Z dniem 25 maja 2018 r. zacznie obowiązywać RODO. Jest to Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Rozporządzenie, z racji jego bezpośredniego stosowania w krajach członkowskich UE, ujednolici przepisy dotyczące ochrony danych osobowych na terenie Unii.

Obecnie każde państwo unijne w ramach prawodawstwa krajowego ma własne uregulowania dotyczące ochrony danych osobowych. Ta wolność już wkrótce się skończy. Dla firm, które przetwarzanie danych osobowych traktowały dotąd po macoszemu, RODO może być szokiem. Za nieco ponad pół roku, wszystkie firmy, które gromadzą tego typu informacje będą musiały wykazać, że zrozumiały i wdrożyły m.in. procedury oceny ryzyka przetwarzania danych (ang. Data Protection Impact Assessment). Dodatkowo umożliwiły rozszerzenie formuły zgody na przetwarzanie danych. Administratora Bezpieczeństwa Informacji zastąpić ma Inspektor Ochrony Danych, a na firmy zostanie nałożony obowiązek raportowania o własnych naruszeniach.

RODO wprowadza bardzo istotne zmiany w stosunku do obecnie obowiązujących w Polsce przepisów o ochronie danych osobowych. W nowym modelu ochrony danych osobowych, na przedsiębiorcy będzie ciążył obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Konieczne to jest po to, aby przetwarzanie danych osobowych odbywało się zgodnie z nowymi przepisami. W praktyce oznacza to konieczność wdrożenia przez polskie przedsiębiorstwa szeregu zmian o charakterze prawnym i informatycznym. Mają one usprawnić zarządzanie danymi osobowymi oraz pozwolą uniknąć drakońskich kar za naruszenie nowych przepisów.

Ocena ryzyka prywatności

W istocie, zmiany te oznaczają konieczność weryfikacji rozwiązań informatycznych, które w polskich firmach są obecnie stosowane. Po 24 maja przyszłego roku, przetwarzanie danych osobowych będzie możliwe wyłącznie po przeprowadzeniu analiz przetwarzania i ochrony danych osobowych. Kluczową będzie tu ocena ryzyka prywatności danych, za którą odpowiedzialność poniesie bezpośrednio zarząd. Odpowiedzialność ta sięga również innych obszarów. Zgodnie z RODO, to przedsiębiorcy poniosą wszystkie koszty doboru i wdrożenia procedur bezpieczeństwa. To oni również muszą ocenić zakres zmian, przy czym muszą one być adekwatne do charakteru i celu przetwarzania danych oraz odpowiadać na zagrożenia wynikające, np. z cyberprzestępczości.

Ryzyko kradzieży danych, czy wycieku informacji o klientach, które w Polsce przecież zdarzają się dość często, w świetle nowych przepisów powinno być zminimalizowane, a nawet jeśli do nich dojdzie, to wdrożone rozwiązania umożliwiać będą błyskawiczną reakcję. Za podjęcie działań wyjaśniających i naprawczych odpowiedzialny będzie Inspektor Ochrony Danych. Jego obowiązkiem będzie również zgłoszenie organowi nadzorczemu wszelkich naruszeń w terminie 72 godzin od ich wystąpienia. W przypadku incydentów, które mogą naruszać prawa lub wolności osób fizycznych, Inspektor będzie musiał poinformować o tym samych zainteresowanych, również poprzez media.

Privacy by default

Już na etapie projektowania systemu przedsiębiorca ma obowiązek uwzględniać zasady ochrony danych osobowych. Oznacza to, że musi dobrać takie rozwiązania organizacyjne i techniczne, które zapewnią ochronę tych danych. Ponadto w ramach wprowadzonej przez RODO zasady tzw. privacy by default przedsiębiorca będzie musiał wprowadzić w swoich systemach informatycznych ochronę prywatności jako domyślne ustawienie systemów.

