Polityka plików Cookies
Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.
Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce: Chrome, Firefox, Internet Explorer, Safari
Niedokonanie zmian ustawień w zakresie plików cookies oznacza, że będą one zamieszczane na urządzeniu końcowym użytkownika, a tym samym będziemy przechowywać informacje w urządzeniu końcowym użytkownika i uzyskiwać dostęp do tych informacji. Więcej informacji dostępnych jest na stronie: Polityki Plików Cookies
Akceptuję

menu

Nadal mamy problem z RODO

| Szymon Bąk, Specjalista ds. Ubezpieczeń Cybernetycznych EIB SA

EIB | Ubezpieczenia dla wymagających


RODO obowiązuje już w Polsce od 4 lat, nadal jednak wiele organizacji popełnia błędy w jego stosowaniu.

Wiele nieprawidłowości wynika z bazowania na starych przepisach czy niewłaściwego rozumienia samej definicji danych osobowych!

Skutki błędów można minimalizować dzięki cyberpolisom i ubezpieczeniom D&O.


To już 4 lata od wejścia w życie RODO, rozporządzenia, które wyznaczyło nowe standardy w ochronie danych osobowych. To dobry moment, żeby przyjrzeć się jak w Polsce wygląda ochrona danych osobowych w praktyce. Czy jest lepiej niż kiedyś? Czy dbamy o bezpieczeństwo tych informacji odpowiednio skutecznie? A przede wszystkim, czy i gdzie szukać pomocy, jak już do złamania przepisów dojdzie?

Do stosowania zasad RODO zobowiązane są wszystkie instytucje, organizacje i przedsiębiorstwa, zarówno publiczne, jak i prywatne. Mimo lat praktyki nawet najlepszym zdarza się jeszcze popełniać błędy w stosowaniu ogólnoeuropejskich zasad. Najczęściej dotyczą one trzech obszarów: tworzenia dokumentacji, rozumienia samej definicji danych osobowych i stosowania zasad zgodnie z prawem. Pomyłki mogą niestety oznaczać wysokie kary, czasem zagrażające płynności finansowej.

3 Najczęstsze błędy w ochronie danych

Większości osób wydaje się, że najbardziej „błędogennym” jest korzystanie ze zebranych danych i sposób informowania ich właścicieli o sposobie ich przetwarzania. Okazuje się jednak, że sporo problemów mamy też z zupełnymi podstawami. Jak to wygląda w praktyce?

1. Bazowanie na przestarzałych zasadach

W myśl RODO każda organizacja musi mieć Rejestr Czynności Przetwarzania, zawierający opis sposobów zabezpieczenia danych, czyli mówiąc językiem prawnym – Opis Technicznych i Organizacyjnych Środków Bezpieczeństwa. Powinien on oczywiście być zgodny z zasadami wprowadzonymi w życie w 2018 r. Ponadto, każda organizacja zobligowana jest do przeprowadzenia analizy ryzyka, która pomoże dostosować poziom zabezpieczeń danych do wymogów. W praktyce jednak często dokumenty te zawierają nadal stare zasady z czasów sprzed unijnego rozporządzenia, czyli w myśl Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym. Treść takiej dokumentacji jest nic nie warta – zarówno z formalnego, jak i technicznego punktu widzenia.

Zasady, wywodzące się z Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym to przepisy sprzed około 15 lat. Najważniejszy jest aspekt technologiczny. Drastycznie zmienił się sposób przechowywania i przetwarzania wszelkich danych, w tym osobowych. Jeszcze nie tak dawno większość dokumentacji tworzono na papierze i przechowywano w szafie pancernej. Dziś wszystkie te procesy uległy cyfryzacji. To oznacza, że mamy do czynienia z innym rodzajem ryzyka ich wycieku, które w dodatku jest znacznie większe niż w czasach dominacji papieru. W tej sytuacji czołową rolę pełni cyberbezpieczeństwo.

2. Niewłaściwe rozumienie definicji danych osobowych

Kolejny problem to błędne rozumienie samej definicji danych. To powoduje, że niektóre informacje uznaje się za nieistotne, a w praktyce wszystkie dane o człowieku powinny być chronione. Błędny schemat również ma swoje źródło w przeszłości – w Polsce przed 2004 rokiem za dane osobowe uznawało się wyłącznie informacje identyfikacyjne. Zgodnie z definicją zapisaną w RODO, dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To znaczy, że chodzi nie tylko o imię, nazwisko, datę urodzenia, płeć i podobne. Dane osobowe to np. również informacje o posiadanych nieruchomościach czy pojazdach.

