Dwa lata od RODO. Naruszanie danych osobowych wciąż zaprząta głowę prawników

Dwa i pół roku temu zastanawialiśmy się, jak dalej "żyć" z RODO. Na głowie postawiło ono wszystko, co wcześniej wiedzieliśmy o ochronie danych osobowych. Czas mija, ale nie wszystkie firmy prawidłowo wdrażają postanowienia ustawy. Wciąż jest dużo do zrobienia, uważa prawniczka.

Choć RODO, które niemal na głowie postawiło wszystko, co do tej pory wiedzieliśmy o ochronie danych osobowych, zaczęło obowiązywać w maju 2018 r., to w tej materii nadal wiele jest do zrobienia. Choć RODO, które niemal na głowie postawiło wszystko, co do tej pory wiedzieliśmy o ochronie danych osobowych, zaczęło obowiązywać w maju 2018 r., to w tej materii nadal wiele jest do zrobienia.
Źródło zdjęć: © Pixabay
Martyna Kośka
94

Przed jakimi wyzwaniami stoją w 2021 roku prawnicy specjalizujący się w nowych technologiach? To nadal ochrona danych osobowych – nie ma wątpliwości Aleksandra Danielewicz z Zespołu Prawa Własności Intelektualnej i Nowych Technologii kancelarii prawnej Dentons.

Bo choć RODO, które niemal na głowie postawiło wszystko, co do tej pory wiedzieliśmy o ochronie danych osobowych, zaczęło obowiązywać w maju 2018 r., to w tej materii nadal wiele jest do zrobienia.

Aleksandra Danielewicz zwraca uwagę, że ryzyko naruszenia danych osobowych bardzo wzrosło po tym, jak zdecydowana większość firm przeszła w tryb pracy zdalnej.

Cyberbezpieczeństwo. Hologram udaje bliskich i wyłudza dane

- Począwszy od kampanii strachu i phishingu związanych z COVID-19, a kończąc na zagrożeniach bezpieczeństwa związanych ze zdalną pracą, rok 2020 był okresem, w którym zespoły zajmujące się ochroną bezpieczeństwa danych na całym świecie zostały poddane ciężkiemu testowi – mówi.

Przykładów nie trzeba daleko szukać. Tylko na przestrzeni kilku ostatnich miesięcy dochodziły do nas informacje z renomowanych i rozpoznawalnych instytucji i firm, (np. w listopadzie wyciekły dane z UW, a w grudniu dane żołnierzy z jednego ze szpitali w Bydgoszczy), które, wydawałoby się, powinny mieć wysoko rozwinięty system zabezpieczeń.

Ekspertka zwraca uwagę, że wszystkie medialne dyskusje sprzed dwóch lat, których tematem było RODO, sprawiły, że Polacy zaczęli sobie zdawać sprawę, czym są dane osobowe i jak bardzo powinniśmy dbać o to, by nie dostały się w niepowołane ręce.

Faktem jest, że problematyka RODO tak bardzo weszła do przestrzeni medialnej, że niektórzy każdą wręcz prośbę o podanie imienia i nazwiska, nie wspominając o innych danych, kwitowali krótkim: "Nie podam, bo RODO". Niektóre firmy tak bardzo chciały uniknąć cienia podejrzeń, iż przetwarzają dane osobowe, że wręcz prosiły klientów o wymyślanie pseudonimów, by tylko nie podali nazwiska. Wiele korporacji taksówkarskich nie prosi już o nazwisko zamawiającego kurs, lecz identyfikujące klienta hasło. Okazuje się, że w dzisiejszych czasach bezpieczniej jest być Kubusiem Puchatkiem niż Janem Nowakiem.

Firmy nie zawsze wiedzą, jak informować o wycieku danych

Jeśli dojdzie do wycieku danych, to w pewnych sytuacjach administrator danych musi w ciągu 72 godzin poinformować o wycieku Urząd Ochrony Danych Osobowych oraz osoby, których dane wyciekły. Upraszczając, o tym, że dane zostały naruszone, należy poinformować tylko wtedy, gdy rodzaj danych i okoliczności sprawy rodzą niebezpieczeństwo, że może to spowodować szkodę.

Aleksandra Danielewicz uważa, że choć od wprowadzenia RODO do naszego porządku prawnego minęły pond dwa lata, wiele firm nadal nie potrafi w odpowiedni sposób reagować na wyciek danych. I czas najwyższy, by to się zmieniło.

- Wyciek danych z firmy może być wynikiem cyberataku czy też działania "czynnika ludzkiego", do czego zapewne dochodzić będzie w praktyce coraz częściej. Niezależnie jednak od przyczyny naruszenia, wystąpienie takiej sytuacji może oznaczać, że w firmie zostały wdrożone wadliwe procedury wewnętrzne czy też nie zastosowano wystarczających zabezpieczeń. Skutki "wyciek" mogą niestety sięgać bardzo daleko i prowadzić do kradzieży tożsamości, oszustwa, dyskryminacji czy też straty finansowej – nierzadko dotkliwej – mówi ekspertka.

