Kwestia staranności – śniadanie biznesowe „Technologia informacyjna i prawo w służbie ochrony danych”



Firmy będą musiały przeanalizować swoją sytuację pod kątem sposobu przetwarzania danych osobowych, zastanowić się, jakie dane przetwarzają i jakie ryzyko może nieść ze sobą ich ewentualne przedostanie się w niepowołane ręce – mówił Jarosław Kamiński z kancelarii Rödl & Partnerw trakcie śniadania biznesowego „Technologia informacyjna i prawo w służbie ochrony danych” zorganizowanego przez Cybercom.

General Data Protection Regulation, czyli regulacja Unii Europejskiej określająca zasady przetwarzania oraz ochrony danych osobowych wejdzie w życie 20 maja 2018 roku. Przedsiębiorstwa funkcjonujące w krajach członkowskich będą musiały dostosować wewnętrzne procedury do wymagań unijnych. .

Kwestię ochrony i przetwarzania danych osobowych na terenie Unii Europejskiej regulowała do tej pory dyrektywa z 1995 roku Data Protection Directive, w tej chwili już mocno przestarzała. Nowe przepisy zmieniają obowiązki administratorów danych, poszerzają zakres ochrony konsumentów oraz przewidują wysokie kary za uchybienia związane z bezpieczeństwem i ochroną informacji w przedsiębiorstwach.

 

Kary mogą wpłynąć na dalsze losy firmy 

– Ocena ryzyka związanego z „wyciekiem” danych to kwestia która może rzutować na stabilną pozycję rynkową przedsiębiorstwa. Przed majem 2018 firmy będą musiały przeanalizować swoją sytuację, zastanowić się, jakie dane przetwarzają i jakie ryzyko może nieść ze sobą ich ewentualne przedostanie się w niepowołane ręce oraz wdrożyć odpowiednie zabezpieczenia – mówił Jarosław Kamiński. Ekspert podkreślał, że w stosunku do poprzedniego stanu prawnego zmieniają się kary administracyjne przewidziane w razie większych uchybień ze strony administratora danych. Rozporządzenie przewiduje kary w wysokości do 4 proc. obrotu przedsiębiorstwa za rok ubiegły lub 20 milionów euro, przy czym zastosowanie będzie miała wyższa kwota..

– Ministerstwo Cyfryzacji nie dawało sygnałów, że zamierza ingerować w wysokość tych kar w Polsce, dlatego należy się spodziewać, że zostaną na obecnym poziomie – podkreślał. – Obecnie po ewentualnym naruszeniu prawa ochrony danych osobowych następuje kontrola, a następnie urząd wskazuje co należy poprawić. Ekspert podkreślił, że przedsiębiorstwa odpowiadają także za wybór partnerów biznesowych, którym powierzają ochronę danych osobowych oraz ich przetwarzanie.

– W razie potrzeby przedsiębiorca musi  udowodnić, że jego partnerzy handlowi zabezpieczają dane z odpowiednią starannością. Oznacza to konieczność konstruowania umów z dostawcami usług w odpowiedni sposób i dotyczyć może na przykład chmury obliczeniowej, hostingu czy marketing automation – mówił.

Jarosław Kamiński dodał, że nowa dyrektywa wpłynie na wszystkie procesy biznesowe wymagające przetwarzania danych osobowych, w tym na rekrutację nowych pracowników – Należy spodziewać się zmian w procesie rekrutacji. Firmy będą musiały dokładniej strzec danych kandydatów, a tekst zgody na przetwarzanie danych znacznie się wydłuży.

Dochować technologicznej staranności

– Zgodnie z dyrektywą firmy muszą przygotować własną politykę ochrony danych uwzględniając stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania danych osobowych – wskazywał Adam Wódz, Security Solutions Business Unit Director z firmy Cybercom. – Oczywiście mamy prawo na własny użytek ocenić w dokumencie określającym tę politykę, że ryzyko „wycieku” nie istnieje, a nawet jak do niego dojdzie, to i tak nie spowoduje to strat. Jednak w razie kontroli organ kontrolny będzie analizował ten dokument i najprawdopodobniej podważy taki tok myślenia.

Zdaniem eksperta polski Generalny Inspektor Ochrony Danych Osobowych może opublikować w przyszłości biuletyn zawierający wskazania i dobre praktyki związane z ochroną danych klientów.

– Na razie wytyczne są bardzo ogólne. Audyty mają być przeprowadzane z określoną regularnością. Ale jaką? Dla niektórych firm wystarczy przeprowadzenie audytu raz na rok. Dla innych nawet raz na tydzień może okazać się niewystarczające – mówił. Adam Wódz podkreślił jednocześnie jak ważnym zapisem w dyrektywie jest konieczność budowania wśród pracowników świadomości zagrożeń – Współczesne ataki kierowane są przede wszystkim w ich stronę, wykorzystując socjotechnikę na równi z informatyką. W takiej sytuacji jedyną obroną jest odpowiednio wczesne wychwycenie niuansów, które świadczą o tym, że ktoś chce uzyskać nieautoryzowany dostęp do danych.  

Przypadki pod kontrolą

Specjalista Cybercom wyjaśnił także, że incydentem jest nie tylko wyciek lub kradzież bazy danych, ale także jej przypadkowe udostępnienie lub modyfikacja.

- Każdemu może się zdarzyć wysłanie maila na zły adres. Pracownik może również przez pomyłkę zmodyfikować konkretne pole w całej bazie danych. Jednak w świetle nowych regulacji taka sytuacja również jest naruszeniem i podlega karze. Dlatego tak istotne jest wypracowanie odpowiednich procedur oraz wskazanie, że firma faktycznie zrobiła wszystko, co mogła, by swoje dane zabezpieczyć, a ich ewentualny „wyciek” był po prostu nie doprzewidzenia – podsumował Adam Wódz.

Spotkanie zakończyła dyskusja i pytania do ekspertów, a także prezentacja możliwości podsłuchiwania rozmowy w technologii Voice over IP. Spotkanie zgromadziło specjalistów w temacie ochrony danych oraz prawa, co stworzyło unikatową okazję do networkingu biznesowego i wymiany informacji. 

 

 

Twierdza w chmurach. GDPR przyspieszy migrację do clouda.

Rozmowa z Jarosławem Kamińskim z Rödl & Partner oraz Adamem Wodzem z Cybercom.

 

W jaki sposób GDPR (General Data Protection Regulation) może wpłynąć na nowoczesny marketing, na przykład retargeting, który opiera się na plikach cookies?

Jarosław Kamiński – Z punktu widzenia GDPR zależy to przede wszystkim od tego, jakie dane będą zbierane. Jednak klient będzie musiał być poinformowany o profilowaniu.

Adam Wódz – Niestety nie znamy w tej chwili szczegółów, ale możemy się wielu kwestii domyślać. Z punktu widzenia technicznego praktycznie nic się nie zmieni. Możemy się jednak spodziewać, że na „ciasteczkowanie” i zbieranie danych od użytkowników zostanie nałożone wiele restrykcji. W świetle prawa, serwisy z treścią będą miały obowiązek przedstawić wszystkie klauzule dotyczące przetwarzania, zbierania i przechowywania plików cookies. W rezultacie z niewielkiej ramki zrobi się dokument na kilka stron A4, którego warunki czytelnik musi zaakceptować.

J. K. – Podstawą nowej regulacji jest transparentność, uświadamianie użytkownikom co i kiedy dzieje się z ich danymi. Jeśli bloger zarabia na swojej działalności, będzie musiał wskazać, jakie dane są pozyskiwane poprzez jego serwis  oraz czego dotyczą. 

 

Jaka wobec tego jest odpowiedzialność, na przykład, sieci afiliacyjnej, która nie wchodzi w bezpośrednią interakcję z odbiorcami, a faktycznie jest podmiotem przetwarzającym dane. Kto tu jest odpowiedzialny? 

A.W. – Właściciel witryny ma podpisaną umowę z siecią afiliacyjną lub reklamową, lub też nawiązał współpracę w innej formie i jest świadom, że ich kod jest obecny na jego stronie. Podmioty te są jego partnerami biznesowymi, przez co w rozumieniu ustawy wydawca jest odpowiedzialny za to, w jaki sposób dane czytelników i ich pliki cookies, są wykorzystywane. W razie kłopotów, również wydawca poniesie odpowiedzialność.

J.K. – Główny ciężar odpowiedzialności przenoszony jest na administratorów danych, którzy musz wiedzieć, z usług jakich podmiotów korzystają. Dlatego jeśli wydawca współpracuje z siecią afiliacyjną, powinien mieć pewność, że to duży, godny zaufania podmiot który dochowa wszelkich standardów.

 

W jaki sposób GDPR reguluje odpowiedzialność firm korzystających z cloud computingu? 

J.K. – W GDPR ciężar regulacji umownych jest bardzo istotny. Jako administrator, który  decyduje się na przeniesienie do nowego rozwiązania chmurowego ponoszę odpowiedzialność zarówno za wybór usługodawcy, jaki i za sam proces przejścia. W związku z tym zabezpieczenie wszystkich procedur w formie odpowiednich zapisów nabiera kluczowego znaczenia. 

A.W. –  W przypadku chmury obliczeniowej oferty dla klientów najczęściej są wcześniej sformatowane. Już w tej chwili najwięksi dostawcy spełniają wymogi GDPR i świadczą usługi na odpowiednim poziomie bezpieczeństwa.

W miarę upływu czasu zapisy będą coraz bardziej precyzyjne, pojawią się dobre praktyki. Co więcej, chmura obliczeniowa zawsze będzie lepiej zabezpieczona, niż jakakolwiek firma prywatna. Dlatego zmiana przepisów może być doskonałym momentem na migrację, by zamiast wdrażać skomplikowaną politykę u siebie, po prostu wznieść organizację „na nowy poziom”.

 

Firma musi zgłosić „wyciek” danych w ciągu 72 godzin od kiedy się o nim dowie. Co to tak naprawdę oznacza? 

A.W. – Oznacza to, że konieczne są pewne formy monitorowania sytuacji. Jeśli audyty i kontrole przeprowadzane są regularnie, nie powinno być problemu. Jeśli jednak o incydencie dowiadujemy się pięć lat później, z pewnością pokazuje to duże zaniedbania.

Aby spełnić ten wymóg, firma musi stosować najlepsze praktyki, jakie ma w zasięgu, w jak najlepszej wierze. Nigdy nie ma gwarancji, że taki incydent nie będzie miał miejsca. Kilka lat temu wszyscy sądzili, że protokół SSL jest bezpieczny, a nagle okazało się, że ma ogromną dziurę, którą później nazwano Heartbleed. Czy ktoś wiedział o niej wcześniej? Tego się nie dowiemy.

J.K. –Nie da się w pełni zapobiec „wyciekom” danych, ale można zrobić wszystko, co w naszej mocy, by dane były bezpieczne. Jeśli dojdzie do nieprawidłowości to kara zapewne i tak zostanie nałożona, ale być może zostanie zredukowana. Jeśli incydent był faktycznie nieunikniony, technologia była wadliwa, ale nikt o tym nie wiedział, być może kary w ogóle nie będzie.

 

W jakim stopniu będzie można outsourcować te usługi, skoro i tak na koniec odpowiedzialność ponosi administrator? 

J.K. – Kluczowym zyskiem z outsourcingu jest jakość. Siłą rzeczy zewnętrzny dostawca będzie miał większe doświadczenie i kompetencje niż wewnętrzny dział IT. Dlatego outsourcing jest w tym przypadku jak najbardziej wskazany.

Jeśli dojdzie do incydentu związanego z danymi, usługodawca również musi wykazać, że dochował należytej staranności. Co więcej, jeśli do zaniedbań doszło z jego winy, to administrator danych co prawda ponosi odpowiedzialność administracyjną, jednak może wystąpić z roszczeniami cywilnymi wobec usługodawcy, nawet do pełnej wysokości kary.

 

Czy możliwe byłoby wprowadzenie ubezpieczeń od konsekwencji finansowych takich wycieków? 

A.W. – Już się pojawiają takie ubezpieczenia. Ubezpieczyciele, którzy je oferują, stworzyli kilkunastostronicowy dokument ,w którym wykazują jakie normy musi spełniać firma. Oczywiście podstawą jest audyt.

J.K. – Taka polisa wydawana jest na rok, co oznacza że firma musi przynajmniej raz na rok przeprowadzić dokładny, niezależny audyt. Prawdopodobnie tego typu oferta i tak jest skierowana do instytucji finansowych, na przykład banków, dla których zagrożenie bezpieczeństwa danych może być nie tyle kryzysem, co katastrofą. Pytanie o sensowność kosztową takiego rozwiązania pozostaje otwarte.