Reklama
Rozwiń

Felietony
Notowania

RODO dopiero da znać o sobie

Sytuacji nie poprawia ryzyko błędów ludzkich - szczególnie wysokie w kontekście modnych ostatnio szkoleń, które przekazują wyłącznie wiedzę prawniczą, bez wyraźnej informacji, jak w bezpieczny sposób postępować z danymi.

Publikacja: 05.08.2019 07:06

Szymon Grabski menedżer, PwC

Szymon Grabski menedżer, PwC

Foto: Archiwum

Szymon Grabski, Marcin Makusak

Marcin Makusak partner, PwC

Marcin Makusak partner, PwC

Foto: Archiwum

Od ponad roku wszystkie przedsiębiorstwa są zobowiązane do pełnego stosowania ogólnego rozporządzenia o ochronie danych (RODO). Większość europejskich regulatorów sugerowało, że w okresie wdrożenia będzie pełnić rolę wspierającą i konsultacyjną. Mimo to jasno dano do zrozumienia, że nie będą akceptowane sytuacje, gdy brak należytej staranności lub odpowiedniego dostosowania do wymagań, narazi prawa i wolności osób, których dane są przetwarzane.

Niezależnie od pojawiającej się polemiki dotyczącej zasadności nałożonych kar przez brytyjskiego regulatora oraz ich wysokości na uwagę zasługuje fakt, że najbardziej dotkliwe decyzje dotyczą obszarów, które stanowiły, i dla wielu organizacji w dalszym ciągu stanowią, największe wyzwanie wynikające z RODO zarówno od strony interpretacyjnej, jak również przy samym wdrożeniu. Chodzi m.in. o artykuł 32, który nakazuje administratorom danych wdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie poufności, dostępności oraz integralności danych. Element, który z jednej strony stanowi fundament bezpieczeństwa informacji, w kontekście RODO okazał się niesłychanie trudny. Z perspektywy obserwacji działań wielu spółek w Polsce wyróżnić możemy trzy podstawowe przyczyny:

• w dalszym ciągu szeroko stosowane jest archaiczne podejście do realizacji regulacji prawnych ograniczone do analizy listy wymagań i odpowiedź na pytanie – zgodny/niezgodny. Sztandarowym przykładem jest zdefiniowana odgórnie długość hasła zabezpieczającego system informatyczny, w którym przetwarzane są dane osobowe (w reżimie historycznej regulacji) w opozycji do konieczności wykonania analizy ryzyka i wdrożenie „odpowiednich" zabezpieczeń;

• założenie, że za dostosowanie do wymagań regulacyjnych odpowiadają wyłącznie piony prawne oraz wynikające z tego bagatelizowanie konieczności zapewnienia bezpieczeństwa danych. W rzeczywistości, niezbędne jest zaangażowanie ekspertów od ryzyka i bezpieczeństwa, którzy posiadają pragmatyczne doświadczenie z zakresu bezpieczeństwa informacji, co pozwala wybrać i dostosować odpowiednie mechanizmy i zabezpieczenia do potrzeb organizacji oraz przetwarzanych danych;

Reklama
Reklama

• nieumiejętne podejście do realizacji zasad „privacy by default" oraz „privacy by design", które zakładają, że ochrona danych jest procesem ciągłym i powinna być wpisana w DNA każdej organizacji oraz w świadomość każdego pracownika. Oznacza to, że nie wystarczy już tylko przeprowadzić jednorazowy projekt wdrożenia RODO, zaś ochrona prywatności powinna być uwzględniana w trybie ciągłym i nie może pogorszyć się w wyniku zmian (naturalnych dla dynamicznego środowiska biznesowego).

Idąc zgodnie z duchem RODO, odpowiedź na powyższe problemy stanowić może poprawnie przeprowadzona ocena skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA). Jest to analiza ryzyka naruszenia praw i wolności podmiotów danych wynikającego ze sposobu, w jaki przetwarzane są dane. W dalszym ciągu obserwujemy, że wiele organizacji jak ognia stara się jej uniknąć, traktując jako dodatkowy, niepotrzebny wysiłek, który niewiele wnosi w realną działalność biznesową. W praktyce okazuje się jednak, że to właśnie DPIA pozwala odpowiedzieć na pytania odnośnie do poziomu zabezpieczeń oraz daje organizacji świadomość, że sposób, w jaki przetwarza dane osobowe, jest rzeczywiście zgodny z prawem. Kluczowym elementem w tym zakresie jest zastosowanie spójnego i powtarzalnego podejścia, które minimalizuje ilość subiektywnej oceny na rzecz formalnej i realistycznej analizy ryzyka. Niezbędne jest więc zastosowanie metodyki realizacji oceny skutków dla ochrony danych, która uwzględnia kompetencje w obszarze ryzyka, procesów, kontroli i aspektów technicznych. O ile w początkowej fazie jej funkcjonowania rzeczywiście wymaga większych nakładów pracy i zasobów, o tyle zwracają się one w postaci zabezpieczeń, które dostosowane są do wymagań regulacyjnych, realnego ryzyka i specyfiki działalności biznesowej, jak również realizacji zasady rozliczalności działań administratora (co w przypadku kontroli czy wystąpienia incydentu daje ogromną przewagę i możliwość ograniczania wysokości kar).

