CyberbezpieczeństwoPolecane tematy
GDPR w Polsce: wciąż jest więcej niewiadomych
O nowym Rozporządzeniu o Ochronie Danych Osobowych, które ma wejść w życie 25 maja 2018, konsekwencjach, które ze sobą niesie i przygotowaniach do wprowadzenia RODO/GDPR rozmawiamy z osobami odpowiedzialnymi za bezpieczeństwo w polskich organizacjach oraz przedstawicielami branży IT.
Czy przygotowanie się do Rozporządzenia o Ochronie Danych Osobowych – RODO/GDPR – to duży problem dla organizacji działających w Polsce?
Cezary Piekarski, dyrektor Departamentu Bezpieczeństwa, Bank Millennium: W sektorze bankowym zapisy RODO w większości nie są nowością. Klienci na co dzień testują zgodność banków z wymaganiami regulatora. Dodatkowe obostrzenie w zakresie ochrony danych osobowych – w postaci ogólnego rozporządzenia unijnego, chociaż bardzo rygorystycznego – niewiele w naszej sytuacji zmienia.
Witold Małaszuk, dyrektor Biura Bezpieczeństwa Informacji, Getin Noble: W naszej branży zarządzamy ryzykiem związanym z bezpieczeństwem danych osobowych od Bazylei II (Nowa Umowa Kapitałowa opublikowana w 2004 roku – przyp. redakcji). RODO to pomysł, aby nakłonić przedsiębiorstwa i urzędy ze wszystkich sektorów do zarządzania tego typu ryzykiem. W sektorze finansowym te mechanizmy są od dawna znane i używane.
Prawdą jest jednak, że RODO nakłada także określone obowiązki, które i dla nas są nowe. Dlatego wzmacniamy wewnętrzne zasoby. Poszukujemy partnera, który wsparłby nas w działaniach związanym z dostosowaniem się do nowych wymogów prawnych. Mamy bardzo wiele czynnych umów z pośrednikami. Każdą z nich trzeba teraz przejrzeć i prawdopodobnie zrewidować przy stole z partnerem, aby była zgodna z nowymi wymogami umów powierzenia przetwarzania danych. To może być bardzo kłopotliwe i zdajemy sobie z tego sprawę.
Równolegle na poziomie Związku Banków Polskich budujemy „Code of Conduct”, który chcemy przedstawić regulatorowi. Mimo zaawansowanych przygotowań problemów związanych z dostosowaniem się do RODO może być sporo, głównie ze względu na skalę związanych z tym projektów.
Cezary Piekarski: Banki są jednak na zupełnie innym etapie zarządzania ryzykiem bezpieczeństwa danych niż pozostałe sektory gospodarki, może poza sektorem telekomunikacyjnym. Skala działalności oraz uwarunkowania prawne relacji biznesowych powodują, że jest to kluczowy obszar, gdzie dane osobowe są od lat chronione ze szczególną starannością.
Janusz Hadryś, dyrektor IT, OBI: W naszym przypadku, firmy z sektora handlowego, funkcję Administratora Bezpieczeństwa Informacji – czyli, zgodnie z RODO, przyszłych Inspektorów Ochrony Danych – pełni zewnętrzna kancelaria. Kancelaria pilnuje, aby procedury były zgodne z rekomendacjami i wytycznymi. Mamy nadzieje, że kontrolują sytuację, ale nawet nie wiemy nad czym w tym momencie pracują i na jakim są etapie przygotowań. Dodatkowo większość naszych danych przechowywana jest za granicą, w niemieckiej centrali Grupy OBI. Obawiamy się więc trochę, że może dojść do naruszenia bezpieczeństwa danych, którymi nie zarządzamy, a dotyczą polskich obywateli. Wtedy bowiem to my – a nie centrala – będziemy odpowiadać za ich naruszenie. Z drugiej strony mamy pełne zaufanie do naszej organizacji.
Andrzej Sobczak, Resilience & Security Officer, Royal Bank of Scotland: W naszym przypadku projekt przygotowań do RODO jest prowadzony centralnie, bo właścicielem większości danych jest nasza centrala w Wielkiej Brytanii. Przetwarzamy dane zarówno w poszczególnych krajach, jak i w centralnym hubie w Wlk. Brytanii. Polskie dane wysyłamy więc zagranicę. Co ciekawe – mimo Brexitu – rząd w Londynie deklaruje, że przyjmie RODO tak, jak inne kraje UE.
