Bezpiecznie w sieci

Kłopoty z RODO

25 maja 2018 roku na całym terytorium Unii Europejskiej wejdą w życie regulacje nowego rozporządzenia Komisji Europejskiej, dotyczące ochrony danych osobowych. Rozporządzenie to, zmienia całkowicie system ochrony danych osobowych.

Rozporządzenie to, znane pod angielskim skrótem GDPR, zaś w Polsce jako RODO, zmienia całkowicie system ochrony danych osobowych i to do tego stopnia, iż już obecnie można powiedzieć, że w polskich firmach będą z jego skutkami problemy.

Do 25 maja 2018 r.zostało niewiele czasu, jeśli trzeba by wprowadzić w firmach nowe rozwiązania IT. Dotyczy to zwłaszcza firm MSP, których zarządy są bardzo słabo zorientowane w problemie GDPR/RODO i traktują nowe rozporządzenie jako "jeszcze jeden papierek dla prawników". Przeprowadzona jesienią 2016 roku ankieta ARC Rynek i Opinia już wtedy ostrzegała, że znajomość problemu w firmach zatrudniających powyżej 100 osób jest tragiczna.

Reklama

W istocie 52 proc. z nich nigdy no tym rozporządzeniu nie słyszało, a 67 proc. z pozostałych nie wie dokładnie kiedy zacznie ono obowiązywać. Nowe rozporządzenie wprowadza też jako regułę prawo do bycia zapomnianym, tymczasem połowa z ankietowanych firm przyznała, że nie dysponuje ani technologiami, ani rozwiązaniami, które pozwoliłyby na natychmiastowe usunięcie danych osób fizycznych, czyli respektowanie tej regulacji.

Inne fragmenty regulacji też nie mogłyby zostać w wielu przedsiębiorstwach wdrożone: u 42 proc. ankietowanych nie istnieją żadne procedury informowania organów ochrony danych o naruszeniach. Tymczasem GDPR wprowadza obowiązek zgłoszenia do krajowego organu ochrony danych, wszystkich incydentów, związanych z naruszeniem danych osobowych czasie do 72 godzin od ich wystąpienia. Kara za zaniechanie zgłoszenia może wynieść nawet do 4 proc. rocznych obrotów i znowu - 72 proc. ankietowanych uważa ją za drakońską.

Surowe kary

GDPR/RODO z zasady będzie regulacją długowieczną, bo 20-letnią. Zapisano w niej całkowitą neutralność technologiczną, co w sensie praktycznym oznacza nie odwoływanie się do jakiejkolwiek istniejącej technologii. Samo jego wdrażanie też nie zostawia niczego do interpretacji legislacji krajowej państw UE i ich organom; zapowiada standaryzację i stworzenie europejskiego systemu ochrony danych, jednolitego i konkurencyjnego jako środowiska dla biznesu. Nie inaczej będzie przebiegało wdrożenie w Polsce, gdzie zmieni się całkowicie rola GIODO, zaś zmiany dotyczące poszczególnych resortów, zostaną opracowane już poza Ministerstwem Cyfryzacji, choć będą z nim konsultowane, bowiem nowa legislacja musi być jednolita i spójna.

Jak wiadomo naruszenia ochrony danych osobowych w GDPR/RODO są bardzo surowo karane. Kary lżejsze tj. odnoszące się do lżejszych przypadków naruszeń mają górną granicę 10 mln EUR lub do 2 proc. całkowitego rocznego obrotu firmy, zaś kary cięższe mogą wynieść nawet 20 mln EUR lub 4 proc. całkowitego rocznego obrotu firmy, przy czym kwota jest zależna od rozmiaru firmy i jej wyników finansowych tj. im większe przedsiębiorstwo tym i kara może być wyższa. Co istotne jednak, pod uwagę brana będzie przy wymierzaniu kary postawa karanego przedsiębiorstwa, gotowość do współpracy i chęć naprawienia szkody. W ten sposób karane mogą być najwyższą karą firmy aroganckie "zbyt wielkie, aby takie kary ich dotyczyły". Jak wskazują przykłady Google i Microsoft dla Komisji Europejskiej nie będzie firm "zbyt wielkich do ukarania", mimo iż z reguły przedsiębiorstw takie dysponują sztabami świetnych prawników i ogromnymi środkami finansowymi.

Po raz pierwszy jednak kary nakłada się bez odwołania do prawodawstwa krajowego państw-członków UE, zaś ich wysokość ustala się na podstawie 11 kryteriów. Organy nadzorcze państw UE będą wobec tego zmuszone stworzyć własne taryfikatory, by zasady były jednolite i firmom nie opłacało się przenosić biznesów tam gdzie kary będą z zasady niższe. Kary też płaci centrala nie oddział: przy naruszeniu w Polsce i centrali firmy we Włoszech, kara zostanie zapłacona wtym ostatnim kraju.

Jak odzyskać dane?

Ciekawie w GDPR/RODO została ujęta kwestia ransomware, co jest ważne zwłaszcza po atakach Petya i WannaCry. Otóż stwierdzono, że tego typu działanie tj. zakończony sukcesem atak ransomware podlega podstawowej definicji naruszenia: "Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych".

Według dyrektora regionalnego F-Secure, Michała Iwana, oznacza to, że podobnie jak inne przypadki naruszeń, także i te ataki będą musiały być zgłaszane organom regulacyjnym i klientom. - Wykrycie oprogramowania ransomware (albo dowolnego innego złośliwego oprogramowania) na stacjach roboczych czy serwerach, które odgrywają ważną rolę w przetwarzaniu danych osobowych, może stanowić naruszenie ochrony tych danych i potencjalnie konieczne będzie informowanie o tego typu zdarzeniach - stwierdza Michał Iwan.

Istnieje jednak problem interpretacji: według art. 33 i 34 GDPR/RODO kontakt z organami regulacyjnymi oraz osobami, którym zagrażają skutki naruszenia jest konieczny, jeśli naruszenie ochrony danych może powodować ryzyko naruszenia "praw lub wolności osób fizycznych". Nie jest jednak pewne czy dzieje się tak w przypadku zaszyfrowania dysku i utraty danych na skutek działania ransomware.

- Jeżeli atak ransomware wpłynie na zgromadzone przez firmę dane osobowe, problemem jest nie tylko sam wyciek i konieczność zgłoszenia go, ale również to, jak odzyskać dane, żeby kontynuować działalność biznesową. W przypadku braku kopii zapasowych, ponowne zgromadzenie danych potrzebnych do funkcjonowania firmy może być ogromnym, a często wręcz niewykonalnym przedsięwzięciem. Prawdopodobnie konieczne będzie zgłoszenie incydentu, nawet w przypadkach gdy dane zostały zniszczone, a nie skradzione. Z praktycznego punktu widzenia, plany reagowania na cyberataki muszą zostać zaktualizowane i obejmować weryfikację czy dany incydent wymaga zgłoszenia na mocy RODO - zauważa Michał Iwan.

Warto wspomnieć iż postępowanie wobec incydentów wiąże się z rozwiązaniem kwestii technologii - musi być ona według twórców GDPR/RODO neutralna i transparentna w stosunku do nowych reguł i nowego podejścia do kwestii naruszeń, co oznacza iż nie może zawierać rozwiązań ściśle zamkniętych, znanych tylko osobom i firmom, które je zaprojektowały.

Marek Meissner

INTERIA.PL
Dowiedz się więcej na temat: RODO | dane osobowe
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »