Witam Ciebie serdecznie, niezależnie od aktualnej politycznej atmosfery…
Dzisiaj występuję w dość nietypowej roli na blogu, przeprowadzającego wywiad z wybitnym specjalistą z dziedziny cyberbezpieczeństwa i ochrony danych.
O nowym prawie ochrony danych osobowych sygnalizowałem Tobie już wcześniej TUTAJ >>
Tym razem, rozmawiam na ten temat z Dariuszem Łydzińskim – IT Security Managerem, prezesem 4ITsecurity sp. z o.o.
Darku, w przyszłym roku czekają nas zmiany dotyczące przepisów o ochronie danych osobowych. Na stronach Ministerstwa Cyfryzacji znajdujemy informację, że zadanie jest realizowane, co oznacza brak ostatecznego projektu ustawy. Co według Ciebie, na tym etapie powinniśmy wiedzieć o nadchodzących zmianach?
Rozporządzenie Parlamentu Europejskiego i Rady z 2 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych, określane w skrócie RODO jest nowym rozporządzeniem dotyczącym ochrony danych w państwach UE. Organizacje na całym świecie, które zbierają i przetwarzają dane osobowe mieszkańców UE muszą działać zgodnie z jego postanowieniami, albo zostaną obciążone znacznymi karami finansowymi i stawią czoła problemom związanym ze spadkiem reputacji. Wszyscy działający w Polsce przedsiębiorcy będą musieli dostosować swoją działalność gospodarczą do nowego prawa unijnego do 25 maja 2018 r.
Co dla każdego przedsiębiorcy oznacza wejście w życie nowych regulacji?
Nowe unijne przepisy o ochronie danych osobowych oznaczają dla organizacji nowe obowiązki oraz intensywny proces przygotowania się do ich wypełniania. Trzeba podkreślić, że czasy, w których kwestia ochrony danych osobowych była przez niektórych traktowana z przymrużeniem oka, odchodzą bezpowrotnie w przeszłość. To, co jeszcze niedawno było dobrą praktyką, stanie się obligatoryjnym standardem funkcjonowania dla polskich przedsiębiorców. W porównaniu z obecnie obowiązującą ustawą, nowe unijne prawo wymaga znacznie większej odpowiedzialności i świadomości przy przetwarzaniu danych osobowych. I to zarówno ze strony administratorów danych, jak i podmiotów przetwarzających dane na zlecenie.
Jak i kiedy przedsiębiorcy powinni przygotować się do zmian?
Przedsiębiorcy już powinni podjąć czynności przygotowawcze, choćby takie, jak zmapowanie procesów biznesowych, które należy ocenić pod kątem nowych przepisów i wyciągnąć wnioski co do koniecznych zmian. Konieczna jest także weryfikacja listy dostawców usług, którzy mają dostęp do danych osobowych.
Moim zdaniem najważniejsza jest ocena własnej sytuacji, przegląd tego, jakie dane są przetwarzane, i określenie celu tego przetwarzania. Warto też zastanowić się nad oceną ryzyka związanego chociażby z wyciekiem danych. Tylko w ten sposób można wprowadzić skuteczne zabezpieczenia zarówno organizacyjne, jak i techniczne. Wszystkie te działania potrzebują czasu, więc choć RODO zacznie bezpośrednio obowiązywać dopiero 25 maja 2018 r., to już teraz warto zapoznać się z jego przepisami i zabrać do pracy.
Jakie konkretnie zmiany nas czekają?
Wiele z głównych koncepcji i zasad RODO jest w znacznym stopniu zbieżna z tymi, które występują w obecnej ustawie o ochronie danych osobowych. Stąd też, jeżeli organizacja stosuje się odpowiednio do obecnego prawa, znaczna część podejścia w zakresie zgodności z regulacjami będzie dalej obowiązywać i może stanowić punkt startowy do stworzenia nowych rozwiązań. Istnieją jednak nowe elementy i istotne rozszerzenia, dlatego pewne rzeczy będzie trzeba robić po raz pierwszy, a inne inaczej niż dotychczas.
