Cyberbezpieczeństwo

RODO: jakie są najważniejsze obszary ryzyka z ochroną danych osobowych?

W jaki sposób dostosować swoją firmę do rozporządzenia RODO? Jak zdefiniować obszary obarczone ryzykiem i przygotować wytyczne związane z bezpieczeństwem danych osobowych? Dlaczego ważna jest analiza przepływu danych w organizacji? Jak odróżnić surowe dane osobowe od informacji osobowych? Dlaczego niektóre firmy rezygnują ze zbierania i przetwarzania danych osobowych? Wpływ RODO na prowadzenie działalności gospodarczej? W jaki sposób będą dochodzone roszczenia i naliczane ewentualne kary?

OBSZARY RYZYKA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH

Adam Jadczak, redaktor naczelny ITwiz (AJ): Jakie są przykładowe ryzyka związane z ochroną danych osobowych w firmach?

Maciej Kawecki, kierujący Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych (MK): Wczoraj miałem spotkanie z izbą hotelarską i zadano mi pytanie, gdzie w ich przypadku natknąć mogą się na ryzyka? Pierwszy obszar ryzyka to skany dowodów osobistych na recepcji. Drugi to sposób realizowania obowiązku informacyjnego, który można zrealizować np. poprzez naklejki w widocznych miejscach. Trzeci to zasady monitoringu wizyjnego obejmującego stołówki, SPA, przebieralnie. Czwarty to gromadzenie danych wrażliwych, np. klienci SPA podają informacje o chorobach skóry, kręgosłupa, problemów z ciśnieniem. Na zbieranie tych danych musi być wyrażona zgoda, a nie widziałem, aby pracownicy hoteli je zbierali. Piąty obszar ryzyka to restauracje. Za informacje wrażliwe można uznać to, czy ktoś je potrawy bezglutenowe, a niekiedy restauracje gromadzą informacje o wyznaniach, bo od tego też zależy dieta.

W przypadku każdej branży warto więc wyodrębniać obszary ryzyka. W szpitalu czy przychodni istotny jest moment przyjmowania pacjenta, zwłaszcza na recepcji, gdy pacjent przychodzi do takich specjalistów, jak psycholog lub seksuolog. Informacje o wizycie u nich też należy uznać za informację wrażliwą. Dobrym rozwiązaniem jest stworzenie anonimowej procedury oraz odpowiednie zabezpieczenie w zakresie przechowywania dokumentacji medycznej. Z kolei w banku też pobierane są skany dowodów osobistych np. w celu oceny naszej zdolności kredytowej.

Trzeba zmienić podejście do analizy zgodności z RODO. Nie należy wychodzić od analizy poszczególnych zbiorów danych osobowych. Liczy się przepływ danych np. od momentu wejścia gościa do hotelu. Potem trzeba przeanalizować wszystkie sytuacje, gdy pobierane są od niego dane i co się z nimi dzieje. Dopiero gdy wiemy, co się z nimi dzieje, możemy stwierdzić, czy i w jakim zakresie przetwarzamy dane oraz jak je zabezpieczyć – mówi Joanna Karczewska, członek zarządu ISACA Warszawa.

Mariola Więckowska, Administrator Bezpieczeństwa Informacji, Allegro (MW): W przygotowywanym przez IAB Polska kodeksie mamy zdefiniowane obszary obarczone ryzykiem i w ramach tego przygotowujemy wytyczne.

KONIECZNA ANALIZA PRZEPŁYWU DANYCH KLIENTÓW

Joanna Karczewska, członek zarządu ISACA Warszawa (JK): Potwierdził Pan to, o czym mówię od jakiegoś czasu. Trzeba zmienić podejście do analizy zgodności z RODO. Nie należy wychodzić od analizy poszczególnych zbiorów danych osobowych. Liczy się przepływ danych np. od momentu wejścia gościa do hotelu. Potem trzeba przeanalizować wszystkie sytuacje, gdy pobierane są od niego dane i co się z nimi dzieje. Dopiero gdy wiemy, co się z nimi dzieje, możemy stwierdzić, czy i w jakim zakresie przetwarzamy dane oraz jak je zabezpieczyć.

MK: Dokładnie. Sprawdzamy, co dzieje się z danymi gości, pracowników, kontrahentów… To jest o wiele prostsze niż operowanie na zbiorach, bo one są trochę odrealnione od obowiązujących w firmach procedur. Mamy zbiór klientów w hotelu, ale jest on wykorzystywany w kilkudziesięciu różnych czynnościach i w kilku różnych systemach. Belgijska Komisja Prywatności wydala rekomendację na temat rejestru czynności – Recommandation relative au Registre des activités de traitements (article 30 du RGPD) (CO-AR-2017-011). Na jej końcu załącza tabelę, którą można skopiować (goo.gl/FZi4VB).

Konrad Kobylecki, CIO w Netii (KK): Dane zebrane w procesie czynności związanych z obsługą klienta są zbierane do różnych systemów. Aby dobrze zidentyfikować te miejsca, trzeba zrobić audyt wszystkiego. Nie można wyobrazić sobie większego projektu.

W przypadku każdej branży warto wyodrębniać obszary ryzyka. W szpitalu czy przychodni istotny jest moment przyjmowania pacjenta, zwłaszcza na recepcji, gdy pacjent przychodzi do takich specjalistów, jak psycholog lub seksuolog. Informacje o wizycie u nich też należy uznać za informację wrażliwą. Dobrym rozwiązaniem jest stworzenie anonimowej procedury oraz odpowiednie zabezpieczenie w zakresie przechowywania dokumentacji medycznej. Z kolei w banku pobierane są skany dowodów osobistych np. w celu oceny naszej zdolności kredytowej. W hotelu zaś obszary ryzyka to: skany dowodów osobistych na recepcji; monitoring wizyjny, czy gromadzenie danych wrażliwych, np. od klientów SPA.

MK: To prawda. To też ogromne wyzwanie.

KK: To z założenia się nie uda. Każdy przedsiębiorca musi bowiem pod kątem RODO zrobić największy projekt, jakiego dokonał w życiu.

MW: Ale tak się to dokładnie dzieje.

KK: Czy wiele organizacji na to stać? Ile jest firm, które nie mają odpowiedniego budżetu?

MK: Im więcej gromadzonych danych osobowych, tym więcej obowiązków. Ale też – w założeniu – im więcej przedsiębiorca gromadzi danych, tym więcej na nich „zarabia”. Dane dziś to pieniądze. Dla dużego serwisu aukcyjnego istotą jest gromadzenie danych osobowych. Ma środki, aby wdrożyć RODO i przemapować swoje systemy. Z drugiej strony także zakład fryzjerski musi przygotować się do nowego rozporządzenia, ale koszty dla niego są dużo mniejsze. Praktycznie sprowadzają się do reorganizacji jednego punktu, recepcji.

PRZECHOWYWANIE DANYCH W KONTEKŚCIE ICH WARTOŚCI

Michał Jarski, dyrektor zarządzający i wiceprezes odpowiedzialny za region EMEA w Wheel Systems (MJ): Dotarliśmy do sedna problemu. Wielu przedsiębiorców nawet sobie nie zdaje sprawy z tego, że dysponuje informacjami, które mają wartość. Tak, jak w przypadku SPA w hotelu. Zbierane tam dane dotyczą zdrowia pacjenta, są więc bardzo wrażliwe. Założę się jednak, że hotel nic z nimi nie robi. Mają dla niego zerową wartość. Są potrzebne do przeprowadzenia zabiegu, ale nie stanowią wartości z punktu widzenia analiz Big Data. Jest tak dopóki tego ktoś nie wykorzysta biznesowo – jawnie lub niejawnie – np. do sprzedaży kolejnych usług.

Dane zebrane w procesie czynności związanych z obsługą klienta są zbierane do różnych systemów. Aby dobrze zidentyfikować te miejsca, trzeba zrobić audyt wszystkiego. Nie można wyobrazić sobie większego projektu – mówi Konrad Kobylecki, CIO w Netii.

MW: Zakład fryzjerski jest tu dobrym przykładem. Załóżmy, że strona www zakładu nie zbiera cookies, aby profilować klienta. Jej właściciela interesuje tylko ile osób kliknęło na konkretną fryzurę. W tym przypadku to nie są dane osobowe. Można więc przetwarzać je na innych zasadach, gdyż nie podlegają RODO.

MK: Jeśli gromadzimy cookies, nawet sesyjne, ale tylko dla celów statystycznych, to rzeczywiście nie są to dane osobowe. Zresztą dyrektywa ePrivacy – wprowadzana równolegle do RODO – liberalizuje zasady korzystania z takich plików.

MW: Dla celów bezpieczeństwa nie przechowujemy wszystkich danych zgromadzonych w cookies, a jedynie hash sesji. W tym momencie stosujemy anonimizację danych.

MJ: Fundamentalne jest rozróżnienie surowych danych osobowych od informacji osobowych. Dane nabierają znaczenia „informacyjnego” dopiero w jakimś kontekście. Wspomniane cookies są bezużyteczne, dopóki w połączeniu z innymi danymi nie posłużą do profilowania użytkownika.

Przemysław Mazurkiewicz, dyrektor Działu System Engineering w regionie EMEA East w Commvault (PM): Czy dane zanonimizowane są danymi osobowymi?

MK: Dane anonimowe, w przypadku których nie można zrobić „kroku w tył” i ponownie przypisać ich konkretnemu klientowi nie są danymi osobowymi. Inaczej jest z danymi zaszyfrowanymi, one są jedynie pseudoanimizowane. Tu można bowiem odzyskać ich kontekst, przypisać danej osobie.

PRZYKŁADY REZYGNACJI Z PRZECHOWYWANIA DANYCH OSOBOWYCH

Adam Jadczak, redaktor naczelny ITwiz (AJ): Jeśli więc ktoś nie chce ponosić kosztów dostosowania się do RODO może po prostu zrezygnować z ich zbierania i przetwarzania?

Im więcej gromadzonych danych osobowych, tym więcej obowiązków. Ale też – w założeniu – im więcej przedsiębiorca gromadzi danych, tym więcej na nich „zarabia”. Dane dziś to pieniądze. Dla dużego serwisu aukcyjnego istotą jest gromadzenie danych osobowych. Ma środki, aby wdrożyć RODO i przemapować swoje systemy. Z drugiej strony także zakład fryzjerski musi przygotować się do nowego rozporządzenia, ale koszty dla niego są dużo mniejsze. Praktycznie sprowadzają się do reorganizacji jednego punktu, recepcji.

MJ: Duża, brytyjska sieć pubów J.D. Wetherspoon właśnie zrezygnowała z prowadzenia systemu lojalnościowego, aby nie przejmować się problemem ochrony danych osobowych. Woleli zaprzestać używania narzędzia polepszającego relacje z klientami tylko po to, żeby nie ponosić ryzyka związanego z RODO.

KK: Czyli RODO to nie tylko koszt dla gospodarki, ale też zaniechanie niektórych inicjatyw gospodarczych…

MW: Wszystko wynika z analizy ryzyka biznesowego oraz ryzyka prywatności, czyli naruszenia praw lub wolności podmiotów danych.

KK: Kiedyś sztandarowym przykładem profilowania był Amazon, który – lepiej niż ja sam – wie jaką książkę powinienem kupić. To jest przykład pozytywnego wpływu technologii na rozwój gospodarczy. Ludzie kupują więcej książek, bo nie potrzebuję tyle czasu na wybranie kolejnej pozycji.

MW: Nie chodzi jednak o to, aby RODO w jakiś sposób przyblokowało ten rozwój. Chodzi o to, abyśmy transparentnie informowali klientów o tym, jak i dlaczego ich profilujemy.