Aby zachować kontrolę nad procesami objętymi RODO, każdy podmiot musi przeanalizować, jakie dane osobowe przetwarza i na czyje zlecenie. Royal Bank of Scotland przede wszystkim prowadzi inwentaryzację procesów, w których są przetwarzane dane. Staramy się też odpowiedzieć na podstawowe pytanie: czyje to są dane? Duży nacisk kładziemy na stronę trzecią, ponieważ jako duża firma mamy wielu dostawców, którzy również przetwarzają dane osobowe. Wspomniana wcześniej zmiana klauzul w umowach ze wszystkimi dostawcami była więc jednym z pierwszych ruchów, których dokonaliśmy w ramach przygotowań do RODO. Co ciekawe, z naszego punktu widzenia RODO daje nam w tym zakresie dużo większą elastyczność niż dotychczasowe polskie przepisy.
Bolączką jest to, że nie mamy partnera, z którym możemy o tych zmianach dyskutować. Obecny urząd Generalnego Inspektora Danych Osobowych ma zostać wkrótce zlikwidowany, a nie wiemy, kiedy powstanie nowy Urząd Ochrony Danych Osobowych. Mówi się, że w optymistycznym scenariuszu będzie to luty 2018 roku, a w pesymistycznym nie zacznie on działać przed 25 maja 2018 roku, kiedy to wchodzi w życie RODO… Tymczasem nowy urząd będzie miał zupełnie inny zakres obowiązków – mówi Joanna Karczewska, członek zarządu, ISACA Warszawa.
Największe jednak wyzwanie to ludzie. Zatrudniamy w Polsce 1600 osób, które pracują głównie na zlecenia z Wielkiej Brytanii, innych krajów Unii Europejskiej czy Bliskiego Wschodu. To duża różnorodność procesów. Każdy funkcjonuje w pewnej specyfice krajowej, każdy jest inny, ma swojego menedżera, on z kolei swoje wyobrażenie o tym, jak ten proces ma wyglądać. To bardzo komplikuje system i utrudnia zarządzanie nim.
W jaki sposób – poza konsultacjami z prawnikami – można wesprzeć przygotowania do RODO w polskich organizacjach? Ministerstwo Cyfryzacji zwraca uwagę na narzędzia informatyczne, szkolenia…
Krzysztof Grabczak, dyrektor sprzedaży systemów bezpieczeństwa, Oracle Polska: Banki i operatorzy telekomunikacyjni – ze względu na własne przepisy sektorowe – są w dużo większym stopniu przygotowane do uzyskania zgodności z RODO. W przypadku pozostałych firm nie zawsze tak jest. Często pojawia się pytanie jak zacząć? Należałoby rozpocząć od analizy ryzyka, co zresztą jest podkreślane w RODO. W Oracle zwracamy uwagę, że firmy powinny koncentrować się na obszarach wysokich ryzyk. Wspieramy klientów w mapowaniu poszczególnych wymogów zawartych w RODO i przekładaniu tego na konkretne rozwiązania technologiczne. Jednak to, które z nich klient wybierze i na co położy nacisk to już jego indywidualna decyzja. Jest to bowiem decyzja oparta o wewnętrzną analizę ryzyka.
Nie warto chronić wszystkiego, ale raczej skupiać się na krytycznych obszarach. Rozporządzenie wyraźnie podpowiada, że kary będą rozpatrywane z uwzględnieniem kroków podjętych w celu uniknięcia naruszenia bezpieczeństwa danych, a środki technologiczne mają na to duży wpływ. Warto rozważyć szyfrowanie, bo rozporządzenie wielokrotnie wskazuje na nie jako istotny do rozważenia środek technologiczny. Pod pewnymi warunkami nie ma obowiązku zawiadamiania o naruszeniach osób, których naruszenie dotyczy. Art. 34 Rozporządzenia mówi, że jednym z takich przypadków jest właśnie wdrożenie odpowiednich środków ochrony takich jak szyfrowanie uniemożliwiające odczytanie danych osobom nieuprawnionym do dostępu do nich. W przypadku utraty dysku, komputera lub pliku z zawartymi na nim danymi, jeżeli są one zaszyfrowane, to nie musimy sprawdzać czyje dane straciliśmy i kogo trzeba powiadomić.
Michał Jaworski, członek zarządu Microsoft Polska: Jako dostawca oprogramowania musimy przygotować zarówno swoją organizację, jak i wszystkie nasze produkty do RODO. W pierwszej kolejności sprawdzamy każdy z produktów, artykuł po artykule jego zgodność z rozporządzeniem. Potem opracowujemy narzędzia do obsługi wymagań RODO, pozwalające szybko sprawdzić, gdzie są dane, jak je zabezpieczyć i jak nimi zarządzać. Trzeci krok to dopasowanie naszych umów do wymagań RODO. Jeśli chcemy świadczyć usługi chmurowe to jest to konieczne. Czwarta część naszych przygotowań to współpraca z klientami.