Generalnie Rozporządzenie nie określa wprost, jakie konkretnie zabezpieczenia, czy tez rozwiązania w zakresie ochrony danych osobowych mają być wprowadzone. Z jednej strony zatem przedsiębiorca będzie mieć wolną rękę w projektowaniu wewnętrznej struktury ochrony danych osobowych. Natomiast z drugiej jednak strony przyjęte przez niego rozwiązania muszą być zgodne z zasadami ochrony danych osobowych wynikającymi z RODO. Rozporządzenie wprowadza bowiem zasadę „rozliczalności” administratora za przestrzeganie zasad ochrony danych osobowych.

Zgoda na przetwarzanie danych osobowych

Obecnie, jeżeli przetwarzasz dane osobowe osoby fizycznej, przedsiębiorca musi posiadać pisemną zgodę. RODO w tej kwestii zaostrza przepisy. Takie oświadczenie nie może zawierać innych spraw związanych z bezpieczeństwem danych. Zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii. Oznacza to że powinno być w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Osoba, która wyraziła zgodę na przetwarzanie swoich danych osobowych może w każdej chwili taką zgodę cofnąć. Należy pamiętać, że o prawie do cofnięcia zgody na przetwarzanie osoba fizyczna powinna zostać poinformowana przed wyrażeniem zgody. W praktyce oznacza to, że część przedsiębiorców, która obecnie przetwarza dane osobowe swoich klientów w oparciu o zgodę na przetwarzanie danych będzie musiała dostosować takie klauzule. Należy je dostosować do wymagań wynikających z RODO.  W szczególności poprzez zamieszczenie informacji o możliwości cofnięcia zgody na przetwarzanie w każdym czasie.

Prawo do bycia zapomnianym

RODO wprowadza również prawo konsumenta do żądania usunięcia danych osobowych, czyli „prawo do bycia zapomnianym”. Osoba, której dane dotyczą będzie mieć prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych. Administrator danych będzie zobowiązany niezwłocznie takie dane usunąć, jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Osoba której dane dotyczą będzie mieć również prawo do otrzymania od administratora danych osobowych jej dotyczących, jak również będzie mogła żądać aby administrator danych przesłał jej dane osobowe bezpośrednio innemu, wskazanemu przez nią administratorowi, o ile jest to technicznie możliwe.

Kary finansowe RODO

Należy mieć na uwadze, że RODO wprowadza bardzo wysokie kary finansowe dla przedsiębiorców, którzy nie będą przestrzegać wymogów dotyczących ochrony danych osobowych wynikających z Rozporządzenia. Kary finansowe za naruszenie podstawowych zasad przetwarzania danych osobowych lub naruszenia praw osób, których dane są przetwarzane mogą wynieść nawet do 20.000.000 Euro, a w przypadku przedsiębiorstwa – do 4 % całkowitego rocznego obrotu. Niewątpliwie zatem w interesie przedsiębiorców jest dostosowanie swoich wewnętrznych procedur do zasad i wymogów dotyczących ochrony danych osobowych wynikających z RODO.

10 najważniejszych zmian, które wprowadza RODO

1. Bezpośrednia odpowiedzialność przetwarzającego dane

Organizacje przetwarzający dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz (jak na przykład firmy dostarczające rozwiązania w chmurze czy firmy hostingowe), będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO, włączając w to ryzyko otrzymania kary finansowej. Co więcej będą wymagane bardziej restrykcyjne niż dotychczas obowiązki w zakresie tworzenia umów o przetwarzaniu, natomiast odszkodowania i ograniczenia odpowiedzialności najprawdopodobniej będą podlegać renegocjacji.

2. Zgłaszanie naruszeń

Obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód.

3. Nowe i rozszerzone prawa obywateli

Przepisami RODO wprowadzone zostaje: „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte), uprawnienie do żądania przeniesienia danych oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane.

Osoby, których dane dotyczą, będą także miały rozszerzone prawo sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych, co ma niebagatelne znaczenie dla firm bazujących na analityce danych.

