Szukaj
  • BCO Poland

Biznes wciąż uczy się RODO

Aktualizacja: mar 18

Newsweek 12.03.2020 | Autor: Mirosława Konielska


#rodo #newsweekpolska #inspektorzyodo #bcopoland #ochronadanych #compliance



Po niemal dwóch latach od wprowadzenia RODO wiele polskich firm jest na bakier z unijnym rozporządzeniem, ale świadomość potrzeby dbania o dane osobowe rośnie.



Cyberprzestępca zasługuje na karę, ale winna jest także firma, jeśli nie pokrzyżowała mu planów, choć mogła. Boleśnie przekonał się o tym sklep internetowy Morele.net.

Urząd Ochrony Danych Osobowych nałożył na niego ponad 2,8 mln zł kary.

Za co konkretnie? Pod koniec 2018 r. krajowy potentat rynku e-commerce nie zapobiegł atakowi hakerskiemu i wyciekowi informacji o klientach. Włamywacz uzyskał dostęp do blisko 2,2 mln kont użytkowników. Zaczęły do nich trafiać SMS-y informujące o konieczności zrobienia dodatkowej opłaty w wysokości 1 zł oraz zawierające linki do fałszywych bramek płatności.


Uzasadniając wyrok, prezes Urzędu Ochrony Danych Osobowych wyraźnie dał do zrozumienia, że nie chodzi o sam przeciek, ale o brak wystarczających zabezpieczeń. To dotychczas największa kara nałożona w związku z RODO. Przypomnijmy: 25 maja 2018 r. weszło w życie RODO, czyli rozporządzenie o ochronie danych osobowych. Wprawdzie w Polsce i w Europie dane osobowe chroni się od co najmniej 20 lat, ale dopiero ten unijny akt ujednolicił przepisy.


- Do lamusa odeszły wcześniejsze przepisy, zwłaszcza z ustawy 1997 roku, a zwłaszcza rozporządzenia wykonawczego z 2004 roku do tej ustawy, które narzucały konkretne rozwiązania techniczne i dokumentacyjne – mówi dr Dominik Lubasz, wspólnik i radca prawny w kancelarii Lubasz&Wspólnicy. – Wraz z pojawieniem się RODO zaczęło obowiązywać podejście oparte na ryzyku. Nakłada ono na administratorów i podmioty przetwarzające dane osobowe obowiązek wdrożenia rozwiązań technicznych, procedur i narzędzi adekwatnych do specyfiki ich działalności i związanych z nią potencjalnych zagrożeń dla osób, których dane są przetwarzane.




Rozwiązanie na miarę


Kontrola dostępu, szyfrowanie, rozliczalność, a może monitoring z wykorzystaniem kamer – jakie środki wprowadzić, żeby uniknąć kary prezesa UODO oraz strat wizerunkowych? – Decyzja co do tego jakie rozwiązanie wdrożyć zależy właśnie od konkretnej sytuacji konkretnego podmiotu, korelacji jego działalności z przetwarzaniem danych osobowych, zwłaszcza skali, zakresu danych wykorzystywanych, ich rodzaju, sposobów przetwarzania, a zatem ekspozycji na ryzyko. RODO nie narzuca konkretnych sztywnych czy standardowych rozwiązań. Muszą być one skorelowane z konkretnymi ryzykami związanymi np. z utratą danych, ich ujawnieniem, czy modyfikacją – uważa Dominik Lubasz.


To tak jak z domem. Inaczej buduje się go na suchym terenie, a inaczej na podmokłym. W drugim przypadku zaleca się nieco bardziej skomplikowane technologie i metody. Przekładając to na biznes: gdy ryzyko utraty danych jest niskie, przedsiębiorca nie musi sięgać po całego instrumentarium środków, a jedynie tych adekwatnych, które w danej sytuacji są odpowiednie.


Dokładnie w takiej sytuacji jest np detalista prowadzący działalność wyłącznie w lokalu, który nie przetwarza danych swoich klientów przy użyciu internetu i systemów IT. Na drugim biegunie znajduje się przedsiębiorca z branży e-commerce, który powinien zapewnić dużo wyższy poziom ochrony.


– Jak długie ma być hasło i jak często zmieniane? Jaka dokumentacja musi być prowadzona? Jakie oprogramowanie wdrożone? RODO od tej logiki odchodzi. Obowiązek samodzielnego podejmowania decyzji w tych kwestiach spadł na administratora. Jeśli podejmie złe decyzje, grożą mu sankcje – zwraca uwagę ekspert.


Dużo więcej niż IT


Im lepsze technologie, tym większa ochrona? Niekoniecznie. Mecenas Dominik Lubasz uważa, że zabezpieczenia IT są ważne, ale najsłabszym ogniwem cyberbezpieczeństwa jest człowiek: pracownik, konsument, obywatel – i to w jego edukację trzeba inwestować. Dlatego kancelaria Lubasz&Wspólnicy stawia m.in. na aktywność szkoleniową, konferencyjną i publikacyjną, ale także na narzędzia informatyczne, które wspierają proces wdrożenia RODO i weryfikację jakie ryzyka występują w organizacji. Zespół kancelarii opracował bowiem narzędzie GDPR Risk Tracker do analizy ryzyka wymaganej przepisami RODO.


Takie działania mają sens. Tylko 14 proc. Polaków nie słyszało o RODO – wynika z badania Komisji Europejskiej opublikowanego w sierpniu ubiegłego roku. Chyba wolno zaryzykować tezę, że od tamtego czasu odsetek „nieświadomych” spadł choćby minimalnie. Sęk w tym, że powierzchowna znajomość rozporządzenia to jedno, a jego przyjęcie to coś zupełnie innego.