W RODO jest wiele niuansów, które ograniczają sposób wykorzystania usług chmurowych. Nie można np. bez zgody klienta zlecać realizacji usług podwykonawcom. Dodatkowo koszty zapewnienia compliance mogą sprawić, że mniejsi gracze przestaną być atrakcyjni cenowo, albo nie będą w stanie ponieść takich nakładów finansowych i w efekcie będą wycofywać się z rynku – mówi Cezary Piekarski, dyrektor Departamentu Bezpieczeństwa, Bank Millennium.
Banki czy operatorzy, to sektory wertykalne, które wiedzą, jak wykorzystać sprawdzone procesy w RODO. Mogą więc wykorzystać gotowe procesy. Jednak klienci z innych sektorów nie mają tak łatwo. Często podkreślam, że aby przygotowania do RODO się udały, trzy grupy osób muszą blisko współpracować: inżynierowie odpowiedzialni za technologię z działu IT albo bezpieczeństwa, prawnicy oraz biznes aż po samego prezesa czy ministra w sektorze publicznym. W rozmowach z klientami widzę, że tej komunikacji wciąż brakuje, biznes nie rozmawia z osobami odpowiedzialnymi za technologie. Tymczasem bez współpracy nie ma możliwości osiągnięcia zgodności z RODO.
Michał Zajączkowski, HPE Pointnext Leader & Board Member, Hewlett Packard Enterprise: U nas podobnie. Z jednej strony musimy sami sobie poradzić z dostosowaniem do RODO i wykorzystać narzędzia, które nam w tym pomogą. Z drugiej wspieramy klientów w tego typu projektach. Większość klientów jest dopiero na początku drogi spełnienia wymogów RODO. I rzeczywiście, trzy wspomniane przed chwilą działy – IT, prawny, biznes – zazwyczaj ze sobą nie współpracują. Często też widzę zaskoczenie, gdy pytam o etap przygotowań do RODO. Ktoś słyszał, że takie rozporządzenie ma wejść w życie, ale czeka na opinię prawną.
W Hewlett Packard Enterprise mamy trzy główne sposoby podejścia do problemu. Najpierw analizujemy obszary, których RODO w danej organizacji dotyczy. Potem sprawdzamy, jakie narzędzie i oprogramowanie do zarządzania zbiorami danych może być wykorzystane. Wreszcie przechodzimy do wdrażania procedur związanych z bezpieczeństwem, w tym m.in.: wykrywaniem incydentów, pseudonimizacją danych, backupem i archiwizacją.
Piotr Łukasiewicz, Senior Consultant, Commvault: Nasze podejście jest zbliżone do pozostałych vendorów. Z jednej strony kończymy już globalny projekt dostosowania wewnętrznych procesów i przetwarzania danych osobowych do wymagań RODO. Z drugiej strony oferujemy klientom wsparcie zarówno w zakresie technologii zarządzania danymi, jak i usług klasyfikacji danych, w tym oczywiście danych osobowych. Tego typu usługi powinny oczywiście być realizowane przed wyborem odpowiedniej technologii. RODO to nie tylko działania prawne i procesowe, ale również konkretne zmiany i implementacje wspierających systemów informatycznych – zarówno z obszaru bezpieczeństwa jak i zarządzania danymi. Usługi klasyfikacji danych i idące w ślad za nimi odpowiednie technologie (backup, archiwizacja, indeksowanie) pomogą zapewnić postulowane przez RODO poziomy ochrony danych, odpowiednio krótką ich retencję oraz różne SLA dla usług związanych z danymi osobowymi.
Janusz Hadryś: Działy biznesowe w korporacji często lubią drogę na skróty. Mam taką anegdotę. Niektórzy w firmie zastanawiają się nad tym, co – po wejściu w życie GDPR – zrobić z direct marketingiem do klientów. Ktoś pyta: a jaka to część sprzedaży? Jeśli niewielka, to może po prostu zrezygnujmy z tej formy dotarcia do klientów i po problemie…
W naszej branży zarządzamy ryzykiem związanym z bezpieczeństwem danych osobowych od Bazylei II. Prawdą jest jednak, że RODO nakłada także określone obowiązki, które i dla nas są nowe. Dlatego wzmacniamy wewnętrzne zasoby. Mamy bardzo wiele czynnych umów z pośrednikami, każdą z nich trzeba teraz przejrzeć i prawdopodobnie zrewidować przy stole z partnerem, aby była zgodna z nowymi wymogami umów powierzenia przetwarzania danych – mówi Witold Małaszuk, dyrektor Biura Bezpieczeństwa Informacji, Getin Noble.
