W przyszłym roku firmy czekają rewolucyjne zmiany

Ochrona danych Czy przedsiębiorcy poradzą sobie z nowymi przepisami o przetwarzaniu wrażliwych informacji osobowych?

Publikacja: 04.12.2017 21:00

W przyszłym roku firmy czekają rewolucyjne zmiany

Foto: Fotorzepa, Grzegorz Zawisza

Polskie firmy nadal nie są przygotowane do nowych regulacji w zakresie ochrony danych, które zaczną obowiązywać za pół roku. Z badań przeprowadzonych przez Trend Micro wynika, że dyrektorzy najwyższego szczebla nie traktują tych przepisów z należytą powagą, a pytani o konieczność dostosowania się do nowych regulacji – wykazują nadmierną pewność siebie.

Rzeczywistość może okazać się jednak bolesna. W przypadku naruszenia podstawowych zasad tzw. Ogólnego Rozporządzenia o Ochronie Danych (RODO) na firmę może zostać nałożona bowiem potężna grzywna. Nowe prawo przewiduje kary w wysokości do 2 proc. obrotu danego przedsiębiorstwa, a w sytuacjach szczególnie poważnych uchybień nawet do 4 proc.

Złudne uczucie bezpieczeństwa

Jak wynika z badań Trend Micro, aż 76 proc. ankietowanych nie zdaje sobie jednak sprawy z wysokości kar finansowych. Jedynie co czwarty respondent wie, że nałożona grzywna może być równa nawet 4 proc. rocznych obrotów przedsiębiorstwa. To rodzi obawy, że RODO może być przez przedsiębiorców bagatelizowane. A przepisy, które w krajach członkowskich UE zaczną obowiązywać już od 25 maja 2018 r., wymagają od firm solidnego przygotowania. Chodzi choćby o wdrożenie nowoczesnych technologii zabezpieczających przed cyberzagrożeniami. Tymczasem ledwie jedna trzecia przedsiębiorców zainwestowała w takie zaawansowane funkcje wykrywania włamań. Eksperci twierdzą, że w wielu przypadkach dziś może być już za późno, by na czas zdążyć ze wszystkimi zmianami. W tej sytuacji kluczowa będzie lektura rozporządzenia i szkolenia.

Trzeba sobie zdawać sprawę, że zmiany, które wejdą w życie pod koniec maja, dotyczą każdego administratora danych osobowych. A pod tym pojęciem kryją się wszystkie podmioty gromadzące i przetwarzające informacje o osobach fizycznych. Nowe przepisy dotkną więc nie tylko duże organizacje agregujące tego typu wrażliwe dane (jak np. Facebook czy Google), ale też najmniejsze firmy, które choćby przechowują dane o swoich klientach w postaci papierowych dokumentów.

Choć za ochronę danych odpowiadają osoby zarządzające organizacjami, to do przestrzegania przepisów zobowiązane są także osoby, które pracują lub współpracują z daną firmą i przetwarzają w jej imieniu dane osobowe. Dziś wiele firm ma złudne poczucie bezpieczeństwa. Według przeprowadzonego przez Fundację Wiedza To Bezpieczeństwo badania 42 proc. osób uważa, że w przedsiębiorstwach, z którymi są związani, incydenty bezpieczeństwa danych nigdy się nie zdarzyły. Co więcej, prawie co trzeci zatrudniony przekonuje, że ryzyko kradzieży jest niskie.

– Wyniki mogą świadczyć o braku zdefiniowanej ścieżki obsługi incydentów bezpieczeństwa informacji w firmie bądź też o niewielkiej wiedzy, czym te incydenty są – komentuje Maciej Kaczmarski, ekspert Fundacji.

Niedawne masowe cyberataki, jak Petya czy WannaCry, pokazują, że do stanu sielanki jest daleko. – Spustoszenia, jakie w tym roku wywołały te ataki, uzmysławiają, jak dużo pracy musimy włożyć w to, aby dane osobowe były w pełni bezpieczne – podkreśla Magdalena Baraniewska z F-Secure, firmy specjalizującej się w cyberbezpieczeństwie.

