Cyberbezpieczeństwo
RODO: jakie będą rola i możliwości działania UODO
Czy powinniśmy bać się RODO? Jakie mogą być ograniczenia w działaniu Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych? Jakie będą różnice między UODO a GIODO? Jaka jest rola Izb Gospodarczych w przygotowaniu firm do RODO? Czym zajmie się Rada ds. Ochrony Danych Osobowych? W jaki sposób przygotować się do kontroli UODO i jak będzie ona wyglądała?
POTENCJALNE OGRANICZENIA W DZIAŁANIU URZĘDU OCHRONY DANYCH OSOBOWYCHKonrad Kobylecki, CIO w Netii (KK): Czy instytucja powstała na skutek RODO będzie weryfikować przypadki kradzieży danych?
Maciej Kawecki, kierujący Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych (MK): Nie reprezentuje organu nadzorczego. Nasza rola kończy się na tworzeniu prawa i projektowaniu organu nadzorczego. Tydzień temu na debacie „Dziennika Gazety Prawnej” doszliśmy do ciekawych wniosków. Redaktor zadał pytanie: czy powinniśmy się bać RODO? Jej uczestnicy doszli do wniosku, że to będzie zależało od prezesa Urzędu Ochrony Danych Osobowych i od efektywności jego działania. Na pewno można powiedzieć, że nad tą efektywnością w Polsce zbierają się czarne chmury.
We wszystkich państwach Unii Europejskiej nie przewidziano jednak jednej rzeczy, RODO wymusiło wyprodukowanie ogromnej ilości specjalistów od ochrony danych osobowych, którzy są teraz rozchwytywani. Widzę to po pracownikach w moim departamencie. Dostają ogromne ilości ofert pracy, chociaż zajmują się także innymi rzeczami i nie są aż takimi specjalistami od danych osobowych, jak pracownicy dzisiejszego GIODO. Nie chcę sobie nawet wyobrażać, jak oni są intensywnie rekrutowani.
Proszę sobie wyobrazić, że w tej sytuacji nowy urząd musi jednocześnie podwoić liczbę pracowników. Muszą znaleźć w Warszawie 200 osób, które naprawdę chcą i potrafią wgłębić się w temat, a jednocześnie będą chciały zostać w urzędzie, który nie jest w stanie im zapewnić wynagrodzenia na tym samym poziomie co firmy komercyjne.
Jednocześnie trzeba pamiętać, że 26 maja 2018 roku organ zostanie zalany wnioskami certyfikacyjnymi, wnioskami o zatwierdzenie kodeksów branżowych, o konsultacje itd. Oba te czynniki będą bardzo ważne, bo będą zawarte w Specyfikacjach Istotnych Warunków Zamówienia. Klienci będą tego wymagać, bo to może wpłynąć na wymiar ewentualnych kary za nie spełnienie wymogów RODO. Dodatkowo Urząd będzie prowadził normalną działalność, taką jak dzisiaj GIODO. Zakładam, że też działalność edukacyjną. Jednocześnie nowy organ zacznie dostawać wnioski o współpracę od innych urzędów nadzorczych. To wymaga nieprawdopodobnie sprawnej organizacji urzędu.
Zorganizowanie sprawnego organu nadzorczego będzie ogromnym wyzwaniem i to dotyczy wszystkich krajów. Wiem, że w brytyjskim odpowiedniku GIODO mają jeszcze większe problemy z kadrami. Tam liczba pracowników spadła dramatycznie.
We wszystkich państwach Unii Europejskiej nie przewidziano jednej rzeczy, RODO wymusiło wyprodukowanie ogromnej ilości specjalistów od ochrony danych osobowych, którzy są teraz rozchwytywani. Widzę to po pracownikach w moim departamencie. Dostają ogromne ilości ofert pracy, chociaż zajmują się także innymi rzeczami i nie są aż takimi specjalistami od danych osobowych, jak pracownicy dzisiejszego GIODO. Nie chcę sobie nawet wyobrażać, jak oni są intensywnie rekrutowani. Zorganizowanie sprawnego organu nadzorczego będzie ogromnym wyzwaniem i to dotyczy wszystkich krajów – mówi Maciej Kawecki, kierujący Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych.