Zmiany organizacyjne obejmują mianowanie inspektora ochrony danych, opracowanie polityki i odbycie szkolenia w zakresie obsługi osobowych i poufnych danych osobowych oraz zapewnienie odpowiedniego podejścia do wykonywania oceny wpływu na ochronę danych (DPIA). Środki technologiczne w zakresie ochrony danych osobowych obejmują klasyfikację danych, zapobieganie utracie danych, szyfrowanie, ograniczenia transferu danych i technologie, które umożliwią zainteresowanym osobom skorzystanie z prawa do dostępu, poprawiania i usuwania danych osobowych przechowywanych przez administratorów danych (pod pewnymi warunkami).
Czy ochrona danych u przedsiębiorców przybierze bardziej sformalizowany charakter?
RODO rozszerzy obowiązki podmiotów przetwarzających dane osobowe. W praktyce oznacza to że, organizacja, która chce powierzyć przetwarzanie danych musi zweryfikować i ocenić, na ile wybrany dostawca jest w stanie zapewnić odpowiednie środki techniczne i organizacyjne wskazane w rozporządzeniu.
Czy konieczne będzie wprowadzanie nowych systemów ochrony, nieznanych i niestosowanych dotąd przez przedsiębiorców? I przede wszystkim, czy w Twojej ocenie przedsiębiorca jest w stanie sam poradzić sobie ze zmianami? Czy wystarczy mu dobry prawnik?
Do określenia środków chroniących przetwarzane dane osobowe punkt wyjścia stanowi analiza ryzyka. Nowe podejście do przetwarzania i ochrony danych osobowych, w odróżnieniu od wcześniejszego charakteryzuje się tym, że nie dostaniemy już katalogu gotowych rozwiązań na zasadzie odhaczania z góry narzuconej listy. Obecnie mamy do czynienia z sytuacją, kiedy regulacje przewidziane w obowiązującym rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. są niewystarczające. Zabezpieczenia tam wskazane mocno się zdezaktualizowały, co nie zapewnia właściwego poziomu bezpieczeństwa tym danym. Prawo nie nadąża za technologią. Dlatego też w nowym podejściu o zastosowanych środkach ochrony będą decydować wyniki przeprowadzonej analizy ryzyka. Wyzwaniem dla administratorów danych będzie wdrożenie takich środków technicznych i organizacyjnych, które w najlepszy sposób ochronią dane osobowe przed incydentami związanymi z ich bezpieczeństwem. Dobór tych środków spocznie w całości na przedsiębiorcach. Sam prawnik tego nie wykona, ponieważ zmiany wynikające z RODO nie ograniczają się wyłącznie do zagadnień i interpretacji prawnych.
Kluczową umiejętnością jest zdolność do określenia, co jest istotnym ryzykiem dla danych osobowych. Tego konkretnego, w danej organizacji. Przy tym samym obrazie zagrożeń inne są kluczowe rodzaje ryzyka dla firmy stoczniowej, elektrowni czy banku. Zmienia się też charakter zagrożeń. Jeszcze kilka lat temu większość ataków wykorzystywała niższe warstwy sieci – głównie warstwę transportową. Dziś przestępcy stosują nowoczesne techniki maskowania szkodliwych aplikacji, przez co typowe systemy antywirusowe nie są w stanie ich wykryć, a klasyczne zapory zablokować. Nie brakuje też ataków wykorzystujących socjotechnikę. Jednak co najważniejsze, znacznie wzrasta liczba zagrożeń opartych na warstwie aplikacji. Atakujący dzisiaj robią wszystko, żeby przejąć kontrolę nad konkretnymi maszynami i jak najdłużej pozostać niezauważonym. Ryzyko związane z incydentami upublicznienia lub utraty danych osobowych trzeba będzie ocenić na podstawie aktualnego stanu wiedzy technicznej i znajomości realnych zagrożeń. A zatem każda organizacja będzie musiała we własnym zakresie ocenić odpowiedni stopień bezpieczeństwa na podstawie ryzyka wiążącego się z przetwarzaniem, a w szczególności wynikającego z zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Należy przy tym pamiętać, że nie może to być działanie jednorazowe, lecz zaplanowany z góry proces wymagający cyklicznej powtarzalności. Chociażby dlatego iż, zagrożenia dla danych osobowych zmieniają się bardzo dynamicznie i to, co dzisiaj uznajemy za bezpieczny standard, jutro może okazać się wielką luką w systemie bezpieczeństwa, która narazi nasze dane na niekontrolowany wyciek. Można się już domyślać, że podczas ewentualnej kontroli organ nadzorczy poprosi w pierwszej kolejności nie tylko o dokument polityki bezpieczeństwa danych osobowych, ale także właśnie o dokumentację przeprowadzonych procesów analizy ryzyka i wyboru adekwatnych środków bezpieczeństwa.
