- Jesteśmy na etapie walki o budżet dla Generalnego Inspektora Ochrony Danych Osobowych w celu wdrożenia zmian prawnych - oświadczyła dr Edyta Bielak Jomaa, otwierając konferencję dotyczącą stosowania unijnego rozporządzenia - RODO, które wchodzi w życie 25 maja 2018 r.
Natomiast zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej w Biurze GIODO Piotr Drobek zwrócił uwagę na zasadę przejrzystości, kompletności i jasności informacji przekazywanych osobom, których dane się przetwarza. Jak podkreślał, pod rządami rozporządzenia obowiązki informacyjne wzrosną, gdyż będziemy mogli żądać przedstawienia celu pobierania od nas danych oraz podania okresu, na jaki się je pobiera i kiedy nastąpi zakończenie tego przetwarzania.
Jak przekazać informacje o wykorzystaniu danych
Przykładowe poinfromowanie klienta przez firmę może wyglądać następująco: „Administratorem Twoich danych osobowych jest XY sp. z o.o. Twoje dane będą przetwarzane w celu wykonania umowy - oraz za Twoją zgodą - w celach marketingowych. Twoje dane będą przetwarzane do czasu obowiązywania umowy albo do momentu wycofania przez Ciebie zgody".
Ewelina Moroń z Pracowni Prostej Polszczyzny z Uniwersytetu Warszawskiego i Anna Kobylańska z kancelarii Kobylańska&Lawoszewski stwierdziły, że dane mogą być przekazane także w formie pytań i odpowiedzi, co jest bardziej czytelne. Można też wykorzystać piktogramy, jeśli chcemy dotrzeć do przeciętnego obywatela albo osób niepełnosprawnych.
Ryzyko w nowej wersji
Ryzyko w ochronie danych osobowych przedstawił dyrektor Andrzej Kaczmarek, z Biura GIODO. - Ryzyko to stan, w którym jednostka czuje się zagrożona - przypomniał ekspert.
Jak mówili eksperci, do tej pory patrzono na ryzyko z punktu widzenia podmiotu, który prowadzi działalność. Teraz to się zmienia. Jeszcze przed 25 maja br. należy sprawdzić normy i kodeksy stosowane w organizacji, środowisko społeczne, zasięg wymiany danych i umowy z firmami zewnętrznymi. Należy ocenić także sprzęt potrzebny do przetwarzania informacji. Trzeba przedstawić cały cykl życia przetwarzania: przechowywanie, katalogowanie, sprawdzenie, czy jest podmiot, któremu zleca się zarządzanie danymi itd.
W zwiększeniu bezpieczeństwa mogą nam pomóc analizy zagrożeń lokalnych i zewnętrznych (np. zjawiska pogodowe czy losowe). Na przykład serwerownia bez klimatyzacji zwiększa ryzyko utraty danych.
- Utrata poufności, integralności, dostępności danych - to wskaźniki, które są podstawą wyliczenia ryzyka. Sumujemy skutki i oceniamy ryzyko na podstawie wzoru.
Brak poufności to nie zabezpieczenie informacji hasłami. Monitorowanie i śledzenie zagrożeń też zmniejsza ryzyko przetwarzania - dodaje dyr. Kaczmarek.
Jeśli ryzyko dotyczy praw i wolności obywateli, to musimy opracować analizę skutków dla ochrony prywatności - radził ekspert. - Przewodnik opracowany przez Grupę Roboczą art. 29 może administratorom pomóc w zastosowaniu konkretnych rozwiązań dotyczących analizy skutków - podkreślał.
Szansa dla firm
- Ryzyko jest postrzegane negatywnie, ale warto pamiętać, że jest ono szansą - powiedział prof. Janusz Zawiła-Niedźwiecki z Politechniki Warszawskiej. - Należy wyodrębnić ryzyko operacyjne od innych i dotyczy ono głównie organizacji, bezpieczeństwa i ciągłości działania - dodał.
- Każdy ABI powinien sam wypracować metodykę postępowania - radzi prof. Zawiła-Niedźwiecki. - Nie musi się silić, aby zrozumieć, co to jest bezpieczeństwo informacji ani nie musi być informatykiem, lecz powinien rozumieć istotę rzeczy. Nade wszystko ważne jest przeciwdziałanie zagrożeniom utraty lub naruszeniem danych - dodaje. - RODO zmienia pozycję administratora bezpieczeństwa informacji. Przyszły inspektor staje się zawodem zaufania publicznego, poddanym określonej presji. Dlatego administrator będzie musiał być profesjonalistą i przestrzegać zasad. Ochrona prywatności powinna stać przed interesem przedsiębiorcy - mówił ekspert.
Ochrona prywatności w RODO
Dr Łukasz Olejnik, ekspert od polityki prywatności, niezależny badacz i konsultant, powiedział, że audytu przepływu informacji i zarządzania ryzykiem będzie dokonywał ekspert ze znajomością bezpieczeństwa i prywatnosci „z technicznym rozumieniem”, a nie prawnik, gdyż ten ostatni może nie poradzić sobie z nowymi problemami.
Ryzyko RODO odnosi się do ludzi, nie do systemów operacyjnych - zauważa dr Olejnik. - Nie rozważamy jedynie technicznych aspektów, ale dane dotyczące np. prawa do zgromadzeń, swobody wyznania, nawyków, czasu pracy i wypoczynku itd. - dodał. Zagrożeniem może być bezprawna kradzież danych albo cyberatak, w wyniku czego nastąpi wyciek danych - doprecyzował dr Olejnik.
- Ryzyko RODO nie dotyczy więc reputacji firmy lub kar dla administratora, gdyż ofiarą cyberataku będą użytkownicy - podkreślił ekspert. Jak mówił, szacowanie ryzyka to proces ciągły, zajmuje to czas i wymaga skupienia. Jeśli w przedsiębiorstwie do tej pory nie wdrożono analizy ryzyka, to do maja 2018 r. taka firma nie zdąży opracować metodyki postępowania w tym zakresie.
Praktyczne aspekty wdrożenia
- W ciągu dwóch lat przetworzono więcej danych niż przez 500 ostatnich lat - powiedziała Mariola Więckowska z Allegro. - Aż 75 proc. wycieków dotyczyło danych prywatnych, a najwięcej z nich dotyczyło informacji medycznych. - Nie warto łamać haseł i systemów - wystarczy złamać człowieka. My sami jesteśmy głównym źródłem informacji. Tylko 1 proc. danych skradzionych było zaszyfrowanych - przestrzega ekspertka.
Allegro przygotowało analizy ryzyka w 2015 r. Firma podzieliła ocenę ryzyka na cztery etapy: wstępną ocenę skutków dla ochrony danych, analiza zmiany i wpływu na prywatność, a także - rekomendowane środki i raport końcowy (strategia postępowania).
- Analizę ryzyka trzeba dokonać już w momencie projektowania przy np. tworzeniu bazy danych lub czatu z użytkownikami - wyjaśniała Więckowska. - Inwentaryzacja danych i ich przepływ ma fundamentalne znaczenie - podkreślała. - Nawet najlepsze zabezpieczenia mają słabe ogniwo, a jest nim człowiek. Warto zainwestować w prywatność, bo technika rozwija się dynamicznie - podsumowała Mariola Więckowska.