4. Ograniczenia profilowania

Wprowadzone zostały ograniczenia w zakresie profilowania włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych, surowy obowiązek informowania o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie. Należy pamiętać, że nie jest to jedynie zmiana unijnych przepisów, które tylko pośrednio wpływają na obowiązek ich zastosowania

Co jeszcze?

5. Wyznaczenie Inspektora Ochrony Danych Osobowych

Obowiązkiem niektórych firm zarówno kontrolujących, jak i przetwarzających dane, będzie wyznaczenie Inspektora Ochrony Danych Osobowych. Osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych.

6. Obowiązkowa inwentaryzacja danych i wymagania związane z dokumentacją

Kontrolujący i przetwarzający dane będą zobowiązani od przygotowania i utrzymania wszechstronnych rejestrów dotyczących przetwarzanych danych, uwzględniających m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.

7. Zgody

Przepisami RODO zostają wprowadzone nowe lub uzupełnione zasady uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych od osób, których dane dotyczą.

8. Rozbudowanie obowiązku informacyjnego

Przepisy RODO wskazują liczne informacje, które muszą być uwzględnione w komunikacji sposobu przetwarzania danych osobowych kierowanej do osób, których dane dotyczą.

9. Ocena wpływu ochrony danych

Wykonanie takiej analizy będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak na przykład profilowanie na dużą skalę czy wykorzystanie danych szczególnych kategorii (takich jak dane dotyczące zdrowia).

10. Transfer danych poza Unię Europejską

Niedostosowanie się do zakazu przesyłania danych, bez zachowania odpowiedniego poziomu zabezpieczeń, będzie zagrożone możliwością nałożenia bardzo wysokich kar finansowych.

Audyt RODO

RODO przyjmuje podejście adekwatności – oznacza to, że drogi do osiągnięcia zgodności mogą być różne dla każdej firmy. Wymaga analizy istniejącego poziomu ryzyka oraz uzasadnienia, dlaczego wybrane metody zabezpieczeń są wystarczające.

Wdrożenie regulacji będzie szczególnie wymagające w przypadku dużych firm posiadających własne działy IT. Mniejsze firmy, mogą znacznie ograniczyć koszty wdrożenia i utrzymania, decydując się na outsourcing. Poniżej znajdziesz kilka sugestii, które mam nadzieję ułatwią wdrożenie w Twojej organizacji.

Jakich pytań możesz oczekiwać w trakcie audytu:

• W jaki sposób dana informacja została pozyskana? W ilu miejscach przechowywane są jej kopie?
• W jaki sposób i w jakim celu jest przetwarzana? Kiedy zostanie usunięta?
• Udowodnić, że klient wyraził zgodę na przetwarzanie wybranej informacji.
• Udowodnić, że zweryfikowano zgodność wykorzystywanego oprogramowania z wymaganiami RODO.
• Udowodnić, że zweryfikowano dostawców usług w zakresie wymagań bezpieczeństwa.
• Jakie narzędzia i procesy są wykorzystywane w firmie dla zapewnienia bezpieczeństwa.
• Niech Inspektor Ochrony Danych uzasadni adekwatność wykorzystywanych rozwiązań. Jaka jest ich skuteczność?
• W jaki sposób pracownicy są edukowani na temat bezpieczeństwa?

Etapy wdrażania systemu RODO

Krok 1: Określ i uzasadnij zakres działań

Inwentaryzacja danych i ich przepływów. Dowiedz się, jakie dane osobowe są przetwarzane w Twojej organizacji oraz opisz ich przepływ od momentu pozyskania, aż do usunięcia. Uwzględnij procesy, systemy informatyczne i role osób odpowiedzialnych za ich przetwarzanie. Poniższych kilka pytań pomoże Ci uprościć sposób, w jaki przetwarzasz dane i obniżyć koszty na etapie wdrożenia:

• Jakie dane osobowe są w posiadaniu Twojej organizacji?
• Jak i w jakim celu zostały pozyskane?
• Kto i w jaki sposób przetwarza te dane? Czy wszystkie osoby posiadające do nich dostęp na pewno go potrzebują?
• W jaki sposób przechowujesz dane osobowe? Czy jesteś w stanie ograniczyć ilość tych lokalizacji?
• Czy istnieje potrzeba, aby je nadal przechowywać? Kiedy będzie można je usunąć?

