Ten artykuł czytasz w ramach bezpłatnego limitu

Choć RODO, czyli nowa unijna regulacja dotknie prawie wszystkich przedsiębiorców, ci na razie są zdezorientowani. Rozporządzenie Unii Europejskiej o ochronie danych osobowych wciąż jest dla wielu firm i instytucji zagadką. Nakłada większą niż wcześniej odpowiedzialność na przetwarzających i przechowujących dane, w dodatku dotyczy niemal każdego przedsiębiorcy. Największym wyzwaniem wydaje się jednak fakt, że RODO (jak w skrócie nazywa się nową regulację), jest dla wielu podmiotów zupełnie nowym początkiem. Szczególnie, jeśli do tej pory zaniedbywały ochronę danych.

Zrozumieć przepisy

– Rozporządzenie zostało stworzone z myślą o konsumentach, ale moim zdaniem będzie w realny sposób wzmacniać poziom ochrony danych w firmach i instytucjach. To naprawdę dobre przepisy – tak Piotr Borkowski z firmy Veracomp mówił w czasie Forum Ochrony Rozwiązań Teleinformatycznych i Biznesu. Na spotkaniu zorganizowanym przez Veracomp zjawiło się ponad 50 osób reprezentujących różne organizacje. Pokazało ono, że stopień wiedzy wśród pracowników firm i instytucji o nowej regulacji jest bardzo zróżnicowany.

Na sali padały pytania, jakie i ile rejestrów czynności powinien prowadzić przetwarzający informacje, ale też prostsze, o rozumienie podawanych w rozporządzeniu definicji, czy wręcz o dopuszczalność wynajmu usługi inspekcji danych osobowych (jest to możliwe i prawdopodobnie będzie popularne wśród mniejszych przedsiębiorstw). O tym, jak ważne to zagadnienia, może świadczyć fakt, że zrozumieć przepisy będzie musiał zarówno salon fryzjerski gromadzący telefony i maile do swoich klientów, jak i zatrudniająca setki osób wielka korporacja.

Rozporządzenie dotyczy zresztą nie tylko firm, ale też spółdzielni, szpitali, samorządów, instytucji rządowych. Czyli innymi słowy wszystkich miejsc, w których gromadzi się dane. Wysiłek, jaki będą musiały podjąć w związku z wprowadzeniem regulacji, będzie zależał jednak nie od wielkości organizacji, ale od tego, ile danych taka organizacja gromadzi.

Podstawowym problemem wszystkich instytucji jest ogólność RODO. Taki był jednak zamysł twórców nowych przepisów – regulacja ma być na tyle elastyczna, by nadążać za rzeczywistością. Poprzednie, przyjęte w 2004 roku przepisy odwoływały się do technologii na tyle szczegółowo, że już w dekadę stały się zupełnie nieżyciowe. Obecna legislacja ma tego błędu uniknąć. Jednocześnie jednak oznacza to nałożenie na przechowujących i przetwarzających dane większej odpowiedzialności. To oni będą musieli wykazać, że zastosowane metody ochrony danych są skuteczne. I nie wystarczy już do tego odpowiednie oprogramowanie i wdrożenie procedur opatrzonych odpowiednimi certyfikatami.

– To wymóg, który dezorientuje administratorów danymi. Nie mają bowiem jasno określonej listy procedur, której realizacja, w razie wycieku danych, pozwoliłaby im zachować czyste sumienie – mówił Henryk Hoser, reprezentujący JDS Consulting, dodając, że jest to jednak tylko pozorna trudność. – Tak naprawdę liczy się zdrowy rozsądek i uczciwość. Sam wyciek nie będzie wystarczającym powodem, by ukarać przechowującego dane. Powodem będzie zaniechanie procedur, zignorowanie informacji o dziurze w systemie, albo rezygnacja z monitoringu sytuacji w firmie – przekonywał.

Różne instytucje – różne problemy

W poradzeniu sobie z wejściem nowych przepisów pomóc może audyt, a więc kontrola obecnego stanu zarządzania danymi i procedur postępowania, do której zachęcają eksperci zaznajomieni z tematyką nowej regulacji. Wśród zadań audytora znajduje się m.in. sprawdzenie, czy mamy wszystkie zgody na przetwarzanie danych, czy zawarte są odpowiednie umowy wskazujące odpowiedzialnych za zarządzanie danymi, a także czy umowy zlecające usługi na zewnątrz gwarantują bezpieczeństwo przepływu danych. Konieczne jest też sprawdzenie samej procedury przepływu informacji wewnątrz firmy. To tym ważniejsze, że nie istnieje konkretna lista czynności do wykonania przed wejściem w życie nowych przepisów. Szczególnie, że każda instytucja może mieć inne problemy.

