ryzyko naruszeń w obszarze ochrony danych osobowych. Podejście to jest oparte na poszanowaniu prywatności osób, których dotyczą przetwarzane przez nas dane osobowe. Do tej pory było jedynie dobrą praktyką, po wejściu RODO stanie się prawnie wiążącym obowiązkiem.

Ochrona prywatności ma więc być od tej pory wbudowana w każdy nowy projekt. W przypadku systemów informatycznych oznacza to jej opracowanie razem z budowaniem całego systemu. Będzie ona częścią jego konstrukcji. Prywatność nie będzie tu więc chroniona przez nakładki czy dodatki do już istniejącego systemu, ale poprzez odpowiednie elementy składowe jego architektury i obsługiwanych przez niego procesów biznesowych. Co to oznacza w praktyce? Osoba, której dotyczą dane, będzie mogła na przykład monitorować ich przetwarzanie. Sam system natomiast może zapewnić na przykład jak najszybszą pseudonimizację danych.

Druga z zasad – privacy by default – wprowadza domyślność w ochronie danych. Co to oznacza? W systemach informatycznych pierwotnie powinny być zaimplementowane najwyższe ustawienia prywatności. Dopiero świadomy wybór użytkownika może obniżyć poziom domyślnych ustawień.

Jak to może działać w praktyce? Przypomnij sobie sytuację, gdy robiłeś zakupy przez Internet albo zamawiałeś jakąś usługę drogą elektroniczną. Jednym z kroków była konieczność wyrażenia zgody na przetwarzanie Twoich danych osobowych, które podałeś w określonym formularzu. Oprócz tego były wymienione inne zgody, na przykład na kontakt w obszarze marketingu albo na przekazanie danych podmiotom powiązanym z firmą, od której coś nabywałeś. Ile razy zdarzyło się, że wszystkie pola wyboru były domyślnie zaznaczone, mimo że wyrażenie wszystkich zgód nie było konieczne? W pośpiechu łatwo można nie odznaczyć tego, czego sobie nie życzymy, i niechcący wszystko potwierdzić. Dopiero gdy dostajemy pierwszego maila z ofertą albo odbieramy pierwszy telefon od firmy, zdajemy sobie sprawę z tego, co się stało. Dzięki zasadzie privacy by default opisane praktyki będą zakazane.

Dwie zasady prywatności pokazują, że RODO nie będzie odgórnie wyznaczać zabezpieczeń, które muszą być stosowane przez administratorów danych. To sami administratorzy będą musieli wybrać odpowiednie zabezpieczenia, właściwie chroniące przetwarzane przez organizację dane osobowe.

Nikt nie chce „pójść z torbami”, czyli o wielomilionowych karach

Zgodnie z RODO za uchybienia przy przetwarzaniu danych osobowych mogą zostać nałożone bardzo wysokie kary finansowe. W zależności od naruszonego przepisu mogą one wynieść nawet 10 mln euro lub 2% rocznego obrotu globalnego albo też nawet 20 mln euro lub 4% rocznego obrotu globalnego. Nałożona zostanie wyższa z dwóch podanych wartości. Wiele firm może nie udźwignąć takiej kwoty, co oznacza bankructwo.

Jeśli administrator danych sam przyzna się do błędu w kwestii prywatności, może liczyć na łagodniejsze potraktowanie. Warto tu zauważyć, że RODO wprowadza nakaz raportowania naruszeń bezpieczeństwa danych osobowych w ciągu maksymalnie 72 godzin od zaistnienia danego incydentu. Nie jest jednak konieczne zgłaszanie wszystkich naruszeń. Warto więc przeszkolić pracowników, aby byli świadomi, jakie sytuacje wymagają natychmiastowego raportowania.

Dodatkowe prawa dla osób, których dane przetwarzamy

RODO wprowadza prawo osoby, której dane przetwarzamy, do usunięcia tych danych, czyli tak zwane „prawo do bycia zapomnianym”. W rozporządzeniu dane wrażliwe zostały precyzyjniej określone, a do ich katalogu dołączono dane biometryczne i genetyczne. Osoba, której dane zbieramy, musi zostać poinformowana m.in. o okresie przechowywania jej danych, prawie do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) czy też o kontakcie do inspektora ochrony danych (IOD).

Szkolenia z RODO dla pracowników – dlaczego warto?

Jeśli pracownicy będą uwrażliwieni na ochronę danych osobowych i świadomi, w największym stopniu może to zagwarantować bezpieczeństwo danych. Szkolenie jest również jednym ze środków, które administrator powinien podjąć, aby uniknąć naruszeń. To, czy środki takie zostały zastosowane, jest brane pod uwagę w sytuacji wystąpienia problemów, takich jak wyciek danych.

Dlatego też zapraszamy do skorzystania z gotowego szkolenia e-learningowego na temat RODO. Uzyskaj dostęp do wersji demonstracyjnej szkolenia na stronie www i przygotuj swoich pracowników do nadchodzących zmian.

 

Zostaw odpowiedź

Twoj adres e-mail nie bedzie opublikowany.