Polityka Ochrony Danych

Dlaczego warto posiadać Politykę Ochrony Danych?

Ochrona bezpieczeństwa oraz ochrona informacji w dzisiejszych czasach jest niewątpliwie bardzo ważna. Odpowiedni poziom zabezpieczeń może bowiem stanowić przewagę konkurencyjną przedsiębiorstw.

Wraz z postępem technologicznym i wzrostem znaczenia informacji, znacznie wzrosła również skala zbierania i wymiany danych osobowych. Dostrzeżono więc potrzebę modyfikacji uregulowań prawnych w tym zakresie. Dotychczasowe przepisy w zakresie ochrony danych osobowych jasno określały jakie wymagania należy spełnić, aby działania administratora gwarantowały odpowiednią ochronę. Jednak sytuacja zmieniła się po wejściu w życie RODO, które nie zawiera wyraźnych przepisów dotyczących minimalnych standardów zabezpieczeń. Taka sytuacja nakazuje przedsiębiorcom działać w oparciu o własne procedury.

Powszechnie uznaje się, że najsłabszym ogniwem w organizacji jest człowiek. Często to właśnie pracownik stoi za ujawnieniem ważnych dla organizacji informacji. I wcale nie chodzi o to, aby obwiniać konkretne osoby, ale aby skupić się na minimalizacji ryzyka wycieku danych. Poza szkoleniem pracowników, wymierne efekty przynosi właśnie opracowanie i stosowanie odpowiednich procedur dotyczących bezpieczeństwa. Jednolite zasady w tym zakresie świadczą o wysokim poziomie rozwoju firmy. Ich wdrożenie dowodzi uwzględnienia znaczenia informacji w dzisiejszym środowisku biznesowym.

Dokument dotyczący omawianych procedur może nosić różne nazwy: „Polityka Bezpieczeństwa Informacji” czy „Polityka Ochrony Danych”. Niezależenie od tytułu, najważniejszą jej cechą jest to, że jest dostosowana do potrzeb danej organizacji.

Dobrze skonstruowana Polityka posiada kilka zasadniczych zalet.

  1. Odpowiednie procedury pozwalają osiągnąć zgodność z przepisami.

Jak zostało to wspomniane wyżej, dane osobowe stanowią informację i są ważnym zasobem dla firmy. Ich ochrona jest uregulowana przepisami prawnymi, co sprawia, że należy do niej przywiązywać szczególną wagę. Wyciek danych osobowych może nie tylko wpływać na konkurencyjność przedsiębiorstwa, ale również może skutkować karami finansowymi. Z tej perspektywy, zapewnienie odpowiedniego poziomu ochrony jest niezwykle ważne.

Odpowiednia dokumentacja pozwala nam usystematyzować jakie zabezpieczenia posiadamy oraz jakim wymogom prawnym one odpowiadają. Polityka Bezpieczeństwa Informacji w jasny sposób określa w jaki sposób spełniamy ciążące na nas obowiązki i jak umożliwiamy realizację praw osób, których dane przetwarzamy. Co więcej, sama Polityka nie jest obwarowana żadnymi przepisami, co daje nam pole do jej dowolnego kształtowania. Powszechną praktyką jest więc tworzenie kompleksowego dokumentu, który zawiera załączniki takie jak np. rejestr czynności przetwarzania (wymagany w pewnych przypadkach przez RODO). Tego typu dokument może więc stanowić kompletną dokumentację dotyczącą ochrony danych osobowych.

Pamiętajmy również, że RODO wprowadziło zasadę rozliczalności. Polega ona na tym, że to sam administrator danych musi wykazać zgodność z obowiązującymi przepisami. Samo posiadanie Polityki Bezpieczeństwa Informacji może stanowić dla organu nadzorczego dowód, że firma jako administrator danych dokonała należytej staranności w celu zabezpieczenia posiadanych danych i zastosowała środki organizacyjne mające na celu zminimalizowanie ryzyka ich naruszenia.

2. Zapewnia odpowiedni poziom bezpieczeństwa i wpływa na konkurencyjność firmy.

Poza spełnieniem wymogów prawnych, samo zapewnienie bezpieczeństwa informacji stanowi ważną strategię w osiąganiu sukcesów biznesowych. Jest ważne nie tylko dla samej organizacji (aby nie utraciła posiadanych zasobów), ale również dla jej partnerów biznesowych. Spełnianie określonych standardów i udokumentowane posiadanie zabezpieczeń z pewnością sprzyja nawiązywaniu współpracy.

W kontekście danych osobowych warto w tym miejscu odnieść się do umowy powierzenia. Ma ona zastosowanie w przypadku przekazywania danych osobowych innej organizacji, która przetwarza je w imieniu administratora. Powierzenie danych, nakłada na administratora obowiązek korzystania wyłącznie z usług podmiotu, który spełnia wymogi RODO, a więc który wdrożył odpowiednie środki techniczne i organizacyjne.

Posiadanie kompleksowej Polityki Bezpieczeństwa Informacji znowu może stanowić odpowiedni dowód zgodności z przepisami prawa. Odpowiednio skonstruowany dokument opisuje bowiem wdrożone środki i zabezpieczenia, a więc stanowi istotną podstawę do uznania, że zapewniony jest odpowiedni poziom ochrony danych osobowych.

3. Zapewnia poprawne działanie w przypadku sytuacji kryzysowej.

Nie od dzisiaj wiadomo, że w sytuacjach kryzysowych należy działać szybko, a często wpadamy w panikę i nie wiemy, jak się zachować. Może to rodzić nie tylko opóźnienia w reakcji, ale także wpływać na pogorszenie zaistniałej sytuacji.

Aby do tego nie dopuścić należy zawczasu opracować odpowiedni proces. Ważne jest, żeby ustalić do kogo ma trafić informacja w momencie wystąpienia naruszenia bezpieczeństwa, kto za nią odpowiada, w jaki sposób mają postępować pracownicy, jakie są terminy na ewentualne zgłoszenie do organów nadzorczych etc.

Naruszenie bezpieczeństwa informacji nie jest codzienną sytuacją i wprowadza chaos do organizacji. Odpowiednie procedury z pewnością pomagają nawet w niewielkim stopniu nad nim zapanować.

4. Pozwala na bieżące aktualizowanie wiedzy pracowników oraz umożliwia łatwe zapoznanie nowych pracowników z obowiązującymi zasadami.

Wewnętrzny dokument posiada ważną zaletę, jeśli jest dostępny dla pracowników, Ci mogą się z nim zapoznać w każdym czasie, w zależności od potrzeb. Skraca to znacznie czas reakcji w sytuacji kryzysowej (nie trzeba czekać na instrukcje kompetentnej osoby) oraz pozwala na samodzielne dokształcanie się z zakresu zabezpieczeń informacji. Jest to ważne nie tylko z punktu widzenia pracodawcy, ale samego pracownika. Jest on zazwyczaj zobowiązany do zachowania poufności, dostaje upoważnienia do ochrony danych, wobec tego we własnym interesie powinien zapoznać się z polityką firmy z zakresu ochrony informacji. Naruszenie któregoś ze zobowiązań może bowiem skutkować pociągnięciem go do odpowiedzialności.

Kompletne instrukcje są ważne również dla nowych pracowników. Po pierwsze, mogą oni zapoznać się ze wszystkimi procedurami. Po drugie, mówiąc kolokwialnie, w każdym czasie mogą do nich „wrócić”. Jest to szczególnie ważne biorąc pod uwagę ogrom informacji, z jakim nowe osoby muszą się zapoznać przychodząc do organizacji.

Spójna, jednolita polityka firmy dotycząca ochrony informacji jest niewątpliwie bardzo istotna. Jednak warunkiem osiągania ww. korzyści jest jej odpowiednie przygotowanie. Przede wszystkim tworzenie polityki wymaga głębokiego zrozumienia procesów zachodzących w organizacji oraz zidentyfikowania jej odbiorców. Jest to dokument indywidualnie dopasowany do potrzeb każdej firmy, więc nie może być „uniwersalny”. Najczęściej konieczne jest przeprowadzenie audytu i skorzystanie z pomocy profesjonalistów.

Jeszcze ważniejsze jest jednak faktyczne stosowanie procedur opisanych w Polityce.

 W jaki sposób można to skutecznie osiągnąć?

Stosowanie procedur bardzo ściśle wiąże się z ich przygotowaniem. Dobrze opracowana Polityka posiada zalety dla pracowników takie jak: poprawa organizacji pracy, uporządkowanie i ujednolicenie dokumentacji czy poprawa bezpieczeństwa danych, nie tylko klientów, ale również samych pracowników. Dlatego właśnie tak kluczowe jest zidentyfikowanie ich potrzeb w tym obszarze. Jeśli zostaną one zrealizowane, może okazać się, że stosowanie Polityki nie będzie jedynie przymusem związanym z wypełnieniem obowiązków służbowych i przypisaną za nie odpowiedzialnością.

Zapewnienie skutecznego stosowania jest uwarunkowane również bieżącą weryfikacją oraz udoskonalaniem i dostosowywaniem procedur do zmieniających się potrzeb. Aktualizowanie Polityki musi mieć miejsce w każdej organizacji, aby nie stała się ona martwym dokumentem, nie mającym zastosowania do bieżącej działalności.

Po trzecie, procedury są podstawą do szkoleń. Należy edukować pracowników, żeby wprowadzone reguły były dla nich jasne, a ich stosowanie prostsze. Szkolenia są doskonałą okazją do wytłumaczenia przyczyn ich wprowadzania, rozwiania pojawiających się wątpliwości, a także wysłuchania propozycji ewentualnych zmian.

Nie sposób nie docenić znaczenia informacji, w tym danych osobowych, w dzisiejszych czasach. Nie sposób również pominąć kwestii ich zabezpieczenia. Rozwiązania techniczne to jedno, natomiast warto skupić się również na rozwiązaniach organizacyjnych. Wprowadzenie odpowiednich procedur może zminimalizować ryzyko naruszania bezpieczeństwa danych w firmie i w efekcie przyczynić się do jej sprawnego działania.

Autor: Aleksandra Ksionek.

Fanpage na Facebooku, przetwarzanie danych osobowych, a RODO

kara RODO, wyrok, zmiany w ochronie danych osobowych

Fanpage na Facebooku

Kto w dzisiejszych czasach wyobraża sobie całkowitą rezygnację z serwisów społecznościowych? A jeśli nawet, to w naszym otoczeniu trudno będzie znaleźć osoby, którym te miejsca w sieci są zupełnie obojętne (szczególnie dzięki RODO). Idą za tym różne względy, szukanie znajomych z lat szkolnych, wymiana notatek czy zdjęć, szukanie mieszkania, wspieranie fanpage firm, które lubimy lub poszukiwania pracy.

W Polsce najpopularniejsza platforma gromadzi ok.16 mln unikalnych użytkowników powyżej 13 roku życia. Szacuje się, że 80 procent z nich loguje się do serwisu codziennie. Niewiele jednak zastanawia się jak przetwarzane są dane osobowe, które gromadzi Facebook, który pierwotnie powstał by rejestrować użytkowników tworzących sieci, grupy, by dzielić się wiadomościami oraz zdjęciami, a także korzystać z aplikacji. Użytkowników wciąż przybywa, a wraz z nimi przybywa także pytań i wątpliwości, dotyczących kwestii ochrony zbieranych danych. Jednym z zagadnień jest prowadzenie fanpage’a na Facebooku i statusu prawnego firm, które się tym zajmują.

