4 maja wejdą w życie nowe przepisy związane z RODO. Na czym polega zmiana?

Karol Okoński: To ustawa potocznie nazywana RODO sektorowym. Dostosowuje przepisy, które obejmują dane domeny gospodarki czy administracji publicznej. Pewne przepisy są prostowane i upraszczane, choćby po to, by ułatwić ich interpretację w danych sektorach. RODO sektorowe jest bardzo ważne z perspektywy administracji publicznej. W ustawie został przesądzony obowiązek informacyjny. Kiedy obywatel przysyła pismo do urzędu, poinformowanie go o przetwarzaniu danych osobowych może być zawarte w pierwszym piśmie, które odpowiada mu w konkretnej sprawie.

Obowiązek informacyjny to duże obciążenie dla firm?

W przypadku serwisów, które realizują swoje usługi przez internet, widzimy to zawsze, gdy otworzymy ich stronę. To podniosło świadomość ochrony danych osobowych. Mamy nadzieję, że długofalowo przekształci się to w bardziej przyjazne mechanizmy niż wyskakujące okienka na stronie. Ustawa przesądza, że w przypadku mikroprzedsiębiorców zostaje wprowadzone ułatwienie. Nie muszą obowiązku informacyjnego spełniać poprzez informowanie każdego klienta. Mogą go spełnić przez publikację na stronie internetowej lub wywiesić informację w widocznym miejscu, np. w warsztacie.

Co zyskają klienci na nowym pakiecie?

Obywatele, którzy chcą mieć dostęp do swojej dokumentacji medycznej, mają prawo do pobrania tej dokumentacji w placówce medycznej nieodpłatnie. Jednocześnie nie ma obowiązku po stronie szpitali zaczerniania nazwiska lekarza, który przeprowadził badanie. Wcześniej niektóre szpitale pobierały opłaty. Jest także zmiana w kodeksie pracy, związana z rekrutacją pracowników. Dane podstawowe wymagane w procesie rekrutacyjnym powinny być dostarczone bez dodatkowej zgody. Są to dane osobowe, adresowe i kontaktowe. Wszelkie pozostałe dane pracodawca ma prawo gromadzić, jeśli są uzasadnione rodzajem wykonywanej pracy. Realizujemy mechanizm minimalizacji zbierania danych. Teraz przedsiębiorcy muszą za każdym razem się zastanowić, które dane są niezbędne. Nie przetwarzają danych nadmiernie, a obywatele powinni czuć bezpieczeństwo, że o wybraniu ich do pracy przesądzą tylko niezbędne cechy.

RODO działa już prawie od roku. Jak to się sprawdza?

Świadomość, że dane osobowe są dobrem, które powinniśmy chronić, została podniesiona. Do tego przyłożyły się działania edukacyjne, w których przodowało Ministerstwo Cyfryzacji jako opiekun ustawy. Konferencje i seminaria szły w setki. Wydaliśmy też przewodniki, które pomagały w pierwszym niepewnym okresie. Sam sposób realizacji obowiązków przez firmy będzie jeszcze ewoluował. Samo wyświetlenie długiej na kilkanaście stron klauzuli informacyjnej to nie jest optymalny mechanizm. Podejście do ochrony danych osobowych może być postrzegane jako pewna przewaga konkurencyjna w danej branży na rynku. To, jak ktoś realizuje obowiązki dotyczące ochrony danych osobowych i minimalizuje zbierane dane, może w dłuższej perspektywie zadecydować o wyborze przez klienta danej firmy.

Trzeba było sięgać po kary?

W perspektywie europejskiej mamy przykłady nałożenia kilku sporych kar. W Polsce prezes Urzędu Ochrony Danych Osobowych, jedyny uprawniony do nakładania kar organ, wydał na razie tylko jedną taką decyzję. Nie dotyczyła ona wycieku danych osobowych, tylko niespełnienia obowiązku informacyjnego.

Przepisy RODO mogą wpłynąć na cyberbezpieczeństwo?

Aspekty prywatności i cyberbezpieczeństwa się przenikają. Jednym z obowiązków, które nakładamy na podmioty, które uważane są za kluczowe dla ciągłości działania państwa, jest obowiązek posiadania systemu zarządzania bezpieczeństwem informacji. W tym, siłą rzeczy, znajdują się dane osobowe. Brak stosowania standardów, zasad, oprogramowania czy zabezpieczeń może wystawiać na dużo większe ryzyko firmy w obszarze ochrony danych osobowych. Tutaj odpowiednie praktyki cyberbezpieczeństwa od razu podnoszą poziom bezpieczeństwa w ochronie danych osobowych.

