Przypominamy, że do stosowania zasad RODO zobowiązane są wszystkie instytucje, organizacje i firmy, zarówno publiczne, jak i prywatne. Mimo lat praktyki nawet najlepszym zdarza się popełniać błędy w stosowaniu tych zasad.

Najczęściej dotyczą one trzech obszarów: tworzenia dokumentacji, rozumienia samej definicji danych osobowych i stosowania zasad zgodnie z prawem. Pomyłki mogą niestety oznaczać wysokie kary, czasem zagrażające płynności finansowej.

3 Najczęstsze błędy w ochronie danych

Większości osób wydaje się, że najbardziej „błędogennym” jest korzystanie ze zebranych danych i sposób informowania ich właścicieli o sposobie ich przetwarzania. Okazuje się jednak, że sporo problemów mamy też z zupełnymi podstawami. Jak to wygląda w praktyce?

Bazowanie na przestarzałych zasadach

W myśl RODO każda organizacja musi mieć Rejestr Czynności Przetwarzania, zawierający opis sposobów zabezpieczenia danych, czyli mówiąc językiem prawnym – Opis Technicznych i Organizacyjnych ¦rodków Bezpieczeństwa. Powinien on oczywiście być zgodny z zasadami wprowadzonymi w życie w 2018 r.

Ponadto, każda organizacja zobligowana jest do przeprowadzenia analizy ryzyka, która pomoże dostosować poziom zabezpieczeń danych do wymogów. W praktyce jednak często dokumenty te zawierają nadal stare zasady z czasów sprzed unijnego rozporządzenia, czyli w myśl Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym. Treść takiej dokumentacji jest nic nie warta – zarówno z formalnego, jak i technicznego punktu widzenia.

Niewłaściwe rozumienie definicji danych osobowych

Kolejny problem to błędne rozumienie samej definicji danych. To powoduje, że niektóre informacje uznaje się za nieistotne, a w praktyce wszystkie dane o człowieku powinny być chronione. Błędny schemat również ma swoje źródło w przeszłości – w Polsce przed 2004 rokiem za dane osobowe uznawało się wyłącznie informacje identyfikacyjne.

Zgodnie z definicją zapisaną w RODO, dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To znaczy, że chodzi nie tylko o imię, nazwisko, datę urodzenia, płeć i podobne. Dane osobowe to np. również informacje o posiadanych nieruchomościach czy pojazdach.

W tym miejscu pojawia się znów wątek technologiczny. W definicji danych osobowych według RODO mieszczą się też… zdjęcia. Czy zatem można je publikować w mediach społecznościowych? To informacje udostępniane w końcu publicznie, niezależnie od tego, czy da się zidentyfikować osoby widoczne na zdjęciu, więc podlegają ochronie.

To samo dotyczy innych informacji udostępnianych na publicznym profilu firmy w mediach społecznościowych, w których wspominamy o pracownikach, partnerach biznesowych, klientach. W tej sytuacji warto zastanowić się, czy rzeczywiście musimy publikować te zdjęcia ze spotkań firmowych, konferencji, targów, a także z życia firmy?

Dane osobowe przetwarzane niezgodnie z prawem

Błędy powstają też na skutek zawiłości formalnych. Aby przetwarzanie danych odbywało się zgodnie z prawem, musi spełniać warunki zapisane w konkretnych artykułach RODO – 6 i 9. Gdzie zatem można popełnić błąd? Stosując je rozłącznie. Art. 6 jest podstawą, a 9 to tylko jego uzupełnienie, w przypadku danych szczególnych, tzw. „wrażliwych”.

To problem wypierany przez wielu inspektorów danych w organizacjach. Jeśli w firmie postępuje się według błędnego modelu, koniecznie trzeba poprawić Klauzule Informacyjne oraz przeredagować Rejestr Czynności Przetwarzania Danych. Jeśli te treści są błędne, w przypadku kontroli można spodziewać się wysokiej kary. ¦wiadomość tego błędu przebija się do polskiej praktyki bardzo powoli.

Podobnie jest, niestety, także w przypadku stosowania przestarzałych zasad przy tworzeniu dokumentacji RODO oraz rozumieniu definicji danych osobowych. Zmiany w prawie
i technologii zachodzą szybciej, niż zdajemy sobie z tego sprawę. Wszystkie instytucje muszą zatem podążać z duchem czasu, aby nie narazić się na kary finansowe.

Ubezpieczenie kołem ratunkowym?

Jak widać błędy zdarzają się nawet najlepszym. Od ich skutków można się jednak chronić, korzystając z odpowiednich ubezpieczeń. Podstawą programu ochrony powinno być ubezpieczenie od skutków zdarzeń cybernetycznych (z racji tego, że dane co do zasady przechowujemy i przetwarzamy elektronicznie).

Umożliwia ono m.in. wypłatę środków na pokrycie kosztów związanych z zabezpieczeniem i odtworzeniem zasobów cyfrowych, jeśli dojdzie do wycieku w efekcie ataku hakerskiego czy błędu ludzkiego. Co jednak ważniejsze, ubezpieczenie zakłada pokrycie kosztów działań wymaganych przez RODO w razie takiego zdarzenia, czyli przeprowadzenia akcji informacyjnej wśród potencjalnych ofiar wycieku. Ponadto zapewnia zwrot kosztów związanych z postępowaniami administracyjnymi i sądowymi oraz wypłatę odszkodowań. Na ogół cyberpolisa może uwzględniać też zapłacenie kar nałożonych w myśl RODO.

Dobrze skonstruowany program ochrony powinien uwzględniać jeszcze jeden rodzaj polis – D&O, czyli odpowiedzialności cywilnej członków kadry menedżerskiej, w końcu nieprawidłowości w tworzeniu dokumentacji, definiowaniu danych osobowych i przetwarzaniu ich zgodnie z prawem to zazwyczaj rezultat niewłaściwej decyzji, podjętej przez konkretną osobę. Właściciele firmy czy akcjonariusze mogą zatem wystąpić z roszczeniami wobec decydentów, którym będą chcieli przypisać odpowiedzialność za straty.

Przykładowo, mogą oczekiwać zrefundowania kar administracyjnych czy wyrównania innych szkód wynikających z incydentu RODO. A ubezpieczenie D&O zapewni „oskarżonym” menedżerom pokrycie kosztów obrony oraz dodatkowo tych strat, jeśli rzeczywiście okaże się, że wynikają one z zaniedbań osób odpowiedzialnych.

Jagienka Smura, Konsultant ds. RODO i bezpieczeństwa informacji w Lancea Security Consulting
Szymon Bąk, Specjalista ds. ubezpieczeń cybernetycznych z EIB SA