W tym miejscu pojawia się znów wątek technologiczny. W definicji danych osobowych według RODO mieszczą się też… zdjęcia. Czy zatem można swobodnie je publikować w mediach społecznościowych? To informacje udostępniane w końcu publicznie, niezależnie od tego, czy da się zidentyfikować osoby widoczne na zdjęciu, więc podlegają ochronie. To samo dotyczy innych informacji udostępnianych na publicznym profilu firmy w mediach społecznościowych, w których wspominamy o pracownikach, partnerach biznesowych, klientach. W tej sytuacji warto zastanowić się, czy rzeczywiście musimy publikować te zdjęcia ze spotkań firmowych, konferencji, targów, a także z życia firmy?

3. Dane osobowe przetwarzane niezgodnie z prawem

Błędy powstają też na skutek zawiłości formalnych. Aby przetwarzanie danych odbywało się zgodnie z prawem, musi spełniać warunki zapisane w konkretnych artykułach RODO – 6 i 9. Gdzie zatem można popełnić błąd? Stosując je rozłącznie. Art. 6 jest podstawą, a 9 to tylko jego uzupełnienie, w przypadku danych szczególnych, tzw. „wrażliwych”.

To problem wypierany przez wielu inspektorów danych w organizacjach. Jeśli w firmie postępuje się według błędnego modelu, koniecznie trzeba poprawić Klauzule Informacyjne oraz przeredagować Rejestr Czynności Przetwarzania Danych. Jeśli te treści są błędne, w przypadku kontroli można spodziewać się wysokiej kary. Świadomość tego błędu przebija się do polskiej praktyki bardzo powoli. Podobnie jest, niestety, także w przypadku stosowania przestarzałych zasad przy tworzeniu dokumentacji RODO oraz rozumieniu definicji danych osobowych. Zmiany w prawie i technologii zachodzą szybciej, niż zdajemy sobie z tego sprawę. Wszystkie instytucje muszą zatem podążać z duchem czasu, aby nie narazić się na kary finansowe.

Ubezpieczenie kołem ratunkowym?

Jak widać błędy zdarzają się nawet najlepszym. Od ich skutków można się jednak chronić, korzystając z odpowiednich ubezpieczeń. Podstawą programu ochrony powinno być ubezpieczenie od skutków zdarzeń cybernetycznych (z racji tego, że dane co do zasady przechowujemy i przetwarzamy elektronicznie). Umożliwia ono m.in. wypłatę środków na pokrycie kosztów związanych z zabezpieczeniem i odtworzeniem zasobów cyfrowych, jeśli dojdzie do wycieku w efekcie ataku hakerskiego czy błędu ludzkiego. Co jednak ważniejsze, ubezpieczenie zakłada pokrycie kosztów działań wymaganych przez RODO w razie takiego zdarzenia, czyli przeprowadzenia akcji informacyjnej wśród potencjalnych ofiar wycieku. Ponadto zapewnia zwrot kosztów związanych z postępowaniami administracyjnymi i sądowymi oraz wypłatę odszkodowań. Na ogół cyberpolisa może uwzględniać też zapłacenie kar nałożonych w myśl RODO.

Dobrze skonstruowany program ochrony powinien uwzględniać jeszcze jeden rodzaj polis – D&O, czyli odpowiedzialności cywilnej członków kadry menedżerskiej, w końcu nieprawidłowości w tworzeniu dokumentacji, definiowaniu danych osobowych i przetwarzaniu ich zgodnie z prawem to zazwyczaj rezultat niewłaściwej decyzji, podjętej przez konkretną osobę. Właściciele firmy czy akcjonariusze mogą zatem wystąpić z roszczeniami wobec decydentów, którym będą chcieli przypisać odpowiedzialność za straty. Przykładowo, mogą oczekiwać zrefundowania kar administracyjnych czy wyrównania innych szkód wynikających z incydentu RODO. A ubezpieczenie D&O zapewni „oskarżonym” menedżerom pokrycie kosztów obrony oraz dodatkowo tych strat, jeśli rzeczywiście okaże się, że wynikają one z zaniedbań osób odpowiedzialnych.


