Poradnik Przedsiębiorcy

Cyberbezpieczeństwo - czy RODO w pełni zabezpiecza nasze dane?

Wszyscy doskonale wiemy jak potężnym narzędziem jest internet. