25 maja 2018 roku zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Celem regulacji jest uszczelnienie ochrony danych osobowych, zapewnienie większej transparentności, a także wdrożenie procedur w przypadku utraty poufności danych. Zaostrzeniu uległy również kary za naruszenie przepisów. Mogą one wynosić do 20 mln euro lub 4 proc. światowego obrotu.

RODO jest odpowiedzią na rosnące zagrożenie cyberatakami. Regulacja jest bardziej wymagająca od dotychczasowych przepisów w tym obszarze. Przyjmuje również odmienne podejście – zamiast wskazywać konkretne rozwiązania, przenosi odpowiedzialność za dobór zabezpieczeń „adekwatnych do poziomu ryzyka" na przedsiębiorcę.

Niepewność związana ze skalą zmian organizacyjnych sprawiła, że wiele opracowań dotyczących RODO wyolbrzymia ich realny wymiar. Jak więc rozsądnie podejść do projektu wdrożenia unijnych wymagań? Odpowiedź jest jest jedna: należy skupić się na najważniejszych zagrożeniach. Pomoże w tym podzielenie przygotowań na cztery etapy: inwentaryzację danych osobowych, zaprojektowanie zgodnych z RODO rozwiązań; ich wdrożenie oraz utrzymanie. Wyraźne priorytety pozwalają na łatwą kontrolę kosztów wdrożenia oraz budują w organizacji kompetencje przydatne w utrzymaniu nowych procesów.

Uporządkowanie wiedzy o danych i procesach

Pierwszym krokiem jest uporządkowanie informacji o tym, które dane przetwarzane są w organizacji. Mogą to być dane klientów, wspólników, pracowników lub te należące do partnerów biznesowych. Każdą grupę danych należy uzupełnić o informacje o ich pozyskiwaniu, przetwarzaniu i usuwaniu. Decydując się na samodzielną analizę, należy pamiętać, by odpowiednio udokumentować jej wyniki. RODO zawiera wskazówki, jak to zrobić. Tak powstały rejestr stanowi reprezentację aktualnego stanu zabezpieczeń przedsiębiorstwa.

Analiza ryzyka i ocena skutków przetwarzania

Na podstawie informacji zawartych w rejestrze można ocenić, które procesy dają możliwość dostępu do danych nieautoryzowanym osobom oraz czy zabezpieczenia w firmie są adekwatne do istniejącego poziomu ryzyka.

Jest to kluczowy etap. Poprawnie przeprowadzona analiza pozwala ograniczyć zarówno koszt wdrożenia, jak i utrzymania rozwiązań.

Poza samym bezpieczeństwem należy pamiętać o tym, że RODO narzuca również wymaganiań związane z transparentnością przedsiębiorstwa i edukacją. Trzeba więc pamiętać o:

- informowaniu klientów o metodach i celach przetwarzania;

- pozyskiwaniu zgody na przetwarzanie podczas zawierania umowy;

- publikowaniu informacji o incydentach bezpieczeństwa;

- obowiązku analizowania ryzyka na etapie projektowania nowych rozwiązań;

- sformalizowaniu procesów i określeniu odpowiedzialności za ich realizację;

- edukacji pracowników w zakresie bezpieczeństwa.

Etapowe wdrażanie nowych rozwiązań

W pierwszej kolejności należy skupić się na zabezpieczeniu obszarów o najwyższym poziomie ryzyka. Nie każda podatność na cyberataki wymaga budowania planów naprawczych – potrzeba jedynie pamiętać o formalnym uzasadnieniu takiej decyzji.

Zmiany, których należy się spodziewać, głównie będą dotyczyły tworzenia nowych procesów, modyfikacji oprogramowania, komunikacji z klientem, modyfikacji umów z dostawcami usług i pracownikami. Przy wyborze rozwiązań poza ich funkcjonalnością warto zwrócić uwagę na koszty ich utrzymania. Dodatkowe wydatki na etapie projektu potrafią się zwrócić na przestrzeni kilku pierwszych miesięcy.

Kompetentny zespół

Wiele czynności wykonywanych na etapie wdrożenia trzeba będzie powtarzać np. przy planowaniu nowych projektów. Konieczna jest także obecność osoby znającej nie tylko prawne wymogi dotyczące ochrony danych osobowych, ale i architekturę lokalnego systemu bezpieczeństwa informacji.

Administratorzy danych powinni uzasadnić każdą decyzję związaną z bezpieczeństwem informacji. Dotyczy to zarówno samego wdrożenia wymagań RODO, jak również późniejszego utrzymania i rozwoju istniejących zabezpieczeń.

Z tego względu bardzo ważne jest, aby od samego początku budować w firmie kompetencje w tym obszarze.

Zarówno rozwój zagrożeń, jak i dostosowujące się do niego przepisy prawne skutkują rosnącym zainteresowaniem konsumentów tematyką cyberbezpieczeństwa. Narzucenie transparentności w obszarze obsługi incydentów może być kamieniem milowym, który dodatkowo uwidoczni społeczeństwu skalę problemu, znacznie przekraczającą powszechne wyobrażenie.

Wdrażanie RODO to także dobry moment, aby spojrzeć na to zagadnienie z perspektywy strategii przedsiębiorstwa. Warto ocenić wpływ zabezpieczeń na poszczególne ogniwa łańcucha wartości i zastanowić się, jak dodatkowo można wykorzystać inwestycje związane z bezpieczeństwem, np. w obszarze marketingu, sprzedaży czy operacji. Tego typu podejście pozwoli przekształcić problematyczną i kosztowną konieczność w efektywne narzędzie do budowania przewagi rynkowej.

