Autor: Tomasz Ochocki, kierownik zespołu merytorycznego ODO 24.
ROK 2018 – JAKI BYŁ DLA BEZPIECZEŃSTWA INFORMACJI?
Rok 2018 obfitował w wydarzenia o donośnym znaczeniu dla bezpieczeństwa informacji, będąc kolejnym z kolei rokiem, w którym ustawodawca (zarówno krajowy i unijny) starał się minimalizować dystans pomiędzy postępującym rozwojem technologicznym a obowiązującym porządkiem prawnym, szukając jednocześnie równowagi pomiędzy dwiema wartościami: ochroną prywatności obywateli i innowacyjnością gospodarki. Bez względu na mnogość zdarzeń godnych odnotowania, jedno z nich znacząco przyćmiło pozostałe – rozpoczęcie obowiązywania ogólnego rozporządzenia o ochronie danych (RODO).
Niniejszy subiektywny przegląd najważniejszych wydarzeń ze świata bezpieczeństwa informacji w 2018 r. poddaje się tej narracji i podsumowuje mijające 12 miesięcy przede wszystkim przez pryzmat zmian, które zaszły w środowisku ochrony danych osobowych.
144 dni morderczego wyścigu
Licznik umieszczony na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych, odliczający czas do 25 maja doskonale oddaje atmosferę pierwszego półrocza 2018 roku. Ścigali się wszyscy: ustawodawca, pracujący m.in. nad ustawą o ochronie danych osobowych, która porządkowała krajowy system ochrony danych osobowych, Generalny Inspektor Ochrony Danych Osobowych dostosowujący podległy sobie urząd do realizacji nowych obowiązków oraz równocześnie udzielający porad i zaleceń w zakresie stosowania RODO, jak i same organizacje chcące na czas wdrożyć niezbędne zmiany.
W szczególności wyścig organizacji mających realizować obowiązki administratora danych lub podmiotu przetwarzającego (procesora) był szczególnie trudny. Wynikało to przede wszystkim z faktu, iż RODO jest całkowicie innym jakościowo aktem prawnym w porównaniu do dotychczasowego porządku. Wdrożenie RODO wymagało odejścia od odtwórczej implementacji wymagań prawa na rzecz zaangażowania się organizacji w budowę własnego systemu ochrony danych osobowych, adekwatnego do profilu prowadzonej działalności. RODO nie sprecyzowało wprost wymagań co do środków bezpieczeństwa. Te powinna zdefiniować sama organizacja na podstawie procesu analizy ryzyka, którego większość organizacji do tej pory nie przeprowadzała i do którego nie była gotowa – mówi Tomasz Ochocki, kierownik zespołu merytorycznego ODO 24.
Wdrażania RODO nie ułatwiało również wyjątkowo późne uchwalanie prawa oraz wydawanie wytycznych w zakresie praktycznego stosowania RODO. Ustawę o ochronie danych osobowych, która dookreśliła m.in. kwestie podmiotów publicznych zobowiązanych do wyznaczenia inspektora ochrony danych, zasady postępowania w sprawie naruszenia przepisów o ochronie danych osobowych oraz odpowiedzialność karną i administracyjne kary pieniężne, Parlament uchwalił dopiero 10 maja, a więc ledwie na dwa tygodnie przed rozpoczęciem obowiązywania RODO.
Prócz tego, dopiero na ostatniej prostej Grupa Robocza Artykułu 29 wydała lub znacząco skorygowała opinie wskazujące w jaki sposób odbierać zgodę na przetwarzanie danych osobowych, w jasny i przejrzysty sposób prowadzić korespondencję z osobami, których dane dotyczą, czy dokonać zgłoszenia naruszenia ochrony danych osobowych.
Dodając do tego atmosferę strachu, niepewności oraz nieograniczonych żądań ze strony osób, których dane dotyczą, czyli np. pracowników, klientów czy pacjentów, o których intensywnie informowały media, 25 maja jawił się dla wielu jako koniec świata – wskazuje Tomasz Ochocki, kierownik zespołu merytorycznego ODO 24.
Godzina „0”
25 maja był sumą wszystkich strachów związanych z największą od ponad 20 lat reformą przepisów
o ochronie danych osobowych. Tego dnia skumulowały się wszystkie obawy związane z RODO a nerwy osób odpowiedzialnych za bezpieczeństwo danych były napięte do granic możliwości. W trakcie gorączkowych przygotowań zapomniano jednak całkowicie o celach, które wskazał unijny ustawodawca, a mianowicie, że ustanawiając zestaw przepisów mających bezpośrednie zastosowanie w porządku prawnym wszystkich państw członkowskich Unii Europejskiej, RODO ma zagwarantować swobodny przepływ danych osobowych między państwami UE oraz wzmocnić dwa nieodzowne elementy jednolitego rynku cyfrowego: zaufanie konsumentów i ich bezpieczeństwo.
Słońce jednak wstało
Wbrew czarnym scenariuszom nie nastąpiła RODO-apokalipsa. Do drzwi organizacji nie zaczęli masowo pukać pracownicy Urzędu Ochrony Danych Osobowych, a skrzynki pocztowe nie zostały zalane skargami tzw. RODO-terrorystów. Czym zatem było dla organizacji drugie półrocze 2018 roku? Czasem wypoczywania oraz pozornego spokoju. Pozornego, ponieważ wiele organizacji potraktowało RODO jako jednorazową aktywność, a nie proces ciągłego utrzymywania zgodności. Z obserwacji ekspertów wynika również, że wiele firm ukryło się za „fasadą” wdrożenia, wykonaną z szablonowych wzorów dokumentów, niewzmocnionych poprawnie przeprowadzonym procesem oceny skutków dla ochrony danych oraz analizy ryzyka. Powyższe skłania do wniosku, że rok 2019 może być czasem wzmożonych „remontów” systemów ochrony danych osobowych w wielu organizacjach.
Jak natomiast ocenia pierwsze sześć miesięcy obowiązywania nowych przepisów Prezes Urzędu Ochrony Danych? Ciekawe informacje w tym względzie podaje portal Niebezpiecznik. Według informacji przekazanych przez Prezesa UODO:
1. od 25 maja wpłynęło do niego 3700 skarg od osób fizycznych. Dla porównania, w całym 2017 roku było ich 2950,
2. organizacje zgłosiły ponad 1800 naruszeń (incydentów) ochrony danych osobowych,
3. Prezes UODO przeprowadził kilkanaście postępowań. Dotyczyły one naruszeń, które nie zostały zgłoszone przez organizacje, a o których organ dowiedział się od osób fizycznych bądź został o nich poinformowany przez inny organ.
Jeżeli chodzi o najczęściej zgłaszane Prezesowi UODO naruszenia ochrony danych należą do nich:
1. przesłanie dokumentacji do osób nieuprawnionych (dotyczy to zarówno korespondencji e-mail, jak i korespondencji papierowej),
2. zagubienie/kradzież nośników elektronicznych,
3. nieprawidłowe niszczenie dokumentacji (częstym zjawiskiem jest sytuacja, gdy dokumentacja przeznaczona do zniszczenia nie jest niszczona w siedzibie organizacji lub przy udziale profesjonalnej firmy, a odnajdywana jest po pewnym czasie przez osoby trzecie w miejscach publicznych lub na prywatnych posesjach),
4. zagubienie dokumentacji papierowej,
5. ataki hakerskie skutkujące pozyskaniem lub/i zaszyfrowaniem baz danych.
Wśród skarg zgłaszanych Prezesowi UODO przez osoby fizyczne najczęściej powtarzają się:
1. chęć usunięcia danych osobowych – głównie odnoszą się one do sektora bankowego, firm zajmujących się windykacją należności, usług dostępnych on-line (portale społecznościowe, serwisy internetowe),
2. wymuszanie zgody na przetwarzanie danych w celach marketingowych,
3. przesyłanie przez firmy niechcianej korespondencji lub wykonywanie niechcianych telefonów marketingowych,
4. nieuprawnione udostępnienie danych osobowych osobie trzeciej,
5. pozyskiwanie zbyt szerokiego zakresu danych osobowych,
6. uzależnianie zawarcia umowy od wykonania lub udostępnienia kopii dokumentu tożsamości, zwłaszcza dowodu osobistego,
7. niewłaściwe spełnianie obowiązku informacyjnego,
8. przetwarzanie danych biometrycznych pracowników,
9. stosowanie monitoringu wizyjnego,
10. nieuprawnione udostępnienie danych osobowych w związku z realizacją obowiązków dotyczących dostępu do informacji publicznej (m.in. poprzez publikację w BIP dokumentów zawierających dane osobowe bez stosownej anonimizacji).
Do nas czeka w 2019 roku?
Jaki będzie rok 2019 dla bezpieczeństwa informacji? Przede wszystkim wymagający, ze względu na kształtowanie się praktyki związanej ze stosowaniem RODO. Wiele kwestii budzących obecnie wątpliwości znajdzie rozstrzygnięcie w decyzjach Prezesa UODO, orzeczeniach sądów lub wytycznych Europejskiej Rady Ochrony Danych.
Kwestią czasu pozostają również administracyjne kary finansowe, które są już stosowane przez zagraniczne organy ds. ochrony danych osobowych. Biorąc pod uwagę poziom implementacji wymagań RODO przez polskie organizacje należy uznać to ryzyko za realne.
Nie należy również pomijać kwestii związanych z trwającymi pracami legislacyjnymi, zarówno na poziomie krajowym, jak i europejskim. Mowa tu przede wszystkim o projekcie ustawy dostosowującej polski porządek prawny do zasad przetwarzania danych określonych w RODO (ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679), ustawie o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (stanowić ona powinna implementację dyrektywy 2016/680 nazywanej potocznie policyjną) oraz tzw. rozporządzenia ePrivacy, niosącego dla organizacji zmiany dorównujące tym wynikającym z RODO. Każdy z przywołanych aktów prawnych będzie donośny w skutkach, dlatego osoby odpowiedzialne za bezpieczeństwo informacji winny monitorować otoczenie prawne swoich organizacji – podsumowuje Tomasz Ochocki, kierownik zespołu merytorycznego ODO 24.
Bezsprzecznie jedno można powiedzieć już teraz – rok 2019 będzie szalenie ciekawy.
ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne.
Kontakt dla mediów:
Triple PR
Aneta Gałka
tel. 570 533 678
[email protected]