Hakerzy i szantażyści zagrożeniem dla przetwarzających dane

Rozporządzenie o Ochronie Danych Osobowych (RODO) to regulacja, która ma sprawić, że obywatele krajów Unii Europejskiej zyskają większą kontrolę nad tym, w jaki sposób przedsiębiorstwa wykorzystują ich dane osobowe. Dotyczy to nawet organizacji spoza Wspólnoty, które przetwarzają informacje o obywatelach UE.

Uwaga na „aktywistów"

Unijne przepisy niosą ze sobą liczne zmiany, które dotkną zdecydowanej większości firm i instytucji. Na dostosowanie się do nich zainteresowani mieli wiele miesięcy. Dziś na wdrażanie jest już za późno. RODO w życie wchodzi bowiem już w ten piątek (25 maja). Warto natomiast zwrócić uwagę na kilka kwestii. Eksperci wskazują, że już od 25 maja będą podejmować zróżnicowane działania, które utrudnią życie biznesowi. Jak tłumaczy Nigel Tozer, dyrektor w firmie Commvault, hakerzy będą poszukiwać sposobów na włamanie się do określonych firm, a dane zaczną wykradać i ujawniać dopiero po wejściu RODO w życie tylko po to, aby narobić zamieszania i spowodować nakładanie kar.

– Drugim typem działań będą skoordynowane wnioski o dostęp do danych i ich usunięcie, wysyłane przez osoby, których dane dotyczą, w nadziei, że firma będąca ich adresatem będzie musiała poświęcić na nie dużo czasu i pieniędzy. Ich wysyłaniem zajmą się najprawdopodobniej grupy konsumenckie lub przeciwnicy globalizacji – przewiduje Nigel Tozer.

Na zagrożenie innymi tzw. aktywistami zwraca uwagę również Cezary Kaźmierczak, prezes Związku Przedsiębiorców i Pracodawców (ZPP). – Docierają do nas liczne sygnały o wiadomościach, w których przedsiębiorcom grozi się złożeniem donosu do prezesa Urzędu Ochrony Danych Osobowych czy też prokuratury, jeśli nie zapłacą określonej kwoty. Jest to klasyczny przykład szantażu, któremu nie należy się poddawać – przestrzega Kaźmierczak.

Tłumaczy przy tym, że z zgodnie z art. 61 nowej ustawy o ochronie danych organizacje społeczne mogą występować w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych, ale tylko za zgodą osoby, której dane dotyczą. – Ostrzegając przedsiębiorców przed próbami szantażu, a także zachęcając ich do zgłaszania wszelkich prób podobnych wyłudzeń do odpowiednich organów, apelujemy do prawodawcy, by w związku z nałożeniem na przedsiębiorców dodatkowych obowiązków, których niedopełnienie zagrożone jest ogromną karą finansową, dokonał drobnej nowelizacji kodeksu karnego. Chodzi o uniemożliwienie nieuczciwym podmiotom zarabiania na obawach związanych z wejściem w życie nowej ustawy o ochronie danych osobowych – mówi prezes ZPP.

Eksperci uspokajają przy tym, że nie należy się obawiać zmasowanych kontroli, czyhających tylko na wlepienie przedsiębiorcom gigantycznych kar finansowych. – Nie będzie żadnych masowych nalotów. Zasadniczo takie akcje byłyby możliwe, np. urząd regulacyjny w Wielkiej Brytanii przeprowadził trwający tydzień nalot na biura firmy Cambridge Analytica, ale było to po skandalu dotyczącym Facebooka – mówi przedstawiciel Commvault.

Jego zdaniem w przypadku RODO nie dojdzie do takiej sytuacji. – A z pewnością nie stanie się to od razu po wprowadzeniu w życie nowych regulacji i nie na skalę masową – przekonuje.

Zauważa przy tym, że nie należy się spodziewać spektakularnych afer i wielkich kar już w 2018 r. – Aczkolwiek może dojść do niszczących reputację firm incydentów i sporej aktywności w sądach w Europie. Batalie sądowe z biegiem czasu przyniosą jednak rewizję polityki przedsiębiorstw – podkreśla.

A o to w końcu chodzi w przepisach RODO.

Cios w automatyzację

Zgodnie z nowymi przepisami jednym z obowiązków firm (z reguły tych większych lub z określonych branż, np. finansowej) będzie powołanie inspektora ochrony danych, którego zadaniem jest nadzór nad przeprowadzaniem wewnętrznych procedur. Taki wymóg będą musiały spełnić przedsiębiorstwa, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby lub jeżeli ich działalność polega stricte na przetwarzaniu w szerokim zakresie szczególnych kategorii danych osobowych. Wraz z wejściem w życie RODO wszystkie bazy danych dotyczące klientów będą musiały być znacznie bardziej uporządkowane. Jeśli jakaś osoba wycofa upoważnienie do przetwarzania jej danych osobowych, firma będzie musiała usunąć ze swoich systemów wszelkie informacje na jej temat. Może to jednak powodować problemy ze względu na fakt, że niektóre przepisy wymagają przechowywania danych o umowach lub klientach przez określony czas.

– Istotną sprawą dla firm związanych z sektorem finansowym jest kwestia automatyzacji procesów profilowania klienta. RODO wymaga, aby mimo wszechobecnych chatbotów i nowych technologii pozwalających na automatyczną wycenę wysokości ubezpieczenia lub pożyczki w procesie decyzyjnym uczestniczył człowiek, który ostatecznie oceni możliwości klienta – wyjaśnia mec. Paweł Pawlukiewicz, członek zarządu Aasa Polska. – A to oznacza, że firmy nie będą mogły podejmować decyzji wyłącznie na podstawie systemu automatycznego profilowania – zaznacza.

Za złamanie przepisów dotyczących ochrony danych osobowych po 25 maja będą groziły nowe sankcje karne, administracyjnoprawne oraz cywilnoprawne. RODO wprowadza dodatkowo wysokie kary pieniężne, których wartość będzie określana indywidualnie w odniesieniu do każdego przedsiębiorcy w zależności od tego, jakiego uchybienia się dopuścił.

Rozporządzenie wyróżnia dwa przedziały kar: do 10 mln euro lub do 2 proc. wartości rocznego globalnego obrotu przedsiębiorstwa albo do 20 mln euro lub do 4 proc. wartości rocznego globalnego obrotu przedsiębiorstwa (w zależności od naruszenia) – przy czym zastosowanie będzie miała zawsze kara wyższa.

Co trzeba wiedzieć

RODO obejmuje wszystkie podmioty, zarówno prywatne, jak i publiczne, które przetwarzają dane osobowe (w tym: imię i nazwisko, płeć, PESEL, ale także dane o lokalizacji, adres IP, historię zakupową, poglądy polityczne czy kod genetyczny).

Zgodnie z przepisami gromadzone dane należy odpowiednio chronić, a gromadzić tylko takie, które są niezbędne w działalności. Jeśli przedsiębiorstwo przetwarza dane na dużą skalę, powinno wyznaczyć inspektora danych osobowych. Jeśli firma zatrudnia powyżej 250 osób, musi ponadto prowadzić tzw. rejestr czynności przetwarzania. Według nowych reguł osoby, których dane dotyczą, powinny zostać poinformowane o operacjach przetwarzania, ich celu oraz konsekwencjach. Taką informację można wysłać jako osobny komunikat lub zamieścić np. w stopce każdego wysyłanego online e-maila. W razie incydentu związanego z danymi należy w ciągu 72 godzin powiadomić zainteresowane osoby oraz organ nadzorczy.

Przedsiębiorcy mogą się starać o uzyskanie certyfikatu potwierdzającego, że dane w firmie przetwarzane są zgodnie z RODO. Mogą też opracować własny kodeks dobrych praktyk.