Nie takie RODO straszne. Bądźmy ostrożni, ale nie panikujmy

23 maja, 2018

Znaczna część komentatorów roztacza niemal apokaliptyczne wizje związane z wchodzącym w życie 25 maja br. RODO, czyli ogólnym rozporządzeniem o ochronie danych osobowych. Kary przewidziane przez RODO robią duże wrażenie, ale pamiętajmy, że dla przedsiębiorcy mogą zaistnieć okoliczności łagodzące, które wpływają na ich zmniejszenie lub nawet zniesienie.

Ostrożność – tak, panika – nie

Jak powszechnie wiadomo, RODO wprowadza możliwość nakładania znacznych kar na organizacje, które nie będą w dostateczny sposób chronić dane osobowe. Wysokość kwot, o których mowa w RODO (4% globalnych przychodów firmy lub 20 mln euro) pobudza wyobraźnię i jest często przywoływana w dyskusjach na temat rozporządzenia. Czy jednak trzeba się nastawiać, że takie kary rzeczywiście będą wymierzane?

Naszym zdaniem nie ma powodów do paniki. Trzeba racjonalnie podejść do przechowywania danych osobowych, dbając o ich bezpieczeństwo i nie lekceważyć wymagań wynikających z RODO. W wielu organizacjach jest to dobry moment na weryfikację, czy posiadane dane osobowe są niezbędne do prowadzenia działalności. W przypadku naruszeń bezpieczeństwa przedsiębiorstwo będzie musiało wykazać, że podejmowało dobre decyzje dotyczące przetwarzania danych osobowych

– komentuje Jolanta Malak, regionalna dyrektor Fortinet w Polsce.

Włamania są nieuniknione

Według badania przeprowadzonego przez Fortinet aż 95% przedsiębiorstw w Polsce padło ofiarami naruszenia bezpieczeństwa w latach 2015–2017.

Współczesne ataki są na tyle zaawansowane, że można zmniejszyć ryzyko ich wystąpienia, ale trudno je całkowicie wyeliminować. Przepisy zawarte w RODO pozwalają przypuszczać, że sankcje dotyczące naruszenia danych osobowych będą inaczej nakładane w zależności od tego, czy zagrożenie będzie wynikiem ataku cybernetycznego, czy też nieodpowiedniego przechowywania danych przez przedsiębiorstwa. W związku z tym, warto przygotować odpowiednie mechanizmy zabezpieczania danych, które dobrze wdrożone, pozwolą na świadome korzystanie z baz danych o klientach i pracownikach oraz ograniczą ryzyko utraty kontroli nad nimi.

Warto w tym miejscu przywołać dane z raportu Trustwave z 2017 roku o bezpieczeństwie globalnym. Cyberprzestępca ma przeciętnie 65 dni zanim jego atak zostanie wykryty. Im dłużej takie „okno” pozostaje otwarte, tym więcej czasu przestępca może poświęcić na wyszukanie, znalezienie i kradzież danych.

Jeśli przedsiębiorstwo wykryje naruszenie ochrony danych osobowych objęte przepisami RODO, ma 72 godziny na zgłoszenie tego faktu właściwemu organowi nadzorczemu, chyba że, o czym mówi art. 33 RODO, „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Oznacza to, że w ciągu trzech dni przedsiębiorstwo powinno określić, czyich danych osobowych dotyczyło naruszenie, jakie dane osobowe zostały narażone na zagrożenie oraz jaki jest stopień potencjalnego wpływu tego naruszenia na określone osoby fizyczne.

Aby spełnić te wymogi, przedsiębiorstwo, które wykryło naruszenie ochrony danych, musi bardzo szybko zidentyfikować systemy, do których dostał się przestępca. Zazwyczaj konieczne jest wówczas zbadanie ruchu sieciowego oraz sprawdzenie poszczególnych urządzeń i aplikacji

– tłumaczy Robert Dąbrowski, szef zespołu inżynierów Fortinet.

Jeśli natomiast przedsiębiorstwo nie zgłasza przypadku naruszenia ochrony danych podmiotom zewnętrznym, musi uzyskać całkowitą pewność, że przepisy RODO na to zezwalają.

RODO dla przedsiębiorców

Nowoczesne zabezpieczenia to podstawa

Przepisy RODO zachęcają przedsiębiorstwa także do wdrażania nowoczesnych technologii zabezpieczających. Mówi o tym art. 25 rozporządzenia: „uwzględniając stan wiedzy technicznej, […] administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych […]”.

Chociaż RODO nie definiuje w żadnym miejscu pojęcia „uwzględniające stan wiedzy technicznej”, to jednak wyraźnie wskazuje, że jest nim objęta pseudonimizacja. Polega ona na zastępowaniu identyfikatorów osobowych, takich jak imiona i nazwiska, ciągami odwracalnych, spójnych znaków służących za pseudonim. Kluczem jest oddzielny plik, który zestawia poszczególne identyfikatory osobowe z przypisanymi im pseudonimami.

Natomiast określenie, które technologie można uznać za nowoczesne, po prostu ewoluuje w miarę jak zmienia się rynek rozwiązań IT.

RODO: Nie czas na panikę

Do momentu wejścia w życie przepisów RODO nikt tak właściwie nie wie, jak poszczególne kraje będą te przepisy egzekwować. Ciekawa w tym kontekście jest wypowiedź Elizabeth Denham, brytyjskiej komisarz ds. informacji, która na swoim blogu napisała:

Sianiem paniki jest sugerowanie, że od początku będziemy przykładnie karać przedsiębiorstwa za drobne naruszenia albo że kary maksymalne staną się normą.

Niemniej trzeba być gotowym na to, że RODO skieruje uwagę na wszystkie aspekty dotyczące podejścia przedsiębiorstwa do kwestii bezpieczeństwa. Każda organizacja na świecie, która przetwarza dane osobowe rezydentów UE, musi teraz rzetelnie ocenić swoją infrastrukturę zabezpieczeń informatycznych i wyciągnąć z tej oceny odpowiednie wnioski. Należy to oczywiście zrobić skrupulatnie i ostrożnie, z pewnością jednak nie ma potrzeby popadać w panikę.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]