Kary za błędy wcale nie są symboliczne

To straty po stronie klienta, który zezwolił firmie na przetwarzanie danych osobowych. Ale cenę za wyciek zapłaci też firma, która nie umiała zadbać o to cenne dobro.

- Wyciek danych może spowodować także utratę reputacji, co zwykle niesie ze sobą więcej szkód niż wysoka kara pieniężna nałożona przez urząd ochrony danych osobowych.

O konieczności wdrożenia odpowiednich mechanizmów i procedur umożliwiających sprawne wykrywanie i reagowanie na incydenty przekonało się już wiele podmiotów w Unii Europejskiej. Nawet ostatnie przykłady kar nałożonych przez prezesa UODO na Virgin Mobile Polska w wysokości 1,9 mln zł oraz na Twittera przez irlandzki organ (Data Protection Commission) w wysokości 450,000 euro pokazują jak brzemienne w skutkach, zwłaszcza finansowych, mogą być źle podjęte przez administratora decyzje dotyczące postępowania w przypadku naruszenia.

- Portal społecznościowy został ukarany za brak terminowego zgłoszenia naruszenia w ciągu przepisowych 72 godzin oraz brak wyjaśnienia przyczyny wycieku. Wraz z rozwojem nowych technologii liczba zagrożeń związanych z utratą danych stale rośnie. Nie dziwią więc coraz to liczniejsze informacje o naruszeniach i cyberatakach – mówi Danielewicz.

W rezultacie stają się one coraz bardziej powszechne i kosztowne. Bez względu na to, jak obszerne są nasze protokoły bezpieczeństwa, przypadki naruszenia prywatności danych będą się zdarzać. Pytanie tylko, kiedy do tego dojdzie – dlatego podobnie jak ma to miejsce w przypadku przedsiębiorstw pracujących z informacjami wrażliwymi – podejście do naruszeń bezpieczeństwa danych powinno koncentrować się na tym jak szybko i właściwie na nie reagować.

Podsumowując: firmy nie mogą uznać, że w 2018 r. zrobiły wszystko, czego wymagała od nich ustawa o RODO, więc teraz mogą "odpuścić temat".

- Kluczowe dla organizacji jest więc zarówno wdrożenie odpowiednich środków technicznych i organizacyjnych zapobiegających możliwym naruszeniom ochrony danych, ale także odpowiednia i szybka reakcja oraz rzetelna analiza danego przypadku, gdy do naruszenia już dojdzie – podsumowuje prawniczka.

Wybrane dla Ciebie

Domagają się sankcji na izraelskich ministrów. UE podzielona
Domagają się sankcji na izraelskich ministrów. UE podzielona
Ryanair wprowadza nową karę. Co najmniej 500 euro na pasażera
Ryanair wprowadza nową karę. Co najmniej 500 euro na pasażera
"Może to sprawdźcie". Trump mówi, że dał Indiom wskazówki co do przyczyny katastrofy Boeinga
"Może to sprawdźcie". Trump mówi, że dał Indiom wskazówki co do przyczyny katastrofy Boeinga
Pociąg w Niemczech zatrzymany przez brud. Kazali pasażerom wysiąść
Pociąg w Niemczech zatrzymany przez brud. Kazali pasażerom wysiąść
"Były na skraju upadku". Katastrofa wystawia linie Air India na próbę
"Były na skraju upadku". Katastrofa wystawia linie Air India na próbę
Katastrofa w Indiach nie uziemi reszty Dreamlinerów? Komentarz brytyjskiego eksperta
Katastrofa w Indiach nie uziemi reszty Dreamlinerów? Komentarz brytyjskiego eksperta
Są rządowe decyzje w sprawie podwyżek emerytur i pensji. Znamy szczegóły
Są rządowe decyzje w sprawie podwyżek emerytur i pensji. Znamy szczegóły
Prokurator wszedł do NBP. Zażądał chronionych tajemnicą dokumentów
Prokurator wszedł do NBP. Zażądał chronionych tajemnicą dokumentów
Sąd Najwyższy zarządza przeliczenie głosów. Odpowiedź na protesty
Sąd Najwyższy zarządza przeliczenie głosów. Odpowiedź na protesty
Co ze startem Polaka w kosmos? Jest decyzja NASA i Axiom Space
Co ze startem Polaka w kosmos? Jest decyzja NASA i Axiom Space
Kalendarium katastrof lotniczych ostatnich 20 lat. Tylko w 2017 r. nie było ani jednej
Kalendarium katastrof lotniczych ostatnich 20 lat. Tylko w 2017 r. nie było ani jednej
Rząd przyjął założenia budżetowe na 2026 r. Oto prognozy dot. inflacji i wzrostu PKB
Rząd przyjął założenia budżetowe na 2026 r. Oto prognozy dot. inflacji i wzrostu PKB