Autor jest architektem systemów bezpieczeństwa, właścicielem Venture Razor



Na jakie pytania trzeba się przygotować?

Jednym z obowiązków wprowadzonych przez RODO jest potrzeba informowania klientów o tym, w jaki sposób przetwarzane są ich dane osobowe. Świadomi konsumenci mogą więc zadawać wiele pytań, np.:

- W jaki sposób dana informacja została pozyskana?

- W jaki sposób i w jakim celu jest przetwarzana? Kiedy zostanie usunięta?

- Kto ma do niej dostęp? W ilu miejscach przechowywane są jej kopie?

- Wskaż dokument, w którym klient wyraził zgodę na przetwarzanie wybranej informacji.

- Jakie narzędzia i procesy są wykorzystywane w firmie dla zapewnienia bezpieczeństwa danych osobowych?

- Czy podwykonawcy, którzy przetwarzają dane osobowe, zostali zweryfikowani pod kątem bezpieczeństwa?

- Czy poziom zabezpieczeń jest adekwatny do wybranego sposobu przetwarzania?

- W jaki sposób pracownicy są edukowani w zakresie bezpieczeństwa?

Warto skorzystać z pomocy specjalistów

Jacek Świeca, radca prawny, adwokat, partner zarządzający w Kancelarii Prawnej Świeca i Wspólnicy

Karol Chwastowski, architekt systemów bezpieczeństwa, właściciel Venture Razor

Czy przedsiębiorcy mają prawo bać się RODO?

J.Ś.: Informacje dotyczące mającej wejść w życie regulacji należy podzielić na te, które merytorycznie i praktycznie podchodzą do wdrażania jej wymagań, oraz takie, które jedynie potęgują obawy. Na tym poziomie szczegółowości niewystarczające jest podejście jedynie z perspektywy prawnej. Większość projektów z zakresu bezpieczeństwa ma charakter multidyscyplinarny i w tym miejscu po raz kolejny należy podkreślić jak istotna jest świadomość przedsiębiorcy, który powinien wiedzieć „czego nie wie". Pułapką jest komplikowanie procesów. Warto zachować spokój i z chłodną głową podejść do sposobu ochrony danych osobowych. Przedsiębiorcy powinni także odpowiedzieć sobie na pytanie, które pola pozostają w ich zasięgu, a które lepiej zlecić specjalistom.

Jakie cele muszą więc osiągnąć przedsiębiorcy?

J.Ś.: Aby zapewnić zgodność z wymaganiami regulacji, przedsiębiorcy muszą wprowadzić procesy gwarantujące kompleksowe informowanie o sposobie wykorzystywania danych osobowych przez klienta, metodach przetwarzania jego danych, muszą także przewidywać prawo do bycia zapomnianym, tj. klient ma prawo żądać usunięcia wszystkich jego danych osobowych. Niezależnie od powyższego sporym wyzwaniem PR i technicznym są obowiązki notyfikacyjne dotyczące wycieków danych osobowych w tzw. incydentach. Nie należy także zapominać o wyznaczeniu roli inspektora danych osobowych.

Co w praktyce może stanowić dowód adekwatności rozwiązań?

K.Ch.: Przedsiębiorcy, inwentaryzując dane osobowe i procesy odpowiedzialne za ich przetwarzanie, budują mapę na podstawie, której można zidentyfikować zagrożenia. Rzetelnie przeprowadzona analiza ryzyka i jasno określone priorytety systemu bezpieczeństwa – to informacje, na podstawie których audytor może ocenić, czy firma dochowała należytej staranności w zakresie ochrony danych osobowych. Oprócz pracy wykonanej na etapie analizy przedwdrożeniowej ważna jest również ewidencja wskazująca na realizację procesów zgodnie z założeniami (aktualne rejestry, raporty, wyniki kontroli).

Czy przedsiębiorcy będą w stanie wdrożyć wymagania samodzielnie?

K.Ch.: RODO stanowi wyzwanie głównie dla firm, które przetwarzają dane swoich klientów poza systemami informatycznymi – w pozostałych przypadkach wdrożenie jest znacznie prostsze. Na poziomie tej samej branży wiele zależy od posiadanych kompetencji, skali i poziomu dojrzałości procesowej. W przypadku organizacji zatrudniających więcej niż 200 osób moim zdaniem wsparcie zewnętrznego specjalisty jest zasadne finansowo. Dużą wartością w takim przypadku jest perspektywa, którą taka osoba wprowadza.

Jakie są najpopularniejsze błędy popełniane przy projektowaniu systemów bezpieczeństwa?

K.Ch.: Zarówno w przypadku projektowania modeli organizacyjnych jak i systemów informatycznych, większość problemów ma swoje źródło na etapie analizy. Wartość generowana na tym etapie jest trudna w interpretacji. Aby ocenić potencjał architektury danego rozwiązania, potrzeba wiedzy eksperckiej. W przypadku gdy właściciel, projektu jej nie posiada łatwo popełnić jeden z dwóch błędów. Pierwszym jest dążenie do nadmiernej standaryzacji i rozbudowy zakresu projektu. Drugim jest narzucenie subiektywnych przekonań właściciela projektu zespołowi analitycznemu.

—rozmawiała jol