Cezary Piekarski: Zastanawiam się, na ile to wyraźne wzmocnienie wymagań regulacyjnych dotknie mniejszych dostawców usług, np. cloud computing. W RODO jest wiele niuansów, które ograniczają sposób wykorzystania usług chmurowych. Nie można np. bez zgody klienta zlecać realizacji usług podwykonawcom. Dodatkowo koszty zapewnienia compliance mogą sprawić, że mniejsi gracze przestaną być atrakcyjni cenowo, albo nie będą w stanie ponieść takich nakładów finansowych i w efekcie będą wycofywać się z rynku.
Piotr Łukasiewicz: Wszystko zależy od tego, jakie dane zewnętrznemu dostawcy będziemy przekazywać…
Andrzej Sobczak: Warto jednak tę sprawę uregulować, bo obecnie dane osobowe ‘hulają’ po całej Polsce bez jakiejkolwiek kontroli. Jeden z organów ścigania odmówił mi zajęcia się sprawą, bo – jak mi nieoficjalnie powiedziano – nie maja siły „ganiać za firmami krzakami”. Ograniczenie podzlecania powinno znacząco ograniczyć handel danymi osobowymi.
Michał Jaworski: Obsługujemy tysiące polskich startupów i firm tworzących oprogramowanie (ISV). Te z nich, które pracują na rynkach regulowanych, wiedzą już jak przygotować się do RODO. Dla sektora MSP jest to jednak czarna magia. Nie zdają sobie sprawy – przy swojej kreatywności – z tego, co się dzieje. Przykładowo podczas spotkania „Startupy w Pałacu” organizowanym przez Kancelarię Prezydenta RP jeden z innowacyjnych przedsiębiorców prezentował „inteligentne lustro”. Kiedy przymierzam garnitur podpowiada mi odpowiedni krawat. Jednocześnie wie, że byłem już w tym sklepie i zna moje preferencje, zaproponuje więc krawat w ulubionym kolorze. To lustro z punktu widzenia ochrony danych osobowych nie ma prawa, bez obudowania dodatkowymi procedurami, pojawić się na rynku.
Wracając do pytania Cezarego Piekarskiego, wydaje mi się, że z powodu RODO nastąpi koncentracja na rynku usług chmury publicznej. Mniejsze firmy mogą po prostu nie podołać wszystkim wymaganiom. Co więcej, jeśli powstaną różne kodeksy postępowania dla różnych branż, to horyzontalny produkt – skierowany na szeroki rynek – napotka ogromne utrudnienia. Chociaż przetwarzanie może odbywać się w jednym kraju, to w praktyce – ze względu na różnorodność klientów – wiele usług będzie musiało spełniać wymogi wszystkich krajów UE.
Krzysztof Grabczak: Gdy trwały prace na treścią Rozporządzenia RODO w latach 2012-2016, przeprowadzane były badania dotyczące zagrożeń i świadomości obywateli UE dotyczące podejścia do ochrony danych osobowych w kontekście usług bankowych czy portali społecznościowych w różnych krajach. Okazało się, że świadomość jest niska, także w Polsce. W 2015 raporty pokazały, że nie ma już tak wielkich różnic w poszczególnych krajach. Wciąż jednak świadomość problemu bezpieczeństwa danych osobowych kształtuje się na poziomie 30%-50%. Nadal niemal połowa społeczeństwa nie jest świadoma zagrożeń związanych z bezpieczeństwem danych. Niewiedza ta dotyczy również podstawowych dla nas rzeczy, jak np. klikanie w podejrzane linki otrzymane w emailach od nieznajomych. Trzeba o tym pamiętać przygotowując się do RODO. Dlatego w obszarach wysokiego ryzyka trzeba brać pod uwagę świadomość zagrożeń związanych z bezpieczeństwem i zastosowanie technologii, która będzie wspierała i kontrolowała właściwą realizację procesów. Nie unikniemy budowania świadomości, szkoleń, ale również zastosowania technologicznych mechanizmów kontrolnych.
U nas funkcję Administratora Bezpieczeństwa Informacji – czyli, zgodnie z RODO, przyszłych Inspektorów Ochrony Danych – pełni zewnętrzna kancelaria. Kancelaria pilnuje, aby procedury były zgodne z rekomendacjami i wytycznymi. Mamy nadzieje, że kontrolują sytuację, ale nawet nie wiemy nad czym w tym momencie pracują i na jakim są etapie przygotowań – mówi Janusz Hadryś, dyrektor IT, OBI.