Ile taki audyt może firmę kosztować? Tak jak ogólne jest RODO, tak szerokie są widełki kosztów. Audyt procedur może kosztować od tysiąca złotych (np. w małej firmie zajmującej się handlem, gdzie trzeba jedynie skonsultować umowy), po kilkadziesiąt tysięcy złotych w dużej korporacji, zatrudniającej dziesiątki lub setki osób i operującej danymi na terenie UE, czy nawet na całym świecie.

Podobny rozstrzał możemy mieć przy zamówieniu inwentaryzacji danych. W lokalnej firmie z dużą bazą, ale nie rozproszoną na serwerach po świecie, może to kosztować 2 tys. zł. W tej, gdzie dane są rozsiane, firmy doradcze mogą wziąć nawet 20 tys. zł.

Takie koszty mają jednak przynieść wymierne efekty. Jeśli na przykład klient zażąda usunięcia swoich danych, firma zobowiązana jest do ich wymazania ze wszystkich lokalizacji, a więc z archiwum z umowami, z cyfrowej bazy danych, z bazy handlowej itd. Jeśli jednak nie wiemy, gdzie mamy dane, nie skasujemy ich wszędzie, a wtedy, w razie kontroli, będziemy musieli się liczyć z nałożeniem kary. Szanse na to są spore. Jak bowiem mówią światowe szacunki, połowa zasobów informacyjnych leżących na serwerach to zapomniane dane.

– Od razu zaznaczam: to nie jest beztroska. My po prostu często nie wiemy, gdzie gromadzimy dane i jak. Bieżącym zmartwieniem jest raczej pojemność dysków, niż rodzaj danych i sposób zabezpieczenia – wskazywał Jerzy Skiba, konsultant techniczny z krakowskiej firmy Veracomp.

Uchronić się od zarzutów o zaniedbania

Warto przy tym pamiętać, że kary nie będą małe – maksymalna może wynieść nawet 4 proc. obrotów rocznych firmy lub 20 mln euro. Od czego zależna jest ich wysokość? Znowu mamy do czynienia z miękką oceną. Ale ukarani możemy zostać już za sam fakt zignorowania obowiązku poinformowania 25 maja 2018 roku naszych klientów, że mamy ich dane. Jeśli zapomnimy kara z pewnością będzie surowa. Jeśli przegapimy w rejestrze z 10 tys. rekordów 100 kart, kara z pewnością będzie mniejsza, pojawi się jednak pytanie, czy jesteśmy odpowiednio do zmian przygotowani.

Podobnie będzie w razie wspomnianego wycieku. Nie będzie ważny sam fakt kradzieży czy utraty danych, ale powód. Jeśli będzie on wynikał z zaniedbania administratora, kara nie będzie mała. Jeśli będzie efektem włamania hakerów, którzy przebili się przez system, kosztem będzie raczej łatanie dziury w zabezpieczeniach.

Audyt to jednak dopiero początek. Kolejny etap dotyczy modernizacji systemów w firmie. W mniejszych organizacjach może się to wiązać z wydatkami na poziomie kilku czy kilkunastu tysięcy złotych potrzebnych do zaszyfrowania dysków albo dokupienia nowszego oprogramowania. W przedsiębiorstwach zarządzających olbrzymimi bazami, koszty dostosowania infrastruktury mogą już sięgnąć nawet miliona złotych, uwzględniając konieczność przeszkolenia pracowników. Trzeba też pamiętać o regularnym kontrolowaniu sytuacji – w tym ma pomóc zatrudniony w organizacji inspektor danych osobowych. Jeśli jednak instytucja nie będzie mogła sobie pozwolić na zatrudnienie go na pełen etat, lub nie będzie miała takiej potrzeby, do regularnej kontroli będzie mogła wynająć eksperta. To z kolei może kosztować od 1 do 15 tys. zł (jeśli mówimy o jednym inspektorze, a nie całym zespole).