Złote zasady ochrony

Celem RODO jest ochrona prawa do prywatności, ale również dążenie do stworzenia jednolitego rynku cyfrowego w UE i ochrona przed cyberprzestępczością, która zbiera żniwo między innymi wśród przedsiębiorców. Jak tłumaczy Wioletta Kulińska, adwokat w Kancelarii Magnusson, RODO ma zbudować nowy porządek i wprowadzić nową jakość w kwestii prywatności. – Przepisy te wprowadzają szereg nowych obowiązków adresowanych do przedsiębiorców przetwarzających dane osobowe. W każdym przedsiębiorstwie warto rozważyć wdrożenie procedur związanych z zarządzaniem incydentami i zobowiązać osoby pracujące do stosowania zasad bezpieczeństwa – podkreśla Wioletta Kulińska.

Eksperci wskazują kilka podstawowych zasad, którymi należy się kierować, by ograniczyć wyciek danych. Przede wszystkim hasła do komputerów, kont czy poczty, na których przechowywane są dane osobowe, powinny być szczególnie chronione. Nie chodzi tu tylko o przekazanie hasła, np. koledze w pracy, ale również o pozostawianie karteczek z hasłem, doczepianych do ekranu komputera czy schowanych pod klawiaturą. Hasło w takim wypadku nie pełni już funkcji zabezpieczającej. Co więcej, komputery, po opuszczeniu stanowiska, muszą zostać odpowiednio zablokowane. Ogranicza to bowiem możliwość korzystania z niego przez osoby nieuprawnione. Do tego wszystkie niepotrzebne dokumenty powinny być niszczone w niszczarce, pozostałe zaś chowane np. w zamykanej szufladzie. Fachowcy tłumaczą, że każdy pracownik powinien zachować ostrożność, ujawniając jakiekolwiek dane osobowe podczas rozmowy telefonicznej (należy zawsze weryfikować tożsamość rozmówcy).

Firmy specjalizujące się we wdrażaniu w przedsiębiorstwach rozwiązań z zakresu RODO radzą ponadto, by – jeśli do działania oferowanego przez to przedsiębiorstwo produktu nie musisz posiadać danych użytkownika – nie zbierać ich. Warto zwrócić poza tym uwagę, na jakich serwerach będą przechowywane dane i czy serwery te są zlokalizowane w Europejskim Obszarze Gospodarczym (należy to sprawdzić np. w umowie z dostawcą usług chmurowych).

Przedsiębiorcy powinni informować użytkowników o tym, co robią z ich danymi, gdzie one są przekazywane i jakie prawa mają użytkownicy (trzeba odpowiednio sformułować treści klauzul zgody na przetwarzanie danych).

Specjaliści podpowiadają też, by wdrożyć rozwiązania, które umożliwią realizację tzw. prawa do bycia zapomnianym. Pamiętać należy również, że przed dużymi krytycznymi projektami (w tym z wrażliwych branż typu zdrowie, ubezpieczenia, obsługa bankowa) warto zrobić tzw. Privacy Impact Assessment, czyli ocenę skutków przetwarzania danych tego projektu.

Opinia

Michał Sztąberek | partner zarządzający w firmie iSecure

Dostosowanie się do RODO stanowi szczególnie duże wyzwanie dla firm, które świadczą darmowe usługi w zamian za zgodę na przetwarzanie danych osobowych w celach marketingowych, czyli m.in. Google i Facebook. Firmy będą miały prawo przetwarzać dane, aby świadczyć usługi, których użytkownicy oczekują, ale przetwarzanie danych w innym celu będzie wymagało wyraźnej zgody użytkownika. Łączy się to z zakazem zbierania pojedynczej zgody obejmującej wiele celów przetwarzania danych i wymogiem uzyskiwania wielu zgód szczegółowych. Co istotne, właściciele serwisów nie będą mogli odmówić dostępu osobom, które nie wyrażą zgody na przetwarzanie danych w celach marketingowych. Facebook zapewne będzie musiał uzyskiwać osobne zgody na wykorzystanie danych osobowych do kierowania reklam na innych stronach internetowych, a także profilowania użytkowników w celach reklamowych.

Biznes Ludzie Startupy
Roboty z Polski zyskają sztuczną inteligencję. Już wypierają amerykańską konkurencję
Biznes Ludzie Startupy
Latające elektryki polecą znad Wisły? Polska firma chce zbudować fabrykę
Biznes Ludzie Startupy
Dostarczą dania o połowę tańsze. Polskie start-upy łączą siły, by ratować żywność
Biznes Ludzie Startupy
Polska sztuczna inteligencja ma wesprzeć kulejącą amerykańską edukację
Biznes Ludzie Startupy
Estońska bestia zamierza zadomowić się nad Wisłą. Duża zmiana w car-sharingu