Dane osobowe wciąż nie są chronione

Do wdrożenia nowych zasad ochrony danych został niecały rok, a firmy wciąż nie wiedzą, co robić.

Aktualizacja: 11.08.2017 06:09 Publikacja: 10.08.2017 19:10

Dane osobowe wciąż nie są chronione

Foto: 123rf

Tylko 6 proc. badanych przedsiębiorstw jest w pełni przygotowanych na wejście w życie ogólnego rozporządzenia o ochronie danych osobowych (RODO). 7 proc. nie zrobiło nic w tym kierunku, a 30 proc. twierdzi, że 18 maja 2018 r., gdy nowe przepisy zaczną obowiązywać, wciąż będzie na etapie planowania. To wynik ankiet przeprowadzonych przez globalne Stowarzyszenie Zarządzania Informacją i Obrazem (AIIM). RODO dotyczy wszystkich, którzy przetwarzać będą dane obywateli UE.

Według radcy prawnego Macieja Gawrońskiego z kancelarii Gawronski & Partners w Polsce sytuacja jest podobna.

– Duże organizacje właśnie zaczęły przygotowania, małe czekają – mówi Gawroński. – Liczą na możliwość powielenia rozwiązań tych dużych.

Jesienią ponad połowa krajowych przedsiębiorstw nie słyszała jeszcze o unijnej reformie ochrony danych. Tylko 11 proc. miało świadomość, jak wysokie kary wprowadza rozporządzenie. Tak wynikało z badania informatycznej firmy Vmware.

Trudne wymagania

Największym problemem firm jest brak konkretnych wymagań do wdrożenia. Zgodnie z RODO administrator danych odpowiada m.in. za naruszenia bezpieczeństwa, a nie za przestrzeganie formalnych standardów.

– Nie ma już prostej „check listy" rzeczy, które należy zrobić, by uchronić się od odpowiedzialności – tłumaczy Maciej Gawroński.

– Najczęściej problemy dotyczą przenoszenia danych i zgód na ich przetwarzanie – wylicza dr Maciej Kawecki z Ministerstwa Cyfryzacji.

Dr Paweł Litwiński z instytutu Allerhanda zwraca uwagę, że RODO nie zawiera praktycznie przepisów przejściowych.

– Mówi tylko, że zgody zebrane przed wejściem w życie RODO zachowują ważność, jeśli sposób ich zebrania był zgodny z nim. Pytanie, co to znaczy – mówi.

Jeśli trzeba by np. udzielać wszystkim osobom, których dane przetwarzamy, informacji o możliwości cofnięcia zgody, albo o tym, kto jest inspektorem ochrony danych w organizacji, co dotąd nie było wymagane, to dla posiadaczy dużej bazy rekordów wiąże się to z dużymi kosztami, np. operatorów telekomunikacyjnych.

– GIODO uznał, że kluczowa tu będzie właśnie informacja o możliwości cofnięcia zgody, ale nie wiadomo, dlaczego akurat ta informacja, a nie inne – dodaje Litwiński.

Mariola Więckowska, administrator bezpieczeństwa informacji w Allegro, mówi, że firma nie zamierza ponownie zbierać zgód na przetwarzanie danych pozyskanych przed majem 2018 r.

– Uważamy, że zachowają one ważność – tłumaczy.

Zmiana świadomości

Ministerstwo pracuje też nad nową ustawą o ochronie danych, nie wiadomo jednak, kiedy pojawi się jej projekt.

Maciej Gawroński zauważa, że wiele firm niepotrzebnie czeka na projekt ustawy, podczas gdy większość przepisów zawarta jest już w RODO.

– Mimo to myślę, że większość firm jakoś zdąży przygotować się prawnie i organizacyjnie, natomiast mogą mieć problem z dostosowaniem systemów IT do maja 2018 r. – mówi prawnik.

Mariola Więckowska uważa zaś, że choć RODO stawia przed firmami poważne wyzwania, to dla tych, które obecnie wypełniają obowiązki wynikające z ustawy o ochronie danych osobowych, nie jest rewolucją. Choć przyznaje, że Allegro od ponad roku przygotowuje się na wypełnianie nowego prawa.

Potrzebny inspektor

30 proc. ankietowanych przez AIIM firm już powołało inspektora ochrony danych, a dalsze 25 proc. planuje to zrobić. Według raportu VMware tylko 24 proc. naszych firm uważa, że powinno powołać inspektora.

Badanie AIIM wskazuje jednak, że aż 31 proc. wycieków w ciągu ostatniego roku było spowodowane zaniedbaniami pracowników, a nie działaniami hakerskimi. 39 proc. firm rozumie znaczenie dobrej polityki zarządzania danymi, a aż 76 proc. chce się skupić głównie na ich wzmocnieniu. Według raportu Vmware połowa polskich firm dostrzega konieczność zwiększenia ilości szkoleń z zakresu ochrony danych, a 34 proc. – potrzebę inwestycji w bezpieczeństwo IT. Z kolei przygotowany w tym samym czasie raport PwC, dotyczący cyberbezpieczeństwa w średnich i dużych firmach, jedynie 31 proc. z nich współpracuje z innymi podmiotami na rzecz poprawy bezpieczeństwa i ograniczenia ryzyka w przyszłości. Z raportu wynika także, iż aż 96 proc. średnich i dużych przedsiębiorstw działających w Polsce doświadczyło w zeszłym roku ponad 50 cyberataków. W dwóch trzecich przypadków liczba incydentów była jednak dziesięciokrotnie większa.

Wśród najbardziej dotkliwych skutków cyberataków respondenci badania wskazywali: narażenie na ryzyko prawne i straty finansowe (35 proc. wskazań) oraz utrata klientów i kradzież własności intelektualnej (po 30 proc.). Tymczasem z raportu AIIM wynika, że najpoważniejszym skutkiem utraty danych dla firm były zakłócenia w normalnym funkcjonowaniu (ponad 20 proc.), a dopiero później utrata danych osobowych klientów, i co za tym idzie, ich zaufania, oraz strata ważnych z punktu widzenia konkurencji informacji. Dotychczas nikt nie przykładał dużej wagi np. do zgubienia danych przez pracownika. Teraz będzie obowiązek notyfikacji takich incydentów oraz ogromne kary za wycieki danych – wskazuje Maciej Gawroński. – To chyba najbardziej penalna regulacja od wejścia do Unii – dodaje.

Tylko 6 proc. badanych przedsiębiorstw jest w pełni przygotowanych na wejście w życie ogólnego rozporządzenia o ochronie danych osobowych (RODO). 7 proc. nie zrobiło nic w tym kierunku, a 30 proc. twierdzi, że 18 maja 2018 r., gdy nowe przepisy zaczną obowiązywać, wciąż będzie na etapie planowania. To wynik ankiet przeprowadzonych przez globalne Stowarzyszenie Zarządzania Informacją i Obrazem (AIIM). RODO dotyczy wszystkich, którzy przetwarzać będą dane obywateli UE.

Według radcy prawnego Macieja Gawrońskiego z kancelarii Gawronski & Partners w Polsce sytuacja jest podobna.

Pozostało 89% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Praca, Emerytury i renty
Płaca minimalna jeszcze wyższa. Minister pracy zapowiada rewolucję
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Sądy i trybunały
Trybunał Konstytucyjny na drodze do naprawy. Pakiet Bodnara oceniają prawnicy
Mundurowi
Kwalifikacja wojskowa 2024. Kobiety i 60-latkowie staną przed komisjami