Co zrobić, żeby spać spokojnie

Podczas konferencji wskazano też te obszary, na które firmy powinny zwrócić szczególną uwagę w aspekcie RODO. Samo rozporządzenie mówi jedynie o konieczności zapewnienia „odpowiedniego poziomu bezpieczeństwa” i nie określa jakie rozwiązanie zastosować, by nie narazić się na dotkliwe kary. Dlatego eksperci wskazują na ogólne systemy teleinformatyczne zapewniające ochronę danych zarówno w procesie ich przechowywania, jak i zarządzania nimi.

– Kluczowe dla przedsiębiorstw jest bezpieczne przechowywanie danych osobowych. Do tego niezbędne są stabilne i wydajne serwery połączone z systemami gromadzenia, przesyłania i udostępniania danych, a także ich odtworzenia w przypadku awarii – mówił Jerzy Skiba z Veracomp.

Dodatkowo w firmach podstawą bezpieczeństwa powinny być systemy, które ochronią dane przed wyciekiem wewnątrz organizacji oraz nie dopuszczą do ataku z zewnątrz przeprowadzonego przez hakera. Można zastosować od kilku do kilkunastu pojedynczych aplikacji czy urządzeń, by się chronić, ale działy IT firm coraz częściej sięgają po rozwiązania określane jako UTM (Unified Threat Management). Dają one pełną ochronę sieci IT w organizacji, a do tego posiadając jeden system łatwiej jest zarządzać wszystkim, co ma odpowiednio zabezpieczać dane.

Eksperci wskazali też na kolejny istotny obszar w kontekście unijnej dyrektywy. Przetwarzanie danych osobowych sprowadza się do korzystania z aplikacji dostępnych w przeglądarce internetowej, a te mogą stanowić lukę w systemie bezpieczeństwa. By je odpowiednio zabezpieczyć, a dodatkowo ochronić przed coraz częściej występującymi atakami typu DDoS (ukierunkowany atak z wielu komputerów na daną usługę, np. sklep internetowy, w celu jej zablokowania), można zastosować rozwiązanie WAF (Web Application Firewall).

Co jeszcze można zrobić, by spać spokojnie po 25 maja? Na pewno trzeba się zastanowić nad tym, kto będzie miał dostęp do danych, a także jak zadbać o uwierzytelnianie. Jesteśmy przyzwyczajeni do haseł, ale to już nie wystarczy, by zablokować hakerom dojście do firmowych danych. Tu jako rozwiązanie wskazuje się produkty zapewniające uwierzytelnianie i autoryzację w oparciu o hasła dynamiczne (tokeny) lub certyfikaty.

Co ciekawe, można mieć świetnie zabezpieczoną sieć IT w firmie, a do wycieku danych i w konsekwencji kary za incydent dojdzie z prozaicznego powodu – fizycznej kradzieży sprzętu czy zgubienia dysku lub innego, przenośnego medium. Dlatego przy opracowywaniu koncepcji przed wejściem w życie RODO, warto rozważyć opcję szyfracji dysków i innych urządzeń do przechowywania danych.

Eksperci obecni na Forum podkreślali, że RODO należy traktować jako przepisy przychylne przedsiębiorcom, którzy nie ignorują potrzeby ochrony danych i odpowiedzialnie traktują swoich klientów.

– Jeśli jakaś firma wyśle mi maila czy SMS z informacją, że niestety doszło do wycieku danych i sugeruje mi zmianę haseł dostępu do wrażliwych aplikacji, to ja tę firmę potraktuję poważnie – komentował Grzegorz Szmigiel, dyrektor techniczny w Veracomp. – Jeśli w razie wycieku organizacja nie poinformuje zainteresowanych o tym co się stało, będzie surowa ukarana. Ma na to 72 godziny od wycieku.

RODOmetr i prenumeratę Wyborcza.pl kupisz w pakiecie RODO.
Sprawdź szczegóły

.. Veracomp

Czytaj ten tekst i setki innych dzięki prenumeracie

Wybierz prenumeratę, by czytać to, co Cię ciekawi

Wyborcza.pl to zawsze sprawdzone informacje, szczere wywiady, zaskakujące reportaże i porady ekspertów w sprawach, którymi żyjemy na co dzień. Do tego magazyny o książkach, historii i teksty z mediów europejskich. Zrezygnować możesz w każdej chwili.