Michał Zajączkowski: Lustro to wymowny przykład zmian, jakie niesie RODO, choć być może nieco przejaskrawiony. Każdy producent samochodów jest dziś w stanie zlokalizować samochód klienta, sprawdzić jaką właśnie przebył trasę, spod jakiego adresu wyjechał i gdzie dotarł. Trzeba pamiętać, że w tego typu informacjach także zawarte są dane osobowe. Świat staje się coraz bardziej przepełniony informacją. Z drugiej strony np. sieci handlowe inwestują w systemy identyfikacji klienta czy rozwiązania wysyłające informacje bezpośrednio na nasze smartfony.
Janusz Hadryś: W sektorze handlowym pojawiają się – obok kamer zliczających klientów i kontrolujących ich przepływ w obrębie sklepu – także kamery, które ich rozpoznają…
Joanna Karczewska, członek zarządu, ISACA Warszawa: Chciałabym jednak zwrócić uwagę na inną kluczową dla nas sprawę. Bolączką jest to, że nie mamy partnera, z którym możemy o tych zmianach dyskutować. Obecny urząd Generalnego Inspektora Danych Osobowych ma zostać wkrótce zlikwidowany, a nie wiemy, kiedy powstanie nowy Urząd Ochrony Danych Osobowych. Mówi się, że w optymistycznym scenariuszu będzie to luty 2018 roku, a w pesymistycznym nie zacznie on działać przed 25 maja 2018 roku, kiedy to wchodzi w życie RODO… Tymczasem nowy urząd będzie miał zupełnie inny zakres obowiązków. Jedynym dziś praktycznie partnerem do rozmów jest dr Maciej Kawecki, doradca ministra w Gabinecie Politycznym Ministra Cyfryzacji. Tymczasem jest on sam.
Czy znane są już szczegóły dotyczące obowiązujących w Polsce przepisów w związku z wejściem w życie RODO?
Joanna Karczewska: Zostaliśmy praktycznie sami z problemami związanymi z dostosowaniem się do nowego rozporządzenia. Dodatkowym zagrożeniem może być fakt, że zostaniemy zaskoczeni przepisami post factum. „Czekamy na ustawę” – to standardowa dziś odpowiedź od urzędników, jeśli chodzi o wymogi, które musimy spełnić. Projekt tej ustawy ma przy sprzyjających okolicznościach trafić do Sejmu dopiero we wrześniu.
Co prawda General Data Protection Regulation już obowiązuje, więc można domyślać się czego możemy się spodziewać. Ale aż w 60 punktach może zostać zmieniony przez lokalne przepisy. Dotyczy to np. sprawy zgłaszania naruszeń – do kogo, w jaki sposób, które z naruszeń zgłaszać, jakie są konsekwencje nie zgłoszenia… To wszystko jeden, wielki znak zapytania. Nie mogąc bazować na lokalnych przepisach przyglądamy się temu, co dzieje się w krajach sąsiednich, polecam zwłaszcza przepisy przygotowywane we Francji. Szefowa francuskiego CNIL, odpowiednika GIODO, jest jednocześnie szefową Grupy Roboczej Artykułu 29 GDPR.
Royal Bank of Scotland przede wszystkim prowadzi inwentaryzację procesów, w których są przetwarzane dane. Staramy się też odpowiedzieć na podstawowe pytanie: czyje to są dane? Duży nacisk kładziemy na stronę trzecią, ponieważ jako duża firma mamy wielu dostawców, którzy również przetwarzają dane osobowe. Zmiana klauzul w umowach ze wszystkimi dostawcami była więc jednym z pierwszych ruchów, których dokonaliśmy w ramach przygotowań do RODO – mówi Andrzej Sobczak, Resilience & Security Officer, Royal Bank of Scotland.