Wyrok…

Temat RODO nie jest już w centrum uwagi, głośnym za to stał się wyrok z 5 czerwca 2018 r. w sprawie C‑210/16 Trybunału Sprawiedliwości Unii Europejskiej, który niewątpliwie zrewolucjonizuje podejście niektórych do korzystania z najbardziej popularnego serwisu społecznościowego. Sprawa dotyczyła spółki Wirtschaftsakademie, znajdującej się w Niemczech, która kształci za pośrednictwem fanpage’a Facebook. Ponadto korzystano w tym przypadku także z Facebook Insights, który analizuje statystyki dotyczące użytkowników, którzy odwiedzają fanpage. Dane są anonimizowane, w związku z czym nieświadoma przetwarzania danych osobowych spółka nie informowała osób korzystających ze strony o zbieraniu danych osobowych poprzez pliki cookies.

Trybunał w wyroku podał, że Facebook nie będzie jedynym odpowiadającym za przetwarzanie danych osobowych, odwiedzających fanpage osób. Drugim zupełnie odrębnym administratorem danych osobowych użytkowników zbieranych za pomocą tzw. plików cookies na fanpage będzie dodatkowo administrator bądź administratorzy fanpage. To swoiste novum, niosące ze sobą liczne kontrowersje, ponieważ dotychczas przyjęło się, że to portal Facebook jest wyłącznym administratorem danych osobowych użytkowników.

Konsekwencjami wyroku jest zobligowanie osoby prowadzącej fanpage do informowania wchodzących na stronę o przetwarzaniu ich danych osobowych (skorzystanie z tzw. obowiązku informacyjnego), a w przypadku sprawy Wirtschaftsakademie z Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein dezaktywacja fanpage’a. Jest to związane z możliwością określenia celów i sposobów przetwarzania danych w czym gromadzenia danych odnośnie szczegółów demograficznych dotyczących korzystających z portalu i fanpage użytkowników m.in. takich jak dane odnośnie stanu cywilnego, zainteresowań, stylu życia, wieku, płci, a także statusu zawodowego.

Facebook

Już od 10 lat, a liczba jego użytkowników ciągle się zwiększa. Należałoby tutaj podkreślić, że zbierane przez serwis i administratora dane są danymi osobowymi, a zatem istotne jest przeanalizowanie podstawy prawnej przetwarzania. Czy w tym przypadku można by mówić o uzasadnionym interesie, czy będziemy mieć do czynienia ze zgodą? Być może proces zbierania danych osobowych, który jest przedmiotem dywagacji winien szukać swoich podstaw w profilowaniu, które odbywa się w celu marketingu bezpośredniego, określonego przez RODO jako cel wynikający z uzasadnionych interesów administratora. Wydaje się, że już na początku przy procesie zbierania danych osobowych ,ale także na konkretny wniosek osób powinno się informować o profilowaniu i oczekiwać wyrażenia zgody, bez uzyskania której nie ma podstawy na przetwarzanie danych osobowych. W związku z powyższymi rozważaniami właściciele firm, agencji marketingowych i właściciele fanpage na Facebooku są zainteresowani tym kiedy i jak odpowiednio można uzyskać zgodę użytkowników oraz przedstawić obowiązek informacyjny wraz z klauzulami informacyjnymi. Kolejnym problemem jawi się być odpowiedzialność w przypadku, gdy administrowaniem konkretnych profili zajmują się firmy zewnętrzne. Tego rodzaju postanowienia powinny być rozważone i określone następnie w umowach. Druga zaś strona medalu wygląda tak, że sama obecność tj. rejestracja na portalach społecznościowych może być szerzej interpretowana jako dorozumiana zgoda, ponieważ jest to świadome działanie użytkowników związane z przetwarzaniem danych osobowych w sieci, często wraz z prezentacją swojego wizerunku, ponadto imienia, nazwiska bądź nazwisk, zainteresowań, preferencji politycznych, często miejsca zamieszkania i innych danych.

Co dalej?

Niewątpliwie i niezmiennie Facebook zajmuje pierwsze miejsce wśród portali społecznościowych. Dzięki prostemu interfejsowi przyciąga w bardzo szybkim tempie zarówno młodszych i starszych użytkowników, którzy z chęcią z niego korzystają. Zdecydowanie próbuje opanować jak największą liczbę obszarów życia człowieka. Aby dogonić tendencje i trendy Facebook sprytnie korzysta z funkcjonalności prezentowanej przez Google, Youtube, Snapchat etc. a następnie wdraża te rozwiązania do siebie. Zdaje się, że podstawowe funkcje, takie jak kontakt ze znajomymi, czy prezentowanie zdjęć przechodzą do lamusa. Platforma rozrosła się do ogromnego stopnia. W ciągu ostatnich dziesięciu lat Facebook jest jednym z najbardziej trafiających do konsumentów typem reklamy. Posiada rozwiązania i narzędzia, aby poprawiać zasięgi i trafiać poprzez różne jej formaty. Prócz możliwości biznesowych Facebook gromadzi dane demograficzne, a także geolokalizacyjne poprzez oznaczanie się w konkretnych miejscach, dodawanie statusów, czy udostępnianie miejsca pobytu. Platforma umożliwia zapoznanie się z czyimś gustem muzycznym, kulinarnym, preferencjami dotyczącymi lokalizacji. Bardzo często, kiedy dany użytkownik jest zainteresowany uczestniczeniem bądź weźmie udział w imprezie masowej, koncercie bądź warsztatach jego znajomi zostają poinformowani o tym fakcie. Aplikacje, które posiadamy na smartphonach takie jak Instagram, Messenger, WhatsApp, a nawet Tinder połączone automatycznie z Facebookiem zdradzają szereg informacji o użytkownikach. Są to wizerunek, ich dane behawioralne, czasem dane dotyczące orientacji seksualnej. Messenger, przez który można wymieniać wiadomości nie będąc znajomymi w bardzo wielu przypadkach zastępuje komunikacje wiadomościami tekstowymi na telefonie, to tam użytkownicy wymieniają się danymi przyjętymi za poufne, zdjęciami, danymi takimi jak numery dostępu do konta, loginy etc. Dla serwisu zainteresowanie użytkownika swoistymi nowinkami ma na celu zapoznanie z reklamami. To, jak można kategoryzować dopasowywanie reklam dzięki Facebookowi jest zbawiennym źródłem dla rozwoju biznesu.

Autor: Monika Liwoch

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA MŁODSZĄ SIOSTRĄ RODO?

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA MŁODSZĄ SIOSTRĄ RODO? 

Wiele osób zainteresowanych tematyką cyberbezpieczeństwa w sieci zadaje sobie szereg pytań: co wprowadzi podpisana 1 sierpnia przez Prezydenta Andrzeja Dudę ustawa o krajowym systemie cyberbezpieczeństwa? Jakie zmiany przed nami? Czy pojawią się modyfikacje w kontekście RODO? A może przedsiębiorcy powinni bać się kar? 

Na wstępie warto wskazać, czym tak naprawdę jest cyberbezpieczeństwo. To sytuacja, stan, w której systemy informatyczne wraz z przetwarzanymi w nich informacjami są bezpieczne, niezagrożone przez cyberprzestępców. Zwykle definiowane jest jako zespół inicjatyw, które mają na celu uzyskanie bezpieczeństwa w sieci. Proces polega na zapewnianiu bezpieczeństwa danych elektronicznych i ich przetwarzania. 

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) jest nazywana młodszą siostrą RODO. Jednak gro osób nie ma świadomości jej wejścia w życie. Być może powodem jest brak zapisów o wysokich karach, które nie budzą grozy. Czy jednak słusznie? Obowiązująca od 28 sierpnia 2018 roku tzw. ustawa o cyberbezpieczeństwie jest wykonaniem unijnej dyrektywy nr 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, czyli tak zwanej dyrektywy NIS. 

Krajowy System Cyberbezpieczeństwa 

Nadzorowaniem CSIRT (z j. ang Computer Security Incident Response Team) zajmie się Agencja Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (CSIRT NASK), jak i resort obrony narodowej (CSIRT MON). 

