Przed jakimi wyzwaniami stoją w 2021 roku prawnicy specjalizujący się w nowych technologiach? To nadal ochrona danych osobowych – nie ma wątpliwości Aleksandra Danielewicz z Zespołu Prawa Własności Intelektualnej i Nowych Technologii kancelarii prawnej Dentons.
Bo choć RODO, które niemal na głowie postawiło wszystko, co do tej pory wiedzieliśmy o ochronie danych osobowych, zaczęło obowiązywać w maju 2018 r., to w tej materii nadal wiele jest do zrobienia.
Aleksandra Danielewicz zwraca uwagę, że ryzyko naruszenia danych osobowych bardzo wzrosło po tym, jak zdecydowana większość firm przeszła w tryb pracy zdalnej.
- Począwszy od kampanii strachu i phishingu związanych z COVID-19, a kończąc na zagrożeniach bezpieczeństwa związanych ze zdalną pracą, rok 2020 był okresem, w którym zespoły zajmujące się ochroną bezpieczeństwa danych na całym świecie zostały poddane ciężkiemu testowi – mówi.
Przykładów nie trzeba daleko szukać. Tylko na przestrzeni kilku ostatnich miesięcy dochodziły do nas informacje z renomowanych i rozpoznawalnych instytucji i firm, (np. w listopadzie wyciekły dane z UW, a w grudniu dane żołnierzy z jednego ze szpitali w Bydgoszczy), które, wydawałoby się, powinny mieć wysoko rozwinięty system zabezpieczeń.
Ekspertka zwraca uwagę, że wszystkie medialne dyskusje sprzed dwóch lat, których tematem było RODO, sprawiły, że Polacy zaczęli sobie zdawać sprawę, czym są dane osobowe i jak bardzo powinniśmy dbać o to, by nie dostały się w niepowołane ręce.
Faktem jest, że problematyka RODO tak bardzo weszła do przestrzeni medialnej, że niektórzy każdą wręcz prośbę o podanie imienia i nazwiska, nie wspominając o innych danych, kwitowali krótkim: "Nie podam, bo RODO". Niektóre firmy tak bardzo chciały uniknąć cienia podejrzeń, iż przetwarzają dane osobowe, że wręcz prosiły klientów o wymyślanie pseudonimów, by tylko nie podali nazwiska. Wiele korporacji taksówkarskich nie prosi już o nazwisko zamawiającego kurs, lecz identyfikujące klienta hasło. Okazuje się, że w dzisiejszych czasach bezpieczniej jest być Kubusiem Puchatkiem niż Janem Nowakiem.
Firmy nie zawsze wiedzą, jak informować o wycieku danych
Jeśli dojdzie do wycieku danych, to w pewnych sytuacjach administrator danych musi w ciągu 72 godzin poinformować o wycieku Urząd Ochrony Danych Osobowych oraz osoby, których dane wyciekły. Upraszczając, o tym, że dane zostały naruszone, należy poinformować tylko wtedy, gdy rodzaj danych i okoliczności sprawy rodzą niebezpieczeństwo, że może to spowodować szkodę.
Aleksandra Danielewicz uważa, że choć od wprowadzenia RODO do naszego porządku prawnego minęły pond dwa lata, wiele firm nadal nie potrafi w odpowiedni sposób reagować na wyciek danych. I czas najwyższy, by to się zmieniło.
- Wyciek danych z firmy może być wynikiem cyberataku czy też działania "czynnika ludzkiego", do czego zapewne dochodzić będzie w praktyce coraz częściej. Niezależnie jednak od przyczyny naruszenia, wystąpienie takiej sytuacji może oznaczać, że w firmie zostały wdrożone wadliwe procedury wewnętrzne czy też nie zastosowano wystarczających zabezpieczeń. Skutki "wyciek" mogą niestety sięgać bardzo daleko i prowadzić do kradzieży tożsamości, oszustwa, dyskryminacji czy też straty finansowej – nierzadko dotkliwej – mówi ekspertka.
Kary za błędy wcale nie są symboliczne
To straty po stronie klienta, który zezwolił firmie na przetwarzanie danych osobowych. Ale cenę za wyciek zapłaci też firma, która nie umiała zadbać o to cenne dobro.
- Wyciek danych może spowodować także utratę reputacji, co zwykle niesie ze sobą więcej szkód niż wysoka kara pieniężna nałożona przez urząd ochrony danych osobowych.
O konieczności wdrożenia odpowiednich mechanizmów i procedur umożliwiających sprawne wykrywanie i reagowanie na incydenty przekonało się już wiele podmiotów w Unii Europejskiej. Nawet ostatnie przykłady kar nałożonych przez prezesa UODO na Virgin Mobile Polska w wysokości 1,9 mln zł oraz na Twittera przez irlandzki organ (Data Protection Commission) w wysokości 450,000 euro pokazują jak brzemienne w skutkach, zwłaszcza finansowych, mogą być źle podjęte przez administratora decyzje dotyczące postępowania w przypadku naruszenia.
- Portal społecznościowy został ukarany za brak terminowego zgłoszenia naruszenia w ciągu przepisowych 72 godzin oraz brak wyjaśnienia przyczyny wycieku. Wraz z rozwojem nowych technologii liczba zagrożeń związanych z utratą danych stale rośnie. Nie dziwią więc coraz to liczniejsze informacje o naruszeniach i cyberatakach – mówi Danielewicz.
W rezultacie stają się one coraz bardziej powszechne i kosztowne. Bez względu na to, jak obszerne są nasze protokoły bezpieczeństwa, przypadki naruszenia prywatności danych będą się zdarzać. Pytanie tylko, kiedy do tego dojdzie – dlatego podobnie jak ma to miejsce w przypadku przedsiębiorstw pracujących z informacjami wrażliwymi – podejście do naruszeń bezpieczeństwa danych powinno koncentrować się na tym jak szybko i właściwie na nie reagować.
Podsumowując: firmy nie mogą uznać, że w 2018 r. zrobiły wszystko, czego wymagała od nich ustawa o RODO, więc teraz mogą "odpuścić temat".
- Kluczowe dla organizacji jest więc zarówno wdrożenie odpowiednich środków technicznych i organizacyjnych zapobiegających możliwym naruszeniom ochrony danych, ale także odpowiednia i szybka reakcja oraz rzetelna analiza danego przypadku, gdy do naruszenia już dojdzie – podsumowuje prawniczka.
Absurdy RODO. Szpitale nie mogą dać się zwariować