Grozi nam coraz więcej ataków hakerskich w Polsce?

Im więcej będzie wykorzystywanych technologii, tym więcej będzie podmiotów, które będą chciały wykorzystywać luki w oprogramowaniu, pozwalające włamać się do systemu. Cyberprzestępcy wykorzystują też ludzką naiwność i niewiedzę, kiedy chcą uzyskać dostęp do danych. Najbardziej groźne i skuteczne są działania hybrydowe, gdzie przestępcy łączą techniki związane z psychologią oraz umiejętności techniczne. Najbardziej klasycznym modelem jest atak, w którym podejmowana jest próba inwigilacji czy dotarcia do osoby, która jest np. administratorem danych w przedsiębiorstwie. Na bazie pozyskanych informacji można stworzyć sprofilowany atak phishingowy. Chodzi o to, żeby sprowokować daną osobę do ujawnienia danych lub konkretnego zachowania, co potem ułatwia atak na system komputerowy. Nie jesteśmy w stanie zabezpieczyć się w 100 proc. Są jednak rozwiązania IT pozwalające wyłapać ataki phishingowe. Są też prozaiczne rzeczy, takie jak bieżące aktualizowanie oprogramowania. Najsłabszym ogniwem i tak ciągle jest człowiek. Dlatego edukacja i budowanie świadomości to coś, na co kładziemy nacisk.

Można budować świadomość, ale hakerzy cały czas rozwijają swoje narzędzia.

Trendy związane z cyberzagrożeniami są śledzone. Wysoko na liście są ataki phishingowe i ransomware (szyfrowanie dysku i żądanie okupu). Na szczyt listy przebija się cryptojacking, czyli oprogramowanie, które uruchamia się np. poprzez kliknięcie na stronie. Nasz komputer staje się wówczas częścią sieci, która kopie kryptowaluty. Te zagrożenia nie będą maleć.

Luki w oprogramowaniu będą znajdowane non stop, bo stopień skomplikowania systemów rośnie. Ryzyko, że programista czegoś nie przewidzi, jest coraz większe.

SI ułatwi hakerom działanie.

Coraz więcej sfer działalności będziemy przenosić do systemów komputerowych lub takich, które automatycznie podejmują decyzję. Mówię o systemach związanych ze sztuczną inteligencją lub części smart city i smart building – zestawie czujników, które na bieżąco gromadzą dane i komunikując się ze sobą, podejmują pewne decyzje. Chodzi np. o zasunięcie rolet lub włączenie ogrzewania. Równie dobrze można stać się ofiarą włamania przez taki system.

Mamy dynamiczny rozwój 5G i internetu rzeczy. Chodzi o miliony różnych urządzeń i dużo szybsze transmisje danych. To okazja dla hakerów.

Największe wyzwania związane z rozwojem 5G są dwa. Im większa liczba urządzeń, tym trudniej zdiagnozować, że nagle podłączane jest nieautoryzowane urządzenie, które zaczyna robić coś innego, niż powinno. Będą musiały pojawić się rozwiązania oparte na sztucznej inteligencji, które są w stanie rozpoznać anomalie. Im więcej będzie systemów opartych na czujnikach i rozwiązaniach opartych na internecie rzeczy, tym większe ryzyko, że stanie się to atrakcyjnym celem dla przestępców lub państw trzecich, którzy będą chcieli zdestabilizować działanie kraju w danym obszarze.

Np. Amerykanie oskarżają Huawei, że może być narzędziem Pekinu, który mógłby wyłączyć zdalnie sieć. To są obawy na wyrost?

Mówimy o sieci, której jeszcze nie ma, nie zostały nawet ustalone wszystkie protokoły komunikacji. Inne jest ryzyko ataku, kiedy jest podłączonych kilka urządzeń, a inne, gdy jest ich tysiące i bazuje na tym spora część gałęzi gospodarki. W scenariuszach musimy rozważać, że jeśli producenci niektórych urządzeń na mocy lokalnego prawa mogą ulegać naciskom państw, z których pochodzą, to może się zdarzyć, że wykorzystując ukryte funkcje, mogą dokonać pewnej interwencji (wyłączyć pewną część sieci) bądź zagrozić wyłączeniem. W geopolitycznym świecie i gospodarce uzależnionej od rozwiązań cyfrowych nie może to być zignorowane. Staramy się zważyć prawdopodobieństwo wystąpienia tego, konsekwencje, a także jak temu przeciwdziałać.

notował Grzegorz Balawender