Właściwa ocena skutków dla ochrony danych umożliwia realne oddanie pierwotnego celu RODO – zabezpieczenie praw i wolności podmiotów danych w sposób, który nie stanowi opozycji do skutecznego prowadzenia działalności biznesowej i pozwoli uniknąć głośnych ostatnio „absurdów RODO". Świadome podejście do tego zagadnienia może przynieść wizerunkowe korzyści konkurencyjne.

Odrębnym, lecz równie ważnym obszarem, który eksponuje się przy nałożonych karach, jest umiejętne i efektywne zarządzanie i reagowanie na incydenty. Obecny rozwój technologiczny uniemożliwia stuprocentowe uniknięcie incydentów. Sytuacji nie poprawia ryzyko błędów ludzkich – szczególnie wysokie w kontekście modnych ostatnio szkoleń, które przekazują wyłącznie wiedzę prawniczą, bez wyraźnej informacji, jak w bezpieczny sposób postępować z danymi. Taki stan rzeczy skonkludować można do pytania nie „czy", ale „kiedy" nasza organizacja zmierzy się z incydentem.

Z perspektywy odpowiedniego podejścia, gdy incydent już wystąpi, kluczowe są działania pracowników przygotowanych do stosownej reakcji i podjęcie właściwych decyzji pomimo presji czasu. Administrator danych musi błyskawicznie ocenić ryzyko naruszenia praw i wolności podmiotów danych w wyniku incydentu i zadecydować o ewentualnej konieczności poinformowania o nim organu nadzoru oraz podmiotów danych. Z pomocą również przyjść powinno ustandaryzowane, formalne i pragmatyczne podejście do oceny incydentów – metodyka oceny incydentów. Dzięki niej niezależnie od indywidualnej percepcji osoby, która dokonuje oceny, wynik odpowiedzi powinien być taki sam. Z perspektywy regulatora stanowi to jednoznaczny sygnał o poziomie dojrzałości i świadomości podejścia organizacji zarówno do realizacji zasady rozliczalności, jak również do rzeczywistej i świadomej ochrony praw i wolności podmiotów danych.

W dalszym ciągu realia RODO wprowadzają na lokalnym rynku dużą niepewność. Z jednej strony widmo sankcji podsycane jest przez elektryzujące wiadomości o karach. Z drugiej natomiast wdrożenia RODO w wielu organizacjach okazały się nieskuteczne z perspektywy rzeczywistej ochrony prywatności i osiągnięcia celu regulacji – głównie w wyniku konieczności zmiany perspektywy. Kluczem do sukcesu jest opracowanie i przyjęcie spójnych zasad postępowania uwzględniających najlepsze praktyki rynkowe, jasne i powtarzalne zasady działania oraz świadome podejście do ochrony prywatności.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: PARKIET

Felietony
Mirosław Kachniewski, prezes Stowarzyszenia Emitentów Giełdowych
Felietony
Informacja poufna po nowemu
Czy polskie banki zbudują wspólne AI? Eksperci widzą potencjał, ale też bariery
Materiał Promocyjny
Czy polskie banki zbudują wspólne AI? Eksperci widzą potencjał, ale też bariery
Mirosław Budzicki strateg PKO BP
Felietony
Rok rekordów na polskim rynku
Robert Nogacki radca prawny, partner zarządzający, Kancelaria Prawna Skarbiec
Felietony
Gra o wszystko: strategie negocjacyjne
Gościem Aleksandry Ptak-Iglewskiej był Piotr Kuczyński, ekonomista DI Xelion. Fot. mat. prasowe
Felietony
GPW zbiera siły przed końcem roku
Manager w erze AI – strategia, narzędzia, kompetencje AI
Materiał Promocyjny
Manager w erze AI – strategia, narzędzia, kompetencje AI
dr Mirosław Kachniewski prezes Zarządu, Stowarzyszenie Emitentów Giełdowych
Felietony
Rynek publiczny, czy prywatny
Marcin Materna, CFA, doradca inwestycyjny, BM Banku Millennium
Felietony
Mogłoby być prościej
Reklama
Reklama
e-Wydanie