Odpowiadając na Twoje pytanie, czy jako prawnik jesteś w stanie samodzielnie wykonać taką analizę? Z pewnością nie. Nawet dobry prawnik to przy tak skomplikowanej dziedzinie zdecydowanie za mało.
Wracając do zmian, jedną z nich jest także obowiązek powołania inspektora ochrony danych osobowych. Czy każdy przedsiębiorca będzie do tego zobligowany?
Zgodnie z RODO, powołanie inspektora ochrony danych w sektorze prywatnym będzie obowiązkowe w dwóch przypadkach: kiedy przetwarzanie danych ze względu na ich charakter, naturę, cel lub zakres wymaga regularnego i systematycznego monitorowania osób na dużą skalę, a także gdy na dużą skalę przetwarzane są dane szczególnej kategorii (dane wrażliwe) lub dane osobowe dotyczące wyroków skazujących. W pozostałych przypadkach powołanie inspektora ochrony danych będzie dobrowolne. Również w sektorze publicznym to powołanie będzie obligatoryjne.
Czy nowe przepisy przewidują obowiązkowe szkolenia pracowników i osób współpracujących w zakresie ochrony danych osobowych, którymi dysponuje firma?
Same narzędzia techniczne, w tym oprogramowanie nie wystarczą, aby zapewnić ochronę danych. Niezbędne jest przeszkolenie personelu, aby każdy pracownik wiedział, jak korzystać z poszczególnych narzędzi i aplikacji. Wszystkie osoby zatrudnione w organizacji powinny wiedzieć, jak obchodzić się z danymi, znać najlepsze praktyki związane z bezpieczeństwem informacji. Wysoki poziom wiedzy sprawi, że pracownicy nie popełnią wielu błędów i pomyłek, którym w przeciwnym razie nie udałoby się zapobiec. Warto przekazywać na bieżąco informacje pracownikom, powiadamiając o konkretnych zagrożeniach i ryzykach, które występują w danej branży. Dzięki temu wszyscy zatrudnieni będą wykazywać się większą ostrożnością w codziennej pracy.
Czy przedsiębiorca powinien we własnym zakresie monitorować ewentualne wycieki danych? Czym są „privacy by design” i „privacy by default” i z jakimi obowiązkami dla przedsiębiorcy wiążą się w praktyce? Czy są to nowe instytucje?
Nowe przepisy wymagają od przedsiębiorców, by o wszystkich przypadkach naruszenia danych informowali Urząd Nadzoru (GIODO), a niekiedy także zainteresowane osoby (np. klientów), których dane dotyczą. Wszelkie nieprawidłowości w tym zakresie należy zgłosić organowi nadzorczemu (GIODO) bez zbędnej zwłoki, jeżeli to możliwe – nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia. Dotyczy to nie tylko takich przypadków, gdy dane zostaną na przykład bezprawnie opublikowane w Internecie, ale też sytuacji, kiedy zgubiony zostanie pendrive z danymi czy dane zostaną skasowane.