Przeprowadź ocenę ryzyka utraty poufności danych (ang. PIA). Zdolność pomiaru ryzyka jest kluczowym elementem zbudowania efektywnego systemu zabezpieczeń. Zadbaj o to, aby zaprojektować proces bazujący na mierzalnych, zrozumiałych dla przedstawicieli biznesu metrykach, które Twoja firma jest w stanie monitorować.

• Jak poważne konsekwencje dla poszkodowanych miałby wyciek danych, które przechowujesz?
• Kto powinien, a kto ma do nich dostęp?
• Kto i w jaki sposób przetwarza te dane?
• Czy na jakimkolwiek etapie przetwarzania, udostępniasz je zewnętrznym dostawcom?

Wybierz rozwiązania „adekwatne” do potrzeb. Z czasem prawdopodobnie ukształtują się standardy dla poszczególnych branż. Do tego czasu najlepszym wyjściem będzie uzasadnienie swojego wyboru odniesieniem do „dobrych praktyk”.

Krok 2: Rozwiązania organizacyjne i oprogramowanie

Dotychczas uzyskanie zgodności regulacyjnej w obszarze bezpieczeństwa sprowadzało się do zakupu „Polityki Bezpieczeństwa Informacji” i uzupełnienia rejestru danych. Obecnie, oprócz polityki (opisu wymagań) wymagane jest udokumentowanie procesów oraz zapewnienie dowodów, że są one realizowane.
Szablonowe rozwiązania, choć tańsze, długofalowo będą generować wyższe koszty utrzymania. W skrajnych przypadkach dodatkowe obowiązki mogą sparaliżować działanie przedsiębiorstwa. Z tego względu, organizacje potrzebują opracować własny system, dostosowany zarówno do potrzeb jak i posiadanych zasobów.

Opracuj polityki i standardy zawierające wymagania obowiązujące wszystkich pracowników organizacji. W kontekście RODO będziesz potrzebował zrewidować swoją Politykę Bezpieczeństwa Informacji (PBI) oraz dokumenty podrzędne. Zwróć uwagę na następujące obszary:

• Uwzględnienie bezpieczeństwa i prywatności na etapie projektowania rozwiązań.
• Wytyczne dotyczące złożoności haseł, częstotliwości ich zmian i sposobów zapisywania.
• Wytyczne dotyczące konfiguracji urządzeń sieciowych i stacji roboczych.
• Konieczność zapewnienia odpowiedniego poziomu ochrony danych osobowych przez dostawców usług.
• Dopuszczalne sposoby przechowywania danych osobowych i wytyczne odnośnie ich zabezpieczeń.

Jak to zrobić?

Oto kilka wskazówek, które mogą być Ci pomocne na tym etapie:

• Opracuj nadrzędną politykę ze szczegółowymi standardami w formie załączników. Pomaga to uporządkować wiedzę i ograniczyć ilości informacji przekazywanych pracownikom, aby łatwiej mogli je przyswoić.
• Wytyczne bezpieczeństwa dla zewnętrznych dostawców sformułuj w postaci załącznika do umów.
• Opracuj przejrzysty standard klasyfikacji i ochrony informacji. Będzie to dokument przekazywany wszystkim pracownikom, zawierający wytyczne jak obchodzić się z poszczególnymi grupami informacji. Nieznajomość lub brak zrozumienia tych zasad jest bardzo częstą przyczyną wycieków.
• Zwróć uwagę na bezpieczeństwo urządzeń mobilnych. Wszystkie mobilne nośniki pamięci, na których zapisane są dane osobowe powinny być szyfrowane. Zapewnisz w ten sposób większą ochronę swoim klientom, jak również unikniesz kary w przypadku utraty nośnika.

