Z badań Komisji Europejskiej wynika, że ponad 75% Europejczyków obawia się o swoje bezpieczeństwo na portalach społecznościowych i w wyszukiwarkach internetowych. Wydaje im się, że ich dane zostaną niewłaściwie wykorzystane. Taki stan rzeczy był początkiem prac nad rozporządzeniem RODO. Dziś sytuacja wygląda inaczej: dane osobowe są na wagę złota, a ustawa przewiduje surowe kary za ich naruszenie. Jakie obowiązki mają przedsiębiorcy w tym zakresie i jakie mogą ponieść konsekwencje?
Wyciek danych to realny i poważny problem – dotyczy średnio kilkunastu milionów użytkowników, których adresy mailowe, telefony i inne dane wrażliwe dostały się w niepowołane ręce. Co jakiś czas słyszymy o naruszeniu danych w różnych firmach. Przedsiębiorstwa ponoszą wtedy nie tylko straty majątkowe, ale i wizerunkowe.
Wyciek danych w kontekście RODO
W ustawie nie ma takiego sformułowania jak „wyciek danych”, jest mowa o naruszeniu ochrony danych osobowych, czyli np.
- celowe zniszczenie
- utrata danych
- modyfikacja
- nieuprawnione ujawnienie
- nieuprawniony dostęp.
Chodzi zatem nie tylko o ataki hackerskie, ale więcej sytuacji stwarzających poważne zagrożenia dla osób, których te dane dotyczą. Mogą to być kradzieże tożsamości, wyłudzenia kredytu, dokonanie zakupów w Internecie, wynajęcie pokoju etc. Osoba, która utraciła dane, zostanie z długami i może zostać podejrzana o popełnienie przestępstwa.
Bezpieczeństwo danych a RODO. Obowiązki przedsiębiorcy
Do naruszenia danych dochodzi, gdy dane nie są one możliwe do wykorzystania przez administratora, czyli właściciela danych (np. jest naruszona struktura, zablokowany dostęp) lub w ogóle ich nie ma (zniszczone).
Gdy już dojdzie do jakiegokolwiek naruszenia danych, przedsiębiorca ma obowiązek w ciągu 72 godzin zgłosić tę sytuację do organu nadzorczego. Takim podmiotem jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Gdy sytuacja jest poważna, należy zawiadomić również te osoby, których dane są naruszone. Mogą wtedy próbować ochronić to, co jeszcze zostało. Naruszenie zgłasza się na stronie PUODO, wypełniając formularz.
W jakich sytuacjach naruszenie danych trzeba bezwzględnie zgłosić?
- gdy osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw lub wolności lub możliwości kontrolowania własnych danych osobowych;
- gdy przetwarzane są dane szczególnie chronione, czyli dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie, przekonania światopoglądowe lub przynależność do związków zawodowych, a także dane genetyczne, dotyczące zdrowia, seksualności, wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa;
- dochodzi do zautomatyzowanego przetwarzania danych, w tym profilowania;
- przetwarzane są dane osób wymagających szczególnej opieki, zwłaszcza dzieci;
- przetwarzanie danych odbywa się na dużą skalę i wpływa na znaczną liczbę osób, których dane dotyczą.
Wysokość kar dla przedsiębiorcy za naruszenie danych
RODO nakłada surowe restrykcje na właścicieli firm, którzy nie dotrzymują obowiązków. Przedsiębiorcy, którzy przetwarzają bardzo wiele danych, mają obowiązek zabezpieczenia ich przed wyciekiem z firmy, szczególnie przed przypadkowym lub celowym zniszczeniem oraz dostępem osób postronnych.
Jeśli przedsiębiorca nie wdrożył odpowiednich środków technicznych i organizacyjnych, to jest to przesłanka do nałożenia administracyjnej kary pieniężnej w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jeżeli 2% tego obrotu jest wyższe niż kwota 10 000 000 euro, górną granicę stanowi wyższa z kwot. Dlatego liczy się szybka reakcja, a przede wszystkim podjęcie działań zapobiegawczych.
Co powinien zrobić przedsiębiorca, chcąc w pełni chronić dane?
- Trzeba zaznajomić się z rozporządzeniem RODO, które opisuje, że administrator lub podmiot przetwarzający dane, ma obowiązek oszacować ryzyko wynikające z przetwarzania danych i podjąć środki zaradcze, np. szyfrowanie danych (informacje są kodowane, odbiorca, który nie ma tzw. kluczu dekodującego, nie odczyta wiadomości) pseudonimizację (przetworzenie danych w taki sposób, żeby nie można było ich przypisać do konkretnej osoby) czy anonimizację (nieodwracalnie uniemożliwia identyfikację danej osoby).
- Zapewnienie innych środków zapobiegawczych, wynikających z ustawy:
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
- Konieczne jest wdrożenie technologii informatycznych, które zabezpieczają przed wyciekiem danych, kradzieżą, atakiem hackerskim czy też przypadkową utratą danych. Jednym z takich rozwiązań jest tzw. Data Leak Prevention (takżeData Loss Prevention – DLP).
- Posiadanie dobrych programów antywirusowych i firewall.
- Podpisanie klauzuli poufności przez pracowników, zleceniobiorców, freelancerów już na początku współpracy, aby mieli świadomość tego, że przetwarzane dane są poufne. Część przypadków związanych z wyciekiem danych ma przyczynę w świadomym lub nieświadomym postępowaniu współpracowników.
- Uważność na co dzień, np. niezapisywanie haseł dostępu na tablicy nad biurkiem czy pulpicie i inne niebezpieczne sytuacje.
Bezpieczeństwo danych w ITH.EU
Temat cyberbezpieczeństwa jest dla naszych specjalistów priorytetem, szczególnie z perspektywy firmy telekomunikacyjnej. Zapraszamy do pakietu ITH Ochrona, w którym znaleźć można audyt i monitoring, ochronę sieci, firewall w chmurze i sieć VPN.