Dane w sieci - czy wymogi RODO zmienią ich zabezpieczenie?

O bezpieczeństwie danych osobowych w sieci rozmawialiśmy z Klaudią Skelnik, ekspertem z zakresu bezpieczeństwa informacji

Dane w sieci - czy wymogi RODO zmienią ich zabezpieczenie?

Opublikowany

Postęp informatyczny oprócz szerokiej gamy zastosowań w biznesie, medycynie i edukacji, potęguje również nowe zagrożenia. Jednym z nich jest przechowywanie i ochrona danych osobowych, którymi posługujemy się w sieci. Obecnie zbierają je nie tylko instytucje publiczne, ale przede wszystkim są narzędziem marketingowym, którego nieumiejętne zabezpieczenie owocuje problemami przedsiębiorstwa.

Brak wiedzy, świadomości i oszczędności najczęstszym powodem wycieków

W ostatnich latach sfera prawa do prywatności uległa widocznemu zawężeniu. Przyczyną tego zjawiska jest nie tylko zmiana sposobu funkcjonowania mediów, ale przede wszystkim postęp w technologii informacyjnej. Sprawowanie kontroli nad obiegiem i treścią informacji o niej, stało się bardzo utrudnione. Dostosowywanie przepisów w zakresie ochrony danych osobowych do wymogów unijnych również nie sprzyja rozwijaniu skutecznych narzędzi wspomagających ich prawną ochronę. Ciężko zatem zarówno osobom prywatnym, jak i organizacjom odnaleźć się w gąszczu skomplikowanych regulacji. Uwzględniając obecną technologię utrwalania i przetwarzania informacji, w tym danych o osobie, dochodzimy zatem do uproszczonego wniosku, że nie istnieją już istotniejsze ograniczenia w zakresie pozyskiwania, modyfikacji oraz przesyłania danych informatycznych, zarówno w aspekcie ilościowym, jak i terytorialnym.

Mimo przepisów dotyczących "ochrony danych osobowych" obowiązujących w Polsce od 1997 roku, wiedza ta nie jest powszechnie znana. Społeczeństwo w Polsce posiada bardzo niską świadomość zagrożeń związanych z bezpieczeństwem danych osobowych. Taki stan rzeczy ma jednak zmienić Rozporządzenie Ogólne o Ochronie Danych Osobowych - RODO (oryg. General Data Protection GDPR). Projekt był opracowywany przez cztery lata, a ostatecznie przyjęty przez Parlament Europejski j i Radę Unii Europejskiej, który wchodzi w życie 25 maja 2018 roku. RODO kładzie nacisk na zwiększenie wiedzy i świadomości użytkownika w kwestii przetwarzania danych, a także daje narzędzia prawne, które pozwolą świadomie nimi zrządzać.

Brak zrozumienia medium jakim jest Internet także mnoży zagrożenia. Dotychczasowe prawo nie przystawało do aktualnej sytuacji społecznej i technologicznej. Rewolucja RODO ma zmienić ten stan rzeczy i ujednolicić prawo. Regulacje będą obejmowały wszystkie kraje Unii Europejskiej, a także wszystkie podmioty, które swoje usługi świadczą na terenie wspólnoty, np. poprzez Internet. To duża zmiana, bowiem dotychczas firmy nie zarejestrowane w UE, nie podlegały prawu wspólnotowemu. Zgodnie z postanowieniami, od 25 maja każda firma świadcząca usługi na terenie UE zobowiązana jest przestrzegać regulacji GDPR.  

Grzech nr 1 - otwarta lista mailingowa

W Polsce wspomniany brak wiedzy i rozpoznawania zagrożeń w zakresie ochrony danych osobowych w sieci, powoduje błędy, które w efekcie grożą sankcjami o charakterze karnym, administracyjnoprawnym, jak i cywilnoprawnym. RODO wprowadza kary finansowe nawet do 20 mln euro m.in. za naruszenie warunków wyrażenia zgody na przetwarzanie danych czy naruszenie wykonania prawa dostępu przysługującego osobie, której dane dotyczą. W Polsce najczęściej popełnianymi błędami są: brak szyfrowania przesyłanych danych, masowa wysyłka maili z otwartą listą mailingową, zapisywanie danych na dyskach bez ich szyfrowania. Również brak odpowiedniego finansowania procesów związanych z ochroną przetwarzania danych jest częstą, pośrednią przyczyną występowania naruszeń. Zatrudnianie niewykwalifikowanych pracowników na stanowiskach, którzy mają bezpośredni wpływ na bezpieczeństwo danych osobowych (administratorzy systemów informatycznych, pracownicy IT), to także grzech pracodawców wynikający w dużej mierze z oszczędności budżetowych.

Kiedy podejrzewasz, że Twoje dane wyciekły

Każdy kto podejrzewa, że jego dane osobowe wyciekły, może poinformować Generalnego Inspektora Ochrony Danych Osobowych o tym, że administrator danych osobowych nie zapewnił im wystarczającej ochrony. Administrator w takiej sytuacji jest narażony przede wszystkim na odpowiedzialność karną. Według obowiązujących przepisów, jeśli działa umyślnie, może grozić kara pozbawienia wolności do dwóch lat. Osoba poszkodowana może dochodzić praw w sądzie cywilnym. Podstawą takich roszczeń jest art. 415 kodeksu cywilnego, według którego "kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia". W przypadku wycieku danych możemy więc ubiegać się o odszkodowanie, wpłatę na cel społeczny, przeprosiny oraz podjęcie działań mających na celu likwidację jego skutków. 

Więcej o ekspercie:

Klaudia Skelnik - Wyższe Szkoły Bankowe

Wyższe Szkoły Bankowe

Kopiuj tekst

Udostępnij

Bitcoin

Bitcoin jest kryptowalutą wprowadzoną w 2009 roku przez osobę (bądź grupę osób) o pseudonimie Satoshi Nakamoto. Nazwa odnosi się także do używającego jej otwartoźródłowego oprogramowania oraz sieci peer-to-peer, którą formuje. Bitmonety mogą zostać zapisane na komputerze