System zarządzania cyberbezpieczeństwem w Polsce będzie oparty na podziale dwupoziomowym. Na poziomie roboczym (Zespół ds. Obsługi Incydentów Krytycznych) jak i instytucjonalnym (Pełnomocnik Rządu ds. Cyberbezpieczeństwa oraz Kolegium ds. Cyberbezpieczeństwa). Ich współpraca będzie oparta na wzajemnym kontakcie oraz kontakcie z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa. 

Operatorzy usług kluczowych 

Nowa ustawa ma pomóc w ochronie cyberprzestrzeni na poziomie krajowym. 

Wnosi wiele nowości pod kątem formalnym, zaś eksperci twierdzą, że w praktyce może zmienić się niewiele, jednak biznes jest narażony na poniesienie sporych kosztów. Postanowienia nowej ustawy będą obejmowały wyłącznie niektórych przedsiębiorców, co do zasady co najmniej średniej wielkości. Przedsiębiorcy, którzy będą musieli stosować się do przepisów ustawy to tzw. operatorzy usług kluczowych, czyli sektor energetyczny, zdrowotny, bankowy, transportowy, a także operatorów sieci. Aby zostać uznanym za takiego należy spełniać konkretne warunki, m. in. świadczyć usługi kluczowe wymienione w wykazie usług kluczowych. 

Uznanie takiego przedsiębiorcy za operatora usługi kluczowej będzie się odbywało w formie decyzji administracyjnej. Przedsiębiorca powinien przestrzegać przepisów ustawy, a od dnia ewentualnego otrzymania decyzji administracyjnej można egzekwować odpowiedzialność (w przypadku ewentualnych naruszeń). Przedsiębiorca określony jako operator usług kluczowych będzie musiał wdrożyć system bezpieczeństwa w systemie informacyjnym. 

Procedura zakwalifikowania podmiotu, jako operatora usług kluczowych jest następująca: Organ Właściwy bada rynek w celu identyfikacji potencjalnych Operatorów Usług Kluczowych, następnie rozpoczyna postępowanie administracyjne oraz zbiera informacje o podmiocie. Kolejno Organ Właściwy ma za zadanie sprawdzenie, czy podmiot spełnia wytyczne ( wymogi rozporządzenia), jeżeli tak to decyzją administracyjną wskazuje operatora usługi kluczowej. Tacy operatorzy mają od 3 do 12 miesięcy na dostosowanie się do wymogów zawartych w rozporządzeniu, realizując obowiązki wynikające z ustawy. Organami do spraw cyberbezpieczeństwa w zależności od sektora są odpowiedni ministrowie. Wyjątkiem jest sektor bankowy i infrastruktury rynków finansowych, nad którymi nadzór sprawowany będzie przez KNF. 

Będzie wymagane, aby przedsiębiorca monitorował stale, nie dochodzi do prób ataków sieciowych. Dodatkowo w firmach będzie musiała zostać wyznaczona osoba, która będzie odpowiedzialna za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Taki wyznaczony przez przedsiębiorcę – operatora usług kluczowych koordynator będzie musiał być zgłoszony w ciągu 14 dni do organu właściwego do spraw cyberbezpieczeństwa. Wymagane dane to imię, nazwisko, nr telefonu, adres e-mail. Brak zgłoszenia koordynatora funkcjonującego w firmie w ww. terminie jest sankcjonowane karą do 15 tys. zł., która może być ponawiana. 

Audyt 

Wyznaczeni przedsiębiorcy są także zobowiązani do przeprowadzenia raz na dwa lata audytu bezpieczeństwa wykorzystywanego systemu. Taki audyt będzie musiał być zlecony z zewnątrz oraz przeprowadzony przez wykwalifikowane podmioty.

Koszt audytu, jak szacuje Ministerstwo Cyfryzacji może wynosić ok. 50 tysięcy złotych.

Mimo że sankcje nie są tak wysokie jak w przypadku RODO nie należy lekceważyć nowej ustawy, ponieważ mogłoby to skutkować wyciekiem danych osobowych, w związku z czym takimi samymi kosztami, jak w przypadku RODO.

Autor: Monika Liwoch