KK: Załóżmy, że nastąpi katastrofa. Co wówczas będzie się działo?
INSTYTUCJE WSPIERAJĄCE WE WDROŻENIU RODOMK: Jeżeli tak będzie, to zareagować będzie musiał ustawodawca. Będzie musiał jakoś prawnie wesprzeć organ, np. przez przemodelowanie mechanizmu certyfikacji, co zresztą staramy się robić już dziś. Jednocześnie apelujemy do izb gospodarczych, aby odciążali go, poprzez kodeksy branżowe, swego rodzaju wewnętrzne samoregulacje. Izby będą grały bardzo ważną rolę we wdrażaniu RODO.
Przemysław Mazurkiewicz, dyrektor Działu System Engineering w regionie EMEA East w Commvault (PM): Czy będą państwo dawać jakąś wykładnię dotyczącą zakresu kontroli?
MK: Gdybyśmy to zrobili, weszlibyśmy w buty GIODO i nowego urzędu. Aczkolwiek jesteśmy coraz bliżsi takiego rozwiązania.
Grupa Robocza Art. 29 to unijne forum współpracy organów ochrony danych osobowych. Wydaje opinie dokonując wykładni przepisu ogólnego rozporządzenia. Niestety są one mało przydatne, bo pisane trudnym do zrozumienia, skierowanym do specjalistów od ochrony danych osobowych. Tymczasem mają być adresowane do każdego przedsiębiorcy.
Dlatego Komisja Europejska powołała konkurencyjną grupę ekspertów ds. wdrożenia rozporządzenia o ochronie danych osobowych – Multistakeholder Expert Group To Support The Application Of Regulation (EU) 2016/679 (E03537). Jej celem będzie wydawanie opinii w postaci prostych wytycznych przedstawionych w formie graficznej. Będą one w praktyczny sposób wskazywała, na co zwrócić uwagę w zakresie RODO, jeśli np. prowadzisz hotel.
Wydaje mi się, że jeśli pojawiłyby się oprócz Grupy Roboczej i grupy eksperckiej jeszcze dodatkowo wykładnie poszczególnych państw, to mogłoby to wprowadzić bardzo duże zamieszanie.
To co zrobimy my, to wydanie prostego przewodnika po najczęściej adresowanych do Ministra Cyfryzacji problemach.
Powstanie zapewne zjawisko uciekania do porządków prawnych innych państw – tańszych, szybszych, skuteczniejszych. To oczywiście jest niekorzystne dla budżetu państwa, bo środki za certyfikację trafiają gdzie indziej. Jest jeszcze jedno zagrożenie. W Polsce według projektu wydanie certyfikatu to oplata w wysokości trzykrotności średniego wynagrodzenia, czyli ok. 12-13 tys. zł. W Niemczech i we Francji będzie to na pewno dużo więcej. Polski organ może więc otrzymywać dużą liczbę wniosków o certyfikat z innych państw członkowskich.
Michał Jarski, dyrektor zarządzający i wiceprezes odpowiedzialny za region EMEA w Wheel Systems (MJ): Jakie będą priorytety nowego organu nadzorczego?
MK: Normalnie powiedziałbym, że będzie to przeciwdziałanie wyciekom i przeprowadzenie postępowania, jeśli do nich dojdzie. Ale tak naprawdę jest to trudne do przewidzenia, bo mogą pojawić się inne, pilne zadania. Poza tym na pytanie powinien odpowiedzieć organ, nie resort. Przykładowo mogę jednak powiedzieć, że słyszałem ostatnio i problemach w sektorze energetycznym. Działające na nim firmy ogólnoeuropejskie są monopolistami, operującymi miliardami euro. Obsługują ich m.in. polscy dostawcy. Jeżeli taki duży zleceniodawca z tego sektora wskazuje jako warunek przystąpienia do przetargu certyfikat zgodności z RODO, to w przypadku, gdy polski organ nie zdąży go wystawić na czas, to rodzimi dostawcy dosłownie go „rozniosą”.
UCIEKANIE OD PORZĄDKÓW PRAWNYCH INNYCH PAŃSTWCo więcej, powstanie zjawisko uciekania do porządków prawnych innych państw – tańszych, szybszych, skuteczniejszych. To oczywiście jest niekorzystne dla budżetu państwa, bo środki za certyfikację trafiają gdzie indziej. Jest jeszcze jedno zagrożenie. W Polsce według projektu wydanie certyfikatu to oplata w wysokości trzykrotności średniego wynagrodzenia, czyli ok. 12-13 tys. zł. W Niemczech i we Francji będzie to na pewno dużo więcej. Polski organ może więc otrzymywać dużą liczbę wniosków o certyfikat z innych państw członkowskich.
RÓŻNICE MIĘDZY GIODO A URZĘDEM OCHRONY DANYCH OSOBOWYCHAdam Jadczak, redaktor naczelny ITwiz: Dlaczego powstaje nowy urząd? W innych krajach słyszałem, że pozostaną stare…
MK: Dlaczego nowa nazwa i nowa procedura powoływania?
RODO posługuje się nazwą Inspektora Ochrony Danych, który jest zatrudniony przez przedsiębiorcę i pracuje wewnątrz jego firmy. Dlatego nie możemy tworzyć Generalnego Inspektora Ochrony Danych. Musimy go jakoś odróżnić. Byłem ogromnym zwolennikiem zmiany nazwy, chociaż wiem, że inspektor utrwalił się już w świadomości społecznej.
Natomiast zmiana pozycji ustrojowej wynika z oceny działania obecnego organu przez Minister Cyfryzacji. Ma to być organ niezależny, ale trzeba też dopuścić do jego struktury inne środowiska, w tym przedstawicieli administracji rządowej. Ma działać lepiej. Nie ma to być zamknięta twierdza, do której nie docierają informacje z rynku, administracji, poszczególnych resortów. Organ będzie miał zastępców reprezentujących różne środowiska. Nie wykluczamy jednak zmian w przygotowywanej ustawie.
W ramach Związku Pracodawców Branży Internetowej IAB Polska przygotowujemy już kodeksy postępowania. Mamy pierwszy rozdział, gdzie wyjaśniamy co to dana osobowa, czym jest animizacja, pseudonimizacja i czekamy na opinię GIODO. Czekamy już kilka tygodni nawet na nieoficjalne spotkanie. Brak możliwości konsultacji utrudnia tymczasem nasze dalsze prace nad kodeksem. Zależy nam na informacji, jak daleko możemy pozwolić sobie zejść od ogółu do szczegółu? Kiedy np. gubienie relacji między poszczególnymi danymi pozwala na traktowanie ich jako anonimowe – mówi Mariola Więckowska, Administrator Bezpieczeństwa Informacji, Allegro.
KK: Jak to się ma do izb gospodarczych?
MK: Wprowadziliśmy je w procedurę powoływania Rady ds. Ochrony Danych Osobowych.
Mariola Więckowska, Administrator Bezpieczeństwa Informacji, Allegro (MW): W ramach Związku Pracodawców Branży Internetowej IAB Polska przygotowujemy już kodeksy postępowania. Mamy pierwszy rozdział, gdzie wyjaśniamy co to dana osobowa, czym jest animizacja, pseudonimizacja i czekamy na opinię GIODO. Czekamy już kilka tygodni nawet na nieoficjalne spotkanie. Brak możliwości konsultacji utrudnia tymczasem nasze dalsze prace nad kodeksem. Zależy nam na informacji, jak daleko możemy pozwolić sobie zejść od ogółu do szczegółu? Kiedy np. gubienie relacji między poszczególnymi danymi pozwala na traktowanie ich jako anonimowe.