75 proc. przedsiębiorców ankietowanych w ubiegłym roku przez koncern doradczy i audytorski EY twierdziło, że RODO powoduje rozrost biurokracji, a 18 proc. – że komplikuje pracę. 68 proc. respondentów wskazało, że dostosowanie się do regulacji oznaczało odczuwalne wydatki. Ale w miarę upływu czasu Polacy coraz bardziej zaczynają zdawać sobie sprawę z korzyści, jakie przyniosło rozporządzenie. Należą do nich: poprawa cyberbezpieczeństwa, usprawnienie procesów, budowa zaufania konsumentów i wizerunku wiarygodnej firmy oraz wzrost kapitału informacyjnego. 58 proc. pytanych w 2019 r. przez Deloitte ujawniło, że przepisy wymogły na nich większą ostrożność w dzieleniu się informacjami z organizacjami. A 44 proc. zapewniło, że za sprawą unijnego rozporządzenia firmy bardziej dbają teraz o poufność ich danych osobowych.


Rozsądek zamiast strachu


Jednak sen z powiek właścicielom firm i administratorom danych osobowych spędza niejasność przepisów.

To nie tylko polski problem.

Do organów nadzorczych w całej Unii płynie wiele skarg i zapytań o stosowanie nowych zasad. Na szczęście sprawy idą ku lepszemu. Dla określonych branż powstają kodeksy postępowań zawierające zbiory zaleceń i dobrych praktyk, dzięki którym firmy mogą sprostać wymaganiom płynącym z RODO. Skutek? Świadomość potrzeby dbania o dane osobowe w biznesie rośnie. Przedsiębiorcy nabierają przekonania, że rozporządzenie dotyczy również ich działalności w bardzo namacalny sposób.


Ważne jest to, że RODO już nie przeraża. A to ze strachu brały się liczne błędy interpretacyjne. Dość wspomnieć operatorów medycznych infolinii, którzy nie chcieli udzielić rodzicom informacji, do którego szpitala trafiły ich dzieci po wypadku szkolnego autokaru.



– Po niemal dwóch latach obowiązywania RODO zaczynamy w sposób rozsądny interpretować to rozporządzenie, przez co możemy uniknąć różnych absurdów i wypaczeń, które się nam czasem zdarzyły – podkreśla dr Dominik Lubasz. Nie ma jednak wątpliwości, że w związku z unijnym aktem mamy jeszcze wiele do zrobienia. W Polsce nadal są przedsiębiorcy, dla których RODO to istna czarna magia.


RODO okiem praktyka


Damian Stachyra – prezes zarządu Inspektorzy ODO:


„RODO, po co to komu?” lub „kolejny wymysł rządzących” – to tylko kilka cytatów, z jakimi stykam się podczas spotkań biznesowych. Obserwując codzienną praktykę działalności firm, łatwo można wywnioskować, które z nich podjęły właściwą próbę uporządkowania tej sfery biznesu, a które coś wprowadziły, ale nie mają pojęcia co. Skala problemu wśród polskich przedsiębiorców jest bardzo duża. Do głównych przyczyn zaliczyć należy brak spójnych wytycznych, wyjaśnień czy jasnych przepisów krajowych, które wskazywałyby właściwe postępowanie firm w drodze do zgodności z RODO. Czy w przyszłości ulegnie to zmianie? Mam nadzieję, że tak, ale wszystko zależy zarówno od podejścia Urzędu Ochrony Danych Osobowych do kwestii przestrzegania przez administratorów przepisów, jak i od zwykłych obywateli, którzy powinni dziś – bardziej niż kiedyś – myśleć o bezpieczeństwie swoich danych osobowych. RODO nie zostało ustanowione dla firm, ale właśnie dla zwykłych ludzi, abyśmy byli chronieni przed niewłaściwym wykorzystywaniem naszych danych osobowych. Jednakże RODO może być też szansą dla firm. Mam na myśli tu głównie wprowadzenie biznesu nastawionego na klienta, co można osiągnąć również przez RODO. Wystarczy jedynie przestrzegać zasad, takich jak minimalizacja danych, przetwarzanie w określonym celu i inne, wynikające z art. 5 RODO.


Bożena Czajka z firmy MBM Tychy, specjalista ds. ochrony danych osobowych:


Przepisy RODO obowiązują od blisko dwóch lat, a nadal wiele podmiotów ma problem z prawidłową ich interpretacją i praktycznym zastosowaniem. Większość naszych klientów uczestniczyła w szkoleniach z ochrony danych, ale trochę teorii to za mało, żeby w organizacji prawidłowo wdrożyć RODO. Tu należy zacząć od początku, a nie wszyscy potrafią właściwie zidentyfikować procesy przetwarzania danych i zastosować do nich procedury zgodne z prawem. Podmioty, które miały obowiązek wyznaczyć IOD i zrobiły to wyłącznie na podstawie kryterium cenowego, „kupiły” sobie prowizoryczny spokój, zapominając o własnej odpowiedzialności za właściwe wdrożenie RODO. Sporo problemów pojawia się w związku z obowiązkiem informacyjnym i wskazaniem dla poszczególnych celów prawidłowej podstawy prawnej przetwarzania danych. Okazuje się też, że spore kłopoty są z procedurami odbioru zgód oraz ich odwołania, przy czym często pyta się o zgodę na przetwarzanie danych tam, gdzie wbrew pozorom nie jest ona wymagana.


Newsweek 12.03.2020r. | Link: https://www.newsweek.pl/biznes/przestrzeganie-rodo-biznes-bezpieczny-w-sieci/eeygc27


#rodo #newsweekpolska #inspektorzyodo #bcopoland #ochronadanych #compliance

16 wyświetlenia

Ostatnie posty

Zobacz wszystkie