Posiadaj udokumentowane procesy i procedury opisujące poszczególne aktywności. Ogranicz ich poziom szczegółowości do niezbędnego minimum i stosuj ujednoliconą strukturę. Każdy proces powinien mieć wyznaczonego właściciela, odpowiedzialnego za jego utrzymanie i rozwój. Wykorzystuj kreatywność i doświadczenie swoich pracowników, aby doskonalić procedury – odstępstwa od ustalonego sposobu powinny być jednak akceptowane przez właściciela. Z perspektywy RODO najważniejsze są następujące procesy:

• Zarządzanie incydentami bezpieczeństwa (monitorowanie, obsługa, powiadamianie o ich wystąpieniu).
• Obsługa zgłoszeń klientów (prośba o udostępnienie lub usunięcie danych).
• Edukacja pracowników i budowanie kultury bezpieczeństwa.
• Udzielanie dostępu do systemów informatycznych przetwarzających dane osobowe.
• Sposoby wykorzystania i niszczenia nośników pamięci zawierających dane osobowe.

RODO kładzie największy nacisk na zarządzanie incydentami bezpieczeństwa. Upewnij się, że Twój proces uwzględni odpowiedzi na następujące pytania:

• W jaki sposób będziesz wykrywał i klasyfikował incydenty? Które z nich wymagają publikowania?
• W jaki sposób będziesz je badał?
• Jakie działania podejmiesz w przypadku poszczególnych typów zagrożeń?
• Kto będzie odpowiedzialny za publikowanie informacji o wyciekach danych osobowych?

Oprogramowanie. Każda firma przetwarzająca dane osobowe niezależnie od skali, powinna posiadać system antywirusowy i firewall. Większe organizacje powinny rozważyć wdrożenie oprogramowania typu DLP (ochrona przed wyciekiem danych) oraz IPS (zapobieganie włamaniom). Przy zakupie oprogramowania warto skorzystać z pomocy niezależnego eksperta, który pomoże wybrać odpowiednie narzędzia i dostawcę.

Krok 3: Utrzymanie i nadzór

Utworzenie roli Inspektora Ochrony Danych. Głównymi obowiązkami tej osoby jest koordynowanie procesów odpowiadających bezpośrednio za bezpieczeństwo, oraz zarządzanie ryzykiem cybernetycznym. Inspektor powinien bardzo dobrze znać wymagania regulacyjne oraz architekturę lokalnego systemu bezpieczeństwa. Powinien być w stanie uzasadnić adekwatność wybranych rozwiązań, oraz dostarczyć dowodów poświadczających, że system działa zgodnie z założeniami.

Szkolenia i programy budowania świadomości. Duży nacisk, jaki RODO kładzie na edukację, świadczy o strategicznym podejściu mającym zachęcić firmy do tego, aby myślały o bezpieczeństwie w bardziej kompleksowy sposób. Podstawowym narzędziem podnoszącym świadomość użytkowników, jest wdrożenie programu „security awareness” (SA) – interaktywnego szkolenia z kwestionariuszem weryfikującym wiedzę, powtarzanym cykliczne w celu zbudowania właściwych nawyków. Informacje pozyskiwane z programu SA warto uwzględnić, jako jedną z metryk bezpieczeństwa. Dodatkowo, w przypadku stanowisk szczególnie podatnych na ataki, zaleca się skierowanie pracowników na dedykowane szkolenia.

Zarządzanie ryzykiem, pomiar metryk bezpieczeństwa i gromadzenie dowodów. „Bezpieczeństwo” jest procesem, nie projektem. Rozwiązania, które zostaną opracowane na etapie wdrożenia, będzie trzeba monitorować i świadomie rozwijać. Większe projekty, nowi dostawcy usług i zakup oprogramowania będą wymagały weryfikacji, czy zapewniają zgodność z wymaganiami zawartymi w PBI.