PRZYGOROWANIE SIĘ DO KONTROLI URZĘDUPM: Czy ktoś wie, jak będzie wyglądał audyt dostosowania do RODO? Czy będą się skupiać na procedurach i ich implementacji, czy może odbywać się będzie losowa kontrola pracowników i ich komputerów, w celu sprawdzenia, czy nie znajdują się na nich dane osobowe.
W oryginale rozporządzenia o RODO jest mowa o audytach, gdzie audytowany może sięgnąć do kryteriów oceny i wie co zrobić. Natomiast kontrola może odbywać się na zasadzie „nam się wydaje, że to jest backup, a nie archiwum”. Przy tak wysokich karach będzie stać firmy na zatrudnienie fachowców, którzy w sądach udowodnią, że np. przyszedł niedouczony kontroler. Na kontrolę nie może więc przyjść przypadkowa osoba – mówi Joanna Karczewska, członek zarządu ISACA Warszawa.
Joanna Karczewska, członek zarządu ISACA Warszawa (JK): Niestety nie będzie to audyt, a kontrola. Tymczasem przy tak dużych, grożących przedsiębiorcom karach, nie może przyjść osoba przypadkowa na kontrolę. Jako audytor szkolący kontrolerów, widzę różnicę. Pierwszą rzecz, jaką robię, to wyznaczam kryteria oceny. Przy wyznaczonych kryteriach obie strony wiedzą, jaka jest skala oceny. To jest czysta sytuacja.
W oryginale rozporządzenia o RODO jest mowa o audytach, gdzie audytowany może sięgnąć do kryteriów oceny i wie co zrobić. Natomiast kontrola może odbywać się na zasadzie „nam się wydaje, że to jest backup, a nie archiwum”. Przy tak wysokich karach będzie stać firmy na zatrudnienie fachowców, którzy w sądach udowodnią, że np. przyszedł niedouczony kontroler.
MJ: To zależy, co będzie źródłem kontroli. Ta zaś może być efektem skargi osoby fizycznej, także zleconej przez konkurencję. Może być to skarga wspomnianej wyżej fundacji lub stowarzyszenia. Wreszcie może to być kontrola w wyniku wycieku danych, a wtedy sprawa jest poważniejsza. Tutaj kluczowa może okazać się dostępność dokumentacji poszczególnych zdarzeń, procesów. Chodzi o szybkie dojście do źródła problemu oraz udowodnienie (także przed sądem), kto odpowiada za wyciek danych.
MW: Teraz cała odpowiedzialność spoczywa na nas. Jednak dzięki kodeksom branżowym, będziemy mogli udowodnić, że właściwie podeszliśmy do tematu RODO.
Janusz Stawski, Główny Specjalista, Wydział Informatyki, GDDKiA (JS): My podchodzimy do dostosowania się do RODO procesowo, a nie bazodanowo. Jesteśmy na etapie analizy procesów wewnętrznych. Mamy też trochę zewnętrznych problemów. RODO wchodzi w życie w maju 2018 roku, a już w listopadzie zmieni się operator Krajowego Systemu Poboru Opłat. Przejmie go Generalny Inspektor Transportu Drogowego. Zgodnie z umową z firmą Kapsch to GDDKiA winno przejąć system i urządzenia, jednak czynimy starania, aby odbyło się to także z udziałem przedstawicieli GITD. Wspólnie także będziemy musieli się przyjrzeć sprawie ochrony danych osobowych.
Dodatkowo sprawę komplikuje wdrożenie inteligentnych systemów transportowych ITS. Dzięki nim będziemy mogli śledzić ruch pojazdów. Na podstawie tablic będziemy mogli rozpoznać przemieszczanie się dowolnego pojazdu w całej naszej sieci. Nie możemy zrezygnować z pobierania tych danych, bo uchwycenie ruchu tego pojazdu pozwala nam na wyznaczenie macierzy potoków ruchu – źródło-cel – a także na opracowywanie prognoz ruchu. Jednak w ramach systemu nastąpi automatyczna anonimizacja danych. Numer będzie szyfrowany jednostronnym algorytmem. Dla systemu nie są bowiem istotne rzeczywiste tablice rejestracyjne, a tylko jakiś unikalny identyfikator.
Źródłem kontroli może być skarga osoby fizycznej, także zleconej przez konkurencję. Może to być też skarga specjalizującej się w tym fundacji lub stowarzyszenia. Wreszcie może to być kontrola w wyniku wycieku danych. Wtedy sprawa jest poważniejsza. W tym przypadku, w czasie kontroli kluczowa może okazać się dostępność dokumentacji poszczególnych zdarzeń, procesów. Chodzi o szybkie dojście do źródła problemu oraz udowodnienie (także przed sądem), kto odpowiada za wyciek danych – mówi Michał Jarski, dyrektor zarządzający i wiceprezes odpowiedzialny za region EMEA w Wheel Systems.
JK: Powinniście się przygotować na to, że ktoś was np. pozwie. Przez 3 miesiące będziecie bowiem nadal administratorem danych…
JS: Przecież cały czas jesteśmy administratorem i właścicielem danych gromadzonych w ramach KSPO. Wcześniej jednak musielibyśmy upublicznić dane, a tego nie robimy. Dane atomowe nie są dostępne, publikowane są tylko dane statystyczne. Trzymamy je tylko w bazie danych, z której są dostępne tylko dla służb. To nasz prawny obowiązek.
AJ: Jak powinniśmy zareagować na wyciek danych?
MJ: Dane osobowe nigdy nie będą w 100 proc. bezpieczne. Niezależnie od zabezpieczeń, pracownik, np. administrator, będzie miał dostęp do danych. Tak było w przypadku Snowdena, osób stojących za Panama Papers, jak również wszystkich większych afer związanych z wyciekiem informacji. Użytkownicy uprzywilejowani mogą robić w systemie co tylko dusza zapragnie. Bez systemu kontrolującego i zapisującego ich działania organizacja jest bezradna – nie wie kto i co ukradł lub zmodyfikował. Ślady są perfekcyjnie zatarte. A gdy następuje wyciek, czas zaczyna nagle bardzo szybko płynąć. Mamy 72 godziny na reakcje, w tym powiadomienie Urzędu Ochrony Danych Osobowych i naszych klientów…
Podchodzimy do dostosowania się do RODO procesowo, a nie bazodanowo. Jesteśmy na etapie analizy procesów wewnętrznych. Mamy też trochę zewnętrznych problemów. RODO wchodzi w życie w maju 2018 roku, a już w listopadzie zmieni się operator Krajowego Systemu Poboru Opłat. Przejmie go Generalny Inspektor Transportu Drogowego. Zgodnie z umową z firmą Kapsch to GDDKiA winno przejąć system i urządzenia, jednak czynimy starania, aby odbyło się to także z udziałem przedstawicieli GITD. Wspólnie także będziemy musieli się przyjrzeć sprawie ochrony danych osobowych – mówi Janusz Stawski, Główny Specjalista, Wydział Informatyki, GDDKiA.
MW: Średni czas od ataku do ujawnienia wycieku to 200 dni, natomiast organizacje mają tylko 72 godziny od jego wykrycia na zbadanie przyczyn incydentu i jego zgłoszenie. Mam też możliwość wyboru – w zależności od rozmiaru wycieku – kogo informuję, czy będzie to tylko PUODO, czy również klienci. Jeśli wybiorę tę pierwszą opcję, to niejasne jest w jakim terminie organ nadzorczy przeanalizuje zdarzenie i wskaże konieczność poinformowania klientów?
JK: Zanim wyślesz zgłoszenie masz prawo skonsultować je z organem nadzorczym i od niego uzyskać odpowiedź. Jak długo urzędowi to zajmie? Tego niestety nie wiemy…
Notował Bartosz Ciszewski