Dwie strony bezpieczeństwa danych – relacja ze śniadania biznesowego Cybercom Poland i Rödl & Partner

 

Aby skutecznie przygotować się na wyzwania, jakie niesie ze sobą RODO, konieczna jest wiedza technologiczna oraz prawna. To się ze sobą w tym kontekście nierozerwalnie wiąże – mówił Adam Wódz, IT Security Manager z firmy Cybercom podczas śniadania biznesowego poświęconego przygotowaniom do wdrożenia RODO w polskich przedsiębiorstwach.

Cykl śniadań biznesowych przygotowanych przez Cybercom Poland oraz Rödl&Partner powstały po to, aby naświetlić wyzwania prawne i technologiczne związane z przygotowaniem przedsiębiorstw do Rozporządzenia o Ochronie Danych Osobowych (RODO). Prawo zacznie obowiązywać od 25 maja 2018 roku na terenie Unii Europejskiej oraz w Norwegii, Lichtensteinie i Islandii.

Wszechobecne dane osobowe

– Należy odróżnić dane osobowe od danych wrażliwych. Te pierwsze pozwalają kogoś zidentyfikować. Jest to na przykład imię, nazwisko, pesel, NIP, zdjęcie a w szczególnych przypadkach inne informacje, takie jak identyfikator lub pseudonim – tłumaczył podczas spotkania Jarosław Kamiński, adwokat i senior associate w kancelarii Rödl&Partner. – Z kolei dane wrażliwe to takie, które pozwalają dowiedzieć się więcej, na przykład o pochodzeniu, poglądach czy stanie zdrowia danego człowieka. Tym samym objęte są większą ochroną.

Podkreślił jednocześnie, że nowe prawo rozróżnia również dane biometryczne oraz genetyczne, co może mieć duże znaczenie dla firm, które stosują kontrolę dostępu opartą o te informacje (na przykład otwieranie drzwi lub logowanie do aplikacji bankowej przy użyciu odcisku palca).

Przeniesienie akcentów

W trakcie śniadania Jarosław Kamiński opisał także nowe obowiązki firm, takie jak privacy by default, czyli zapewnianie swoim użytkownikom domyślnie największej możliwej prywatności. Na własne życzenie będą mogli z niej zrezygnować, na przykład aby otrzymać dostęp do innych usług lub zniżek.

– Nowością jest minimalizacja dostępu do danych. Zamiast udostępniać informacje dużej grupie pracowników, należy wskazać, którzy tego potrzebują oraz w jakim zakresie – mówił Jarosław Kamiński. – Jeśli system przechowuje imię, nazwisko, telefon, pesel, numer konta i historię zakupów klienta, pracownicy call center nie powinni mieć dostępu do wszystkich tych informacji, a jedynie do tych niezbędnych w ich pracy.

Rekrutacja a RODO

Ekspert podkreślił jednocześnie, że dane osobowe dotyczą nie tylko klientów, ale również partnerów i pracowników, a nawet kandydatów do pracy.

– Niedawno przeprowadziliśmy audyt w firmie z branży medycznej, która przechowywała dane na potrzeby przyszłych rekrutacji. Jest to jak najbardziej uzasadnione, bo lekarze to poszukiwani specjaliści i mało kiedy zmieniają swoją ścieżkę kariery – mówił. – Należy jednak wskazać, jak długo te informacje będą przechowywane oraz w jaki sposób firma chce je zabezpieczyć.

Bliżej RODO dzięki technologii

Techniczne aspekty przygotowania do RODO omówił Adam Wódz z firmy Cybercom Poland. Podkreślił, że konstrukcja nowych przepisów nie narzuca wszystkim firmom jednolitego podejścia do bezpieczeństwa danych.

– Jeśli jakaś firma uzna, że nie musi zmieniać haseł lub szyfrować baz danych, nie ma przeszkód, by tego nie robić. Najważniejsza jest analiza, jakie jest ryzyko naruszenia praw osób fizycznych, jeśli te dane wyciekną lub zostaną zniszczone – wskazywał Adam Wódz. – Organizacja w swojej polityce musi uwzględnić koszt wdrożenia, więc jeśli nie stać jej na zastosowanie absolutnie najlepszych narzędzi, może szukać tańszych alternatyw lub innych środków. Ważne, by w jej ocenie były one najlepsze z dostępnych.

Podkreślił jednocześnie, że usługom przetwarzania danych należy zapewnić „odporność”.

Łatać luki

– Jeśli pojawia się aktualizacja bezpieczeństwa dla wykorzystywanego oprogramowania, należy sprawdzić, czy jej zainstalowanie nie zdestabilizuje działania firmy a następnie bez zbędnej zwłoki zrobić to – mówił Adam Wódz. – Kolejną kwestią jest regularne testowanie, czy stosowane zabezpieczenia są faktycznie skuteczne. Czy system antywirusowy nie informował o niebezpieczeństwach bo ich nie było, czy dlatego, że po prostu nie działał?

Ekspert wskazał również, że naruszeniem danych jest nie tylko ich wyciek, ale także modyfikacja. Najczęściej tego typu wydarzenia mają miejsce przez przypadek i dzieją się z winy pracowników, wciąż jednak dotyczą danych osobowych.

– Można sobie łatwo wyobrazić sytuację, w której pracownik przez pomyłkę nadpisze dane klientów i nagle wszyscy jako miasto zamieszkania otrzymują Radom. Pozornie to drobiazg, jednak bez kopii bezpieczeństwa dane są nie do odzyskania – mówił Adam Wódz. – W myśl nowych przepisów, taka sytuacja jest naruszeniem bezpieczeństwa danych i powinna być zgłoszona.

Odpowiedzialność za podwykonawców

Eksperci zgodzili się, że zarówno z punktu widzenia prawa jak i technologii kluczowa jest odpowiedzialność za partnerów i podwykonawców. W umowach powinno być wskazane, w jaki sposób podwykonawcy chronią powierzone im dane osobowe oraz jak można tę ochronę zweryfikować. Kwestia ta wzbudziła szczególne zainteresowanie uczestników konferencji, wśród których pojawiły się głosy, że nowe regulacje mogą wymusić na firmach korzystanie z usług większych podmiotów.

– Jedna z kilkuosobowych firm, z którą chcieliśmy nawiązać współpracę, odmówiła opracowania i przedstawienia polityki bezpieczeństwa. Twierdzili, że to dla nich za dużo pracy – mówiła jedna z uczestniczek.

Eksperci odpowiadali także na pytania dotyczące roli IODO (Inspektora Ochrony Danych Osobowych), zmian związanych ze zgodami oraz technicznymi kwestiami związanymi z oceną ryzyka w ich organizacjach.

Śniadanie było również okazją do wymiany doświadczeń i przemyśleń. W tym roku przeprowadziliśmy śniadania w różnych miastach Polski – Łodzi, Gliwicach, Gdyni, Gdańsku, Poznaniu, Wrocławiu, Kielcach, Krakowie i Warszawie. Było nam niezwykle miło Państwa gościć!