W warunkach chaosu polecam także, aby patrzeć na RODO z perspektywy swoich praw. Zwłaszcza, że od maja 2018 roku będą zgłaszać incydenty właśnie przeciętni obywatele. Od razu będą mogli pójść do sądu. W Polsce nie wiemy nawet teraz z jakiego artykułu. Odrzucona została wstępna koncepcja, aby robili to z perspektywy ochrony dóbr osobistych. Na to wszystko nakłada się planowana reforma sądownictwa…
Michał Jaworski: Najlepiej z nowymi regulacjami radzą sobie na północy, na południu zaś jest chaos. Wszyscy faktycznie patrzą na regulatora francuskiego. Jest wielce prawdopodobne, że to co wymyślą Francuzi, będzie wdrażane w innych krajach. Jest też inny problem, choć dotyczy to przygotowania następcy GIODO. Zadałem kiedyś pytanie, czy przeprowadzono prostą symulację liczby zgłoszeń związanych z naruszeniem bezpieczeństwa danych. W Polsce mamy ok. 25 tys. dużych i średnich firm. Załóżmy, że każda z nich zgłasza jedno naruszenie kwartalnie. Daje to 100 tys. zgłoszeń rocznie. Do tego mamy ponad 1 mln aktywnych małych firm. Powiedzmy, że one dokonują jednego zgłoszenia raz na 5 lat. To 200 tys. zgłoszeń rocznie. W sumie daje to ok. 300 tys. zgłoszeń rocznie, każdego dnia roboczego jedno zgłoszenie co minutę. Tymczasem nie uwzględnia nagłej, zwiększonej liczby zgłoszeń, np. w wyniku zmasowanego ataku hackerskiego, jaki miał miejsce niedawno. Trudność stanowi już sama rejestracja zgłoszeń, a co dopiero ich rozpatrywanie.
Wspomnieliśmy o przygotowaniu dużych firm, a jak to wygląda w przypadku sektora MSP?
Piotr Łukasiewicz: Małe firmy na razie nie mają pojęcia, jak podejść do problemu zgodności z RODO. Możemy prowadzić kampanie informacyjne, ale – jak zauważyliście – sami jeszcze nie wiemy, jak będą wyglądały polskie przepisy i procedury prawne. Odbieramy wiele zapytań od klientów o technologiczne rozwiązania poszczególnych zapisów rozporządzenia. Dotyczą np. problemu zrealizowania w praktyce prawa do zapomnienia. Konieczne jest posiadanie odpowiednich procedur i technologii umożliwiającej usunięcia danych tych klientów z istniejącej infrastruktury, a wcześniej namierzenia, w których miejscach się znajdują.
Firmy z sektora MSP mają – mniej lub bardziej spełniające RODO – systemy backupu. Nie mają jednak odpowiednich systemów nadzoru nad bezpieczeństwem danych, raportowania, czy też możliwości udowodnienia kontrolerowi – lub audytorowi – że wymagane procedury są spełnione. Klienci bardzo często pytają także jak standardowy, stosowany przez nich backup zamienić na rozwiązania do archiwizacji dodatkowo wyposażone w systemy do szyfrowania i pseudonimizacja. Sektor MSP szuka rozwiązań, które im to ułatwią.
Witold Małaszuk: W mojej firmie od dawna trwa proces zmierzający do tego, aby dane osobowe znajdowały się w jednej kartotece udostępniającej zasoby innym systemom. Dodatkowo inne procesy funkcjonują w windykacji, a inne u sprzedawców. Centralna kartoteka klientów to najlepsze rozwiązanie, ale zapewne każdy z działów będzie mimo to chciał zrobić sobie plik tymczasowy z potrzebnymi danymi. Centralna kartoteka nie zabezpiecza nas więc przed ich skopiowaniem i to jest problem… Chyba nie ma jednego dobrego pomysłu na to, jak to zrobić. Centralizacja to większe ryzyko awarii i utraty dostępności do danych. Z punktu widzenia zaś prawa do „bycia zapomnianym”, centralizacja ułatwia całą procedurę.
Często pojawia się pytanie jak zacząć? Należałoby rozpocząć od analizy ryzyka, co zresztą jest podkreślane w RODO. W Oracle zwracamy uwagę, że firmy powinny koncentrować się na obszarach wysokich ryzyk. Wspieramy klientów w mapowaniu poszczególnych wymogów zawartych w RODO i przekładaniu tego na konkretne rozwiązania technologiczne. Jednak to, które z nich klient wybierze i na co położy nacisk to już jego indywidualna decyzja – mówi Krzysztof Grabczak, dyrektor sprzedaży systemów bezpieczeństwa, Oracle Polska.
Piotr Łukasiewicz: Czyli konieczny jest nieustanny monitoring czy też sprawny system wyszukiwania kopii danych osobowych, wędrujących gdzieś pośród pracowników…
Witold Małaszuk: Nie znając skali ryzyka zakładam najgorsze, czyli to, że wszędzie przetwarzane są dane osobowe, które muszę chronić. Zakładam też, że musze mieć dla nich kopie zapasowe oraz przeprowadzać ciągłą analizę ryzyka.
Janusz Hadryś: W naszym przypadku np. w każdym z marketów OBI mamy wypożyczalnię przyczep. Dane zbierane w związku z ich wypożyczeniem trzymane są lokalnie na komputerze PC. Jak przeanalizować ryzyko w ich przypadku? Warto też pamiętać, że podstawowe dane na nasz temat są wszędzie: w spółdzielni mieszkaniowej, elektrowni, gazowni, u kilku operatorów, banków, firm ubezpieczeniowych…
Michał Jaworski: Podstawowe pytanie powinno więc brzmieć: czy chronić za wszelką cenę dane, czy zapobiegać ich nieodpowiedniemu użyciu. Spełnienie wymogów RODO to znaczący koszt mogący stanowić o przewadze konkurencyjnej. Co się stanie, gdy jedna firma poniesie te koszty, a jej konkurent postanowi zaoszczędzić?
Cezary Piekarski: A co z konkurencyjnością europejskich gospodarek? Koszt zapewnienia ochrony danych może być nieproporcjonalnie wyższy dla podmiotów unijnych niż w przypadku firm spoza Unii Europejskiej. Już prawo do zapomnienia – a termin ten pojawił się jeszcze przed RODO – pokazuje, że regulatorzy nie do końca rozumieją swoje intencje i zaczynają tworzyć przepisy prawa, które będą ze sobą sprzeczne.
W pierwszej kolejności sprawdzamy każdy z produktów, artykuł po artykule jego zgodność z rozporządzeniem. Potem opracowujemy narzędzia do obsługi wymagań RODO, pozwalające szybko sprawdzić, gdzie są dane, jak je zabezpieczyć i jak nimi zarządzać. Trzeci krok to dopasowanie naszych umów do wymagań RODO. Jeśli chcemy świadczyć usługi chmurowe to jest to konieczne. Czwarta część naszych przygotowań to współpraca z klientami – mówi Michał Jaworski, członek zarządu Microsoft Polska.
Andrzej Sobczak: Urzędnicy tworzą przepisy wygodne dla siebie. De facto każda firma, która zatrudnia ludzi musi być w jakimś stopniu gotowa na RODO, bo rozporządzenie to obejmuje także dane osobowe pracowników. Tymczasem już w przypadku kilkuset osobowej firmy to duże wyzwanie. A co z CV, które potencjalni kandydaci przesyłają, a które następnie się drukuje, kopiuje, przesyła dalej?
Michał Jaworski: Niuanse te powinny zostać wyjaśnione w przepisach tworzonych w kodeksach postepowania.
Andrzej Sobczak: Jest już nawet w propozycji ustawy zapis o tzw. najlepszych praktykach. Wg mnie to próba wrzucenia granatu i zobaczenia, co się stanie. Nie wierze w to, że urzędy stworzą praktyczny zestaw reguł. Świadczy o tym najlepiej aktualnie obowiązujące rozporządzenie Ministra Spraw Wewnętrznych o warunkach technicznych systemów informatycznych nie odpowiadające dzisiejszym wyzwaniom i potrzebom (z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – DZ. U. Z 2004 R. NR 100, POZ. 1024). Mamy mnóstwo światowych regulacji i standardów dla różnych sektorów: COBIT, ITIL, ANSI, ISO. Będziemy tworzyć kolejne? Jeśli powstanie zbyt wiele kodeksów, zabraknie energii, aby się do nich stosować.
Michał Jaworski: Ten rok i następne 2-3 lata będą bardzo istotne dla wszystkich. Może się okazać, że nowe przepisy będą stanowiły bardzo duże ograniczenie, będą przypominać początki rozwoju rynku motoryzacyjnego, kiedy – ze względów bezpieczeństwa – przed każdym samochodem biegł człowiek z czerwona flagą, aby ostrzegać pozostałych uczestników ruchu. Być może – gdy zacznie okazywać się, że przepisy zbytnio ograniczają możliwość prowadzenia działalności a cała działalność z wykorzystaniem nowych technologii stanie w miejscu – może będzie to sygnał do zmiany przepisów? Może zostaną ograniczone do aspektów związanych z niewłaściwym użytkowaniem danych?
Joanna Karczewska: Zanim w czerwcu pojawi się właściwy projekt ustawy, mamy do dyspozycji najnowszą „zapowiedź zapowiedzi”. Dr Maciej Kawecki zapewniał, że ministerstwo chętnie wysłucha uwag. Jedna podstawowa, zgłoszona już przez nas dotyczy tego, aby nie wprowadzać różnicowania podmiotów. Obecnie bowiem proponuje się, aby część administracji publicznej wyłączyć, nie karać w ogóle za naruszenie przepisów RODO, część karać do kwoty nie wyższej niż 100 tys. zł, a prywatne firmy mają podlegać maksymalnym karom przewidywanym przez to rozporządzenie, czyli do wysokości 4% swoich rocznych obrotów.
W Hewlett Packard Enterprise mamy trzy główne sposoby podejścia do problemu. Wpierw analizujemy obszary, których RODO w danej organizacji dotyczy. Potem sprawdzamy, jakie narzędzie i oprogramowanie do zarządzania zbiorami danych może być wykorzystane. Wreszcie przechodzimy do wdrażania procedur związanych z bezpieczeństwem, w tym m.in.: wykrywaniem incydentów, pseudonimizacją danych, backupem i archiwizacją – mówi Michał Zajączkowski, HPE Pointnext Leader & Board Member, Hewlett Packard Enterprise.
Andrzej Sobczak: Pomysły zwalniające urzędy z odpowiedzialności w ustawie są oburzające. Dotyczą bowiem tych, które mają najbardziej wrażliwe dane obywateli. Możemy pilnować bezpieczeństwa w małych i dużych firmach, bankach, call center… Tymczasem najbardziej wrażliwe dane o wszystkich obywatelach są w urzędach właśnie. Wygląda, że władza chce mieć monopol na zaniedbania.
Krzysztof Grabczak: Sektor publiczny nie podlegał regulacjom sektorowym, tak jak to jest w przypadku sektora finansowego lub telekomunikacyjnego. Z tego względu będzie miał zapewne więcej pracy do wykonania. Jak widać z projektu ustawy w stosunku do sektora publicznego nie będzie stosowanych tak dotkliwych kar jak w przypadku firm z sektorów komercyjnych. To budzi moje obawy, czy będzie wystarczająca motywacja dla zmian oraz czy wystarczy czasu, aby je wdrożyć przed majem 2018.
W jaki sposób wg Państwa będą wyglądać kontrole nowego Urzędu Ochrony Danych Osobowych?
Krzysztof Grabczak: Jeśli przyjdzie audytor z nowego urzędu nadzorującego na kontrolę, powinien pytać w pierwszej kolejności, co zrobiliśmy, aby do naruszenia bezpieczeństwa nie doszło.
Andrzej Sobczak: Niestety urzędy w Polsce działają tak od podatków po regulacje. Jest np. propozycja, aby można było zrobić niezliczoną liczbę niezapowiedzianych kontroli jednocześnie. Tymczasem 5 kontroli jednocześnie przez 2 miesiące to dla firmy to wyrok śmierci.
Witold Małaszuk: Wierzymy w to, że nowy Urząd Ochrony Danych Osobowych będzie bardziej przyjazny.
Joanna Karczewska: Teoretycznie tak ma być, jak deklarują przedstawiciele Ministerstwa Cyfryzacji.
Krzysztof Grabczak: Podstawą musi być pytanie, co zostało zrobione, aby uzyskać zgodność.
RODO to nie tylko działania prawne i procesowe, ale również konkretne zmiany i implementacje wspierających systemów informatycznych – zarówno z obszaru bezpieczeństwa jak i zarządzania danymi. Usługi klasyfikacji danych i idące w ślad za nimi odpowiednie technologie (backup, archiwizacja, indeksowanie) pomogą zapewnić postulowane przez RODO poziomy ochrony danych, odpowiednio krótką ich retencję oraz różne SLA dla usług związanych z danymi osobowymi – mówi Piotr Łukasiewicz, Senior Consultant, Commvault.
Joanna Karczewska: U nas stosowanie norm jest dobrowolne, standardy różne, zostaje to, co jest w ustawie bądź rozporządzeniu lokalnym. Kontrola związana z dostosowaniem się do GDPR powinna być przeprowadzana na podstawie określonych zasad. W rozporządzeniu jest wpisane słowo „audyt”. Audyt oznacza weryfikacje wg. przyjętych kryteriów oceny. Musimy ustalić punkt odniesienia, aby się do niego odnieść. Bez nich rekomendacje mogą wydawać konsultanci. Audytorzy potrzebują wyraźnych kryteriów. To podstawa naszej pracy.
Legislatorzy w Polsce wycofują się ze słowa audyt na rzecz kontroli. Twierdzą, że kontrola w Polsce lepiej się… przyjęła, choć w Europie obowiązuje audyt. To oznacza jednak, że nie będą oni zobowiązani do przestrzegania ścisłych kryteriów oceny. Tymczasem normy są takie same na całym świecie. Jeżeli mówimy o zgłaszaniu incydentów, to jest tylko jedna dobra praktyka wpisana do norm i standardów: przyjmuj wszystkie zgłoszenia, analizuj i podejmuj kroki naprawcze.
Notował Bartosz Ciszewski