Nadal jednak – niezależnie jakie środki bezpieczeństwa zastosuję – to muszę się przed Prezesem Urzędu Ochrony Danych Osobowych – PUODO – rozliczyć w przypadku ich wycieku. Będę musiała udowodnić, że dochowałam należytej staranności przechowując dane klientów, że postępowałam zgodnie z zasadami RODO, czyli przeprowadzałam ocenę skutków dla ochrony danych w fazie projektowania oraz analizowałam ryzyko. W takim przypadku mam duże szanse uniknąć kary.

MJ: Mimo to ryzyko spowolnienia rozwoju technologii jest ewidentne. Przypomina to efekt tzw. ustawy czerwonej flagi w Wielkiej Brytanii z 1865 roku. RODO wprowadza mechanizmy ostrzegania przed niebezpieczeństwem, ale jednocześnie spowalnia rozwój. Powstanie dysproporcja konkurencyjności. Jeśli Europa ogranicza wykorzystanie danych osobowych, to inni mogą to wykorzystać. Już teraz korzystając z amerykańskich usług chmurowych, gdy wskazuję jako region Europę, z pewnych funkcji skorzystać nie mogę.

DZIAŁALNOŚĆ GOSPODARCZA A RODO

MK: Nie mam wątpliwości, że RODO nie jest probiznesowe czy protechnologiczne. Wydaje mi się jednak, że to się może zrównoważyć. Bank może np. zmonetyzować weryfikację biometryczną czy profilowanie w bankowości mobilnej i w ten sposób odzyskać koszty poniesione w kontekście RODO. Niemiej w polskiej ustawie staraliśmy się wprowadzić wiele ułatwień dla biznesu.

RODO wprowadza mechanizmy ostrzegania przed niebezpieczeństwem, ale jednocześnie spowalnia rozwój. Przypomina to efekt tzw. ustawy czerwonej flagi w Wielkiej Brytanii z 1865 roku. Powstanie dysproporcja konkurencyjności. Jeśli Europa ogranicza wykorzystanie danych osobowych, to inni mogą to wykorzystać. Już teraz korzystając z amerykańskich usług chmurowych, gdy wskazuję jako region Europę, z pewnych funkcji skorzystać nie mogę.

MW: Mamy miesięcznie ok. 1500 zmian w systemach Allegro. Bycie w zgodzie z RODO jest możliwe nawet przy takiej ilości zmian pod warunkiem odpowiedniego dostosowania procesu wytwarzania oprogramowania i wdrożeń.

DOCHODZENIE ROSZCZEŃ I EWENTUALNE KARY

JK: Nie zapominajmy o korzystnych stronach rozporządzenia.

MJ: Korzyści dla obywateli są bezapelacyjne. Firmy w pewnym sensie także mogą skorzystać dzięki optymalizacji swoich procesów biznesowych oraz podwyższeniu poziomu zabezpieczeń przed działaniem cyberprzestępców.

KK: Nie wiem, dlaczego – wraz z wprowadzeniem RODO – miałyby się skończyć nadużycia?

MK: Powstaną nowe drogi ich dochodzenia. Skargi będzie można zgłaszać nie tylko do polskiego organu, ale też do wszystkich innych tego typu urzędów w Unii Europejskiej. No i nie zapominajmy o karach. To powinno ograniczyć nadużycia.

PM: Czy jest jakiś wykaz sankcji? Mówi Pan też o ich gradacji…

MK: Jeśli naruszenie było drobne i w toku kontroli naruszyciel usunął jego skutki, to wówczas organ wydaje ostrzeżenie – naruszyłeś rozporządzenie, przestałeś to robić, ale uważaj. Kolejny poziom to decyzja o usunięciu danych, ale wciąż bez nałożenia kary. Na końcu zaś mamy nakaz usunięcia danych wraz z określoną karą za złamanie przepisów RODO. Wszystko zależy od skali niezgodnych z przepisami działań, a także tego, czy został powiadomiony organ, jak dana firma była przygotowana do ochrony danych osobowych oraz czy robiła to umyślnie, czy nie. W RODO bardzo wyraźnie określone jest to, co należy brać pod uwagę przy określaniu wymiaru kary.

Notował Bartosz Ciszewski

Tagi

Podobne

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *