Nasze dane osobowe są coraz lepiej chronione. Do radykalnej poprawy w tym zakresie przyczyniło się wejście w życie unijnego prawa o ochronie danych osobowych. Od 28 maja 2018 roku informacje o osobach fizycznych i ich przetwarzanie podlegają ścisłym regulacjom.

Unijni prawodawcy wyszli w ten sposób naprzeciw głosom konsumentów, szczególnie internautów, którzy chcieli większej ochrony swoich danych. W efekcie unijne rozporządzenie zapewnia łatwiejszy do nich dostęp, w tym pozwala na uzyskanie większej liczby informacji o sposobie ich przetwarzania; informacje te mają być także dostępne w przejrzysty i zrozumiały sposób. Sprecyzowane zostało także prawo do usunięcia danych (czyli prawo do „bycia zapomnianym").

Co istotne, przepisy zobowiązują organizacje do niezwłocznego informowania osób, których dane były celem ataku hakerskiego. Jednocześnie w takim przypadku firmy są zobligowane do zawiadomienia organów nadzorczych zajmujących się ochrony danych. Z drugiej strony dyrektywa o RODO uregulowała też prawo do przenoszenia danych, co ułatwia np. przesyłanie danych osobowych między dostawcami usług.

Wyzwania dla organizacji

Przepisy, które wzmocniły pozycję osób fizycznych postawiły nowe wyzwania przed organizacjami, które gromadzą i przetwarzają dane osobowe w celu choćby sprzedaży produktów czy usług. Należy jednak pamiętać, że te regulacje dotknęły wszystkich firm i instytucji.

Bo przepisom RODO w taki sam sposób, jak firmy handlowe i usługowe, podlegają wszystkie organizacje, którym powierzamy nasze dane teleadresowe. A zatem także m.in. szkoły, uczelnie, pracodawcy (w tych przypadkach już od początku rekrutacji) oraz wspólnoty i spółdzielnie mieszkaniowe. Ale też dostawcy energii elektrycznej, gazu, wody czy telewizji kablowej.

Wszystkie te podmioty muszą także uzyskać od nas zgodę na przechowywanie i przetwarzanie naszych danych. Inaczej nie mogłyby nam choćby przesyłać informacji o zmianach wysokości opłat czy rozliczeniach rocznych.

Kamila Kwaterska, radca prawny, wspólnik w Kancelarii Radców Prawnych Kwaterska i Partnerzy, specjalizująca się w obsłudze przedsiębiorców, także w kontekście przetwarzania danych, wskazuje, że przedsiębiorca już na starcie działalności powinien przygotować się do przetwarzania danych osobowych klientów przez swoją firmę.

– Dziś nasze dane są bardzo cennym towarem. Są droższe niż złoto – mówi Kamila Kwaterska. – Już planując działalność powinniśmy przygotować się do używania tych danych w taki sposób, aby były wykorzystywane tylko do celu, w ramach którego ich potrzebujemy i abyśmy stosowali środki zabezpieczenia adekwatne do tego, jakie ryzyko wiąże się z przetwarzaniem tych danych – podkreśla.

– Pojęciem-kluczem jest tu ocena ryzyk. Już gdy planujemy działalność, starajmy się przewidzieć, jakie ryzyka będą się wiązały z przetwarzaniem danych. Czy na przykład ktoś może chcieć się do nich dostać poprzez atak hakerski, czy też przechowujemy dane w formie papierowej i planujemy, jak można je zabezpieczyć. Najczęściej jednak przetwarzamy dane w internecie czy innych systemach teleinformatycznych i musimy ocenić związane z tym ryzyka i zastosować adekwatnie do nich rozwiązania technologiczne – wskazuje ekspertka.

– Zwykle przygotowujemy to już na etapie projektowania tych procesów. Ale częściej robimy to i powinniśmy robić przez cały okres, w jakim przetwarzamy dane. Czyli oceniamy ryzyko nie tylko na etapie planowania przetwarzania danych, ale też kiedy to już się dzieje. Na bieżąco powinniśmy na przykład badać, jakie pojawiają się nowe ryzyka technologiczne. Bo przecież technologia cały czas rozwija się w niesamowitym tempie – zwraca uwagę Kamila Kwaterska.

Wycieki danych się zdarzają

Wszystkie te czynniki i regulacje powodują, że organizacje są nieustannie pod lupą. Jednak liczba operacji związanych z przetwarzaniem danych sprawia, że co jakiś czas opinia publiczna dowiaduje się o wycieku danych.

Powody są różne. Niekoniecznie zawsze musi to być atak hakerski. Najczęściej jest to jednak błąd systemu bądź błąd ludzki.

Tylko w tym roku o wycieku danych informowała choćby w kwietniu Krajowa Szkoła Sądownictwa i Prokuratury. Jak informował specjalistyczny portal gdpr.pl, z Platformy Szkoleniowej KSSIP korzystali nie tylko aplikanci szkoły, ale także m.in. asesorzy prokuratury, asesorzy sądowi, prokuratorzy sądowi i ich asystenci, sędziowie i ich asystenci, audytorzy wewnętrzni, dyrektorzy sądów, referendarze sądowi, urzędnicy prokuratur i sądów, zawodowi kuratorzy sądowi. Jak wskazywał portal, nieoficjalnie mówiło się o wycieku danych aż 50 tys. osób.

Z kolei na początku maja o możliwości wycieku danych z platformy administracyjnej Ośrodka Kształcenia na Odległość PW (OKNO) informowała Politechnika Warszawska. Jak napisano w komunikacie: „W wyniku zaistniałej sytuacji może nastąpić nieuprawnione wykorzystanie danych osobowych osób posiadających konta w tym systemie. W przypadku studentów mogło dojść do ujawnienia m.in. następujących danych: imię i nazwisko, seria i nr dowodu osobistego, nr PESEL, adres, imiona rodziców, nazwisko rodowe matki, data i miejsce urodzenia, adres e-mail, nazwa użytkownika, telefon oraz nr NIP w przypadku studentów, którym wystawione zostały faktury. W przypadku nauczycieli akademickich mogły zostać ujawnione w szczególności następujące dane: imię, nazwisko i adres e-mail".

Kłopoty nie omijają gigantów

Problemy z ochroną danych zdarzają się też największym organizacjom. Na przykład w kwietniu pojawiły się informacje o wycieku danych niemal 3,4 mln klientów firmy energetycznej Fortum.

Firma zareagowała publikując oświadczenie, w którym czytamy, że „doszło do naruszenia bezpieczeństwa danych osobowych klientów Fortum Marketing and Sales Polska S.A. Dane dotyczą zawartych umów sprzedaży energii elektrycznej i paliwa gazowego. Obejmują one m.in. imię, nazwisko, adres, numer telefonu, PESEL i numer dowodu osobistego. Dostęp do danych został niezwłocznie zablokowany i rozpoczęliśmy wewnętrzne dochodzenie. O wycieku powiadomiliśmy Prezesa Urzędu Ochrony Danych Osobowych. Jesteśmy gotowi do współpracy z władzami, aby w pełni wyjaśnić tę sprawę".

Z kolei globalna firma Avon parę dni temu poinformowała o „incydencie cybernetycznym w środowisku informatycznym Avon". Według specjalistycznego serwisu niebezpiecznik.pl, zajmującego się bezpieczeństwem w internecie, atak mógł dotyczyć spółki matki Avon, a celem mogły być bazy danych zawierające informacje o niemal 300 tys. klientów.

W ostatnich dniach problemy z ochroną danych dotknęły także McDonald's. Jak podała firma, w lipcu przez błąd podczas migracji bazy danych, była ona dostępna publicznie. „22 lipca br. otrzymaliśmy zgłoszenie o potencjalnym naruszeniu danych osobowych polegającym na nieuprawnionym dostępie do informacji dotyczących pracowników restauracji McDonald's w Polsce zawartych w narzędziu do wyświetlania grafików pracy" – napisała firma w komunikacie.

„Niezwłocznie przystąpiliśmy do zabezpieczenia danych oraz wyeliminowania możliwości dostępu do nich. Równolegle niezależne firmy rozpoczęły audyt w celu zidentyfikowania przyczyn incydentu, a także aktywnego rekonesansu aplikacji, w celu wykrycia podatności" – dodał McDonald's.

Firma zaznaczyła, że informuje swoich byłych i obecnych pracowników o wycieku, a także uruchomiła specjalna infolinię. Jednocześnie podkreśliła, że potencjalne naruszenie nie dotyczy danych gości McDonald's.

Jak przeciwdziałać wyciekom

Przy ogromnej liczbie danych osobowych przetwarzanych codziennie przez firmy niemożliwe jest całkowite wyeliminowanie ryzyka wycieku danych. Jednak można starać się minimalizować taką możliwość.

Jak starać się uniknąć tego typu sytuacji? – Nasz wysiłek, jako firmy, w aktualizowaniu zabezpieczeń nigdy nie powinien się kończyć. Ważna jest także adekwatność zabezpieczeń – wskazuje Kamila Kwaterska.

– Jak widać z decyzji organów, które zajmują się kontrolowaniem tego, jak przetwarzamy dane osobowe, nie chodzi o to, byśmy wykazali, że mamy jakiekolwiek zabezpieczenia. Czyli, że mamy w firmie informatyka albo że mamy bardzo drogie systemy i bardzo drogie zabezpieczenia – wyjaśnia ekspertka.

– Chodzi o to, żebyśmy mieli zabezpieczenia adekwatne do ryzyk, które oceniliśmy, do naszych możliwości finansowych i do zakresu przetwarzania danych. I abyśmy w toku ich przetwarzania stale dokonywali aktualizacji tych ryzyk i w efekcie także aktualizacji zabezpieczeń – podsumowuje Kamila Kwaterska.