Materiał powstał we współpracy z Panią Jagienką Smurą - Konsultantem ds. RODO i bezpieczeństwa informacji w Lancea Security Consulting. Komentarz z wypowiedzi ukazał się w Pulsie Biznesu w artykule „Jak uniknąć błędów w stosowaniu RODO”, do przeczytania tutaj

Więcej o ubezpieczeniach Cybernetycznych: EIB Bezpieczna Perspektywa CYBER, do przeczytania tutaj

Zespół EIB
Szymon Bąk
Broker Ubezpieczeniowy, Specjalista ds. Ubezpieczeń Cybernetycznych
Kontakt tel.
+48 566 693 436
+48 887 491 408

Kontakt

Strona Główna/ Kontakt

Wyślij wiadomość


Centrala Toruń
87-100 Toruń
ul. Jęczmienna 21
Tel. +48 56 669 34 00
Fax. +48 56 669 34 09
mail: eib@eib.com.pl
Oddział Katowice
40-129 Katowice
ul. Misjonarzy Oblatów 11
Tel. +48 32 258 37 50
Fax. +48 56 669 34 09
mail: katowice@eib.com.pl
Oddział Kraków
31-527 Kraków
ul. Supniewskiego 9
Tel. +48 12 627 34 00
Fax. +48 56 669 34 09
mail: krakow@eib.com.pl
Oddział Rzeszów
35-307 Rzeszów
Al. Armii Krajowej 80
Tel. +48 17 862 66 28
Fax. +48 56 669 34 09
mail: rzeszow@eib.com.pl
Oddział Warszawa
00-722 Warszawa
ul. Podchorążych 39a lok 3
Tel. +48 22 559 14 60
Fax. +48 56 669 34 09
mail: warszawa@eib.com.pl
Oddział Wrocław
53-203 Wrocław
Al. Gen. Józefa Hallera 92/18
Tel. +48 71 332 96 67
Fax. +48 56 669 34 09
mail: wroclaw@eib.com.pl
Przedstawicielstwo Bydgoszcz
85-231 Bydgoszcz
ul. Królowej Jadwigi 18 lok. 121
Tel. +48 52 523 90 77
Fax. +48 56 669 34 09
mail: bydgoszcz@eib.com.pl
Przedstawicielstwo Gdynia
81-395 Gdynia
ul. Władysława IV 43 lok. 603/604
Tel. +48 58 620 62 69
Fax. +48 56 669 34 09
mail: gdynia@eib.com.pl
Przedstawicielstwo Włocławek
87-800 Włocławek
ul. Targowa 7
Tel. +48 54 231 15 36
Fax. +48 56 669 34 09
mail: wloclawek@eib.com.pl
Przedstawicielstwo Sieradz
98-200 Sieradz
ul. Wojska Polskiego 102
Tel. +48 69 703 04 32
Fax. +48 56 669 34 09
mail: sieradz@eib.com.pl

EIB SA
Copyrights ©2022

POLITYKA PRYWATNOŚCI DOTYCZĄCA PLIKÓW COOKIES
Niniejsza Polityka Prywatności określa zasady przechowywania i dostępu do informacji na urządzeniach końcowych użytkownika za pomocą plików cookies przez EIB SA.Pliki cookies są to dane informatyczne, zapisywane i przechowywane na urządzeniach końcowych, za pośrednictwem których użytkownik korzysta ze stron internetowych Serwisu. Pliki cookies używane są w celu tworzenia statystyk, które wspierają pozycjonowanie strony, ułatwiając dotarcie do niezbędnej Państwu informacji.Oprogramowanie przeglądarek internetowych domyślenie dopuszcza przechowywanie plików cookies na urządzeniu końcowym użytkownika.

Użytkownik ma możliwość ograniczenia lub wyłączenia dostępu plików cookies do swojego urządzenia.

Ograniczenie lub wyłączenie dostępu plików cookies do swojego urządzenia nie spowoduje utrudnień w korzystaniu z naszego Serwisu. Niedokonanie zmian ustawień w zakresie plików cookies oznacza, że będą one zamieszczane na urządzeniu końcowym użytkownika, a tym samym będziemy przechowywać informacje w urządzeniu końcowym użytkownika i uzyskiwać dostęp do tych informacji.
Informujemy, że warunki przechowywania lub otrzymywania plików cookies można zmienić poprzez zmianę ustawień w przeglądarce.