Koncepcja „privacy by design” i „privacy by default” nie była do tej pory sprecyzowana w przepisach unijnych, ani w przepisach krajowych. Administratorzy danych i podmioty przetwarzające dane, po wejściu w życie rozporządzenia będą musieli zmienić podejście do bezpieczeństwa danych. Będą zobligowani m.in. do przeprowadzenia analizy oprogramowania pod kątem bezpieczeństwa danych osobowych i wymagań rozporządzenia, zwłaszcza w kontekście prawa do „bycia zapomnianym” (Right to be Forgotten) oraz prywatności w fazie projektowania (Privacy by Design).
Podmioty, które wdrożyły lub wdrażają system zarządzania bezpieczeństwem informacji zdecydowanie łatwiej będzie spełnić to wymagania. System zarządzania bezpieczeństwem informacji zapewnia zachowanie poufności, integralności i dostępności danych w wyniku stosowania procesu szacowania ryzyka i sprawia, że strony zainteresowane mają pewność, że ryzyka są odpowiednio zarządzane.
RODO nakłada na administratora danych obowiązek przyjęcia wewnętrznych polityk i wdrożenia środków, które zapewnią uwzględnienie danych osobowych w fazie projektowania oraz mechanizmy domyślnej ochrony.
Kto i kiedy będzie mógł skontrolować przedsiębiorcę czy wprowadził i przestrzega nowych przepisów? Jakie kary będą groziły za wyciek danych?
Zgodnie z RODO w każdym państwie członkowskim, za przestrzeganie zasad ochrony danych osobowych odpowiada co najmniej jeden organ nadzorczy. W naszym krajowym porządku prawnym funkcję tę pełni GIODO. Na kanwie nowego rozporządzenia status tego organu ulegnie znacznej zmianie. Będzie to organ, z którym podmioty (w szczególności prywatne) będą się liczyć. Konsekwencją tego podejścia są przewidywane sankcje. Ich górna wysokość to 20 milionów euro, a w przypadku przedsiębiorstw – 4% rocznych globalnych obrotów z poprzedniego roku obrotowego. Z samego założenia kary te mają być skuteczne, proporcjonalne i odstraszające. I na pewno takie są.
Czy projekt ustawy przewiduje jakiekolwiek sytuacje bądź podmioty, które mogą być zwolnione z niektórych obowiązków lub w stosunku do których nie będą stosowane kary przewidziane w rozporządzeniu unijnym?
Projekt ustawy przygotowywany przez resort cyfryzacji zakłada, że prezes Urzędu Ochrony Danych Osobowych, który zostanie powołany w miejsce GIODO będzie mógł nałożyć kary finansowe na przedsiębiorców. Obecnie GIODO nie ma takich uprawnień. Wyjątek stanowi nakładanie kar na administrację, co objęte jest swobodą państw członkowskich. Projekt ogranicza krąg podmiotów publicznych, wobec których możliwe jest nakładanie administracyjnych kar pieniężnych za naruszenia przepisów o ochronie danych osobowych. Projektowane przepisy przewidują też znaczne obniżenie maksymalnej granicy możliwej do nałożenia kary na sektor publiczny, do 100 000 zł.
Czy uważasz, że wprowadzenie nowych przepisów wpłynie na świadomość Polaków w zakresie ochrony danych osobowych i prywatności? Jakie są podstawowe błędy popełniane teraz zarówno przez przedsiębiorców administrujących danymi, jak i obywateli, którzy je udostępniają?
Świadomość w zakresie zagrożeń jest wciąż na tyle niska, że cyberprzestępcy nie muszą się wysilać i dokonują ataków, korzystając z bardzo prostych mechanizmów żerujących na ludzkiej naiwności. Bardzo często handel danymi osobowymi odbywa się dzięki nam samym. Cokolwiek chcemy zrobić, zarejestrować się na forum, założyć konto w portalu społecznościowym, zagrać w internetową grę musimy wyrazić zgodę na przetwarzanie naszych danych osobowych na zasadach określonych w regulaminie. Niestety bardzo często nie zapoznajemy się z treścią tych regulaminów. Warto więc, zanim zaznaczymy opcję zgody, zapoznać się z tym na co wyrażamy zgodę. Należy sprawdzić na co się godzimy, w jaki sposób będą przetwarzane nasze dane i do jakiego celu.
Prawie każdy menadżer w swojej karierze zawodowej wielokrotnie odczuł skutki braku, czy niewłaściwej ochrony informacji. Zagrożenia pojawiające się w otoczeniu biznesowym organizacji przybierają postać trendów rynkowych, finansowych czy technicznych. Z tego powodu mogą w porę nie zostać dostrzeżone i doprowadzić do zatrzymania rozwoju danej organizacji. Nieudane lub złe kontrakty i umowy, własne pomysły realizowane przez konkurencję, problemy z nowo uruchamianymi usługami, produkcja na wyrost, odejście klienta do konkurencji, niższy od zakładanego poziom sprzedaży, problemy natury prawnej i roszczenia odszkodowawcze, to tylko niektóre z nich. Informacja o sposobach działania, o kontaktach handlowych, o stosowanych technologiach stanowi o konkurencyjności organizacji na rynku. Należy sobie zdawać sprawę, że jakakolwiek utrata danych jest stratą dla organizacji.
Choć świadomość przedsiębiorców w zakresie niebezpieczeństw rośnie, to systemy zabezpieczeń w przeważającej większości firm wciąż pozostawiają wiele do życzenia. Przez 17 lat pracy nie spotkałem ani jednej firmy, w której nie wskazałbym żadnych zastrzeżeń w zakresie bezpieczeństwa danych. Niestety, zarządy organizacji najczęściej traktują specjalistów od bezpieczeństwa jako koszt, dlatego niechętnie tworzą takie zespoły. Wiele przedsiębiorstw nie przeprowadza również audytów bezpieczeństwa i nie posiada polityki bezpieczeństwa, a jeśli już posiada, to często nie jest ona wypracowana w firmie, lecz skopiowana od kogoś bądź ściągnięta z Internetu, co sprawia, że nie jest dostosowana do realiów konkretnej firmy i przez to nie spełnia swojej roli.
Istotne jest to, by każdy przedsiębiorca zdał sobie sprawę z faktu, iż włamania i kradzież danych nie przydarzają się jedynie dużym korporacjom. Są również udziałem małych i średnich firm, organizacji rządowych samorządowych i osób fizycznych.
Dlatego zapewnienie bezpieczeństwa informacji oraz umiejętność radzenia sobie w sytuacji zagrożenia, powinny być nieodzownym elementem działalności każdej organizacji. Myślę, że nowe prawo unijne będzie miało duży wpływ na świadomość przedsiębiorców w tym zakresie, a co za tym idzie zmianę podejścia do kwestii ochrony danych.
Dziękuję Darku za rozmowę.
Dariusz Łydziński – Od ponad 17 lat zajmuje się zawodowo szeroką problematyką systemów bezpieczeństwa oraz praktyką utrzymania ciągłości działania, w tym zarządzania ryzykiem. Specjalizuje się w szczególności w rozwiązaniach e-security. Realizował złożone projekty zabezpieczania danych wagi państwowej, obsługując procesy funkcjonowania systemów łączności, a także bezpieczeństwa informacji w kontekście ochrony funkcjonalności wysoce zaawansowanych sieci oraz systemów teleinformatycznych i telekomunikacyjnych. Prelegent na wielu konferencjach i trener z wieloletnią praktyką. Autor wielu publikacji w wydawnictwach specjalistycznych. Posiada doświadczenie w zakresie zapewnienia bezpieczeństwa/ochrony wielooddziałowego przedsiębiorstwa, w opracowywaniu polityk i strategii zarządzania bezpieczeństwem. Audytor systemów zarządzania bezpieczeństwem informacji.
Więcej informacji na temat działalności Darka i jego doświadczenia znajdziesz TUTAJ >>
{ 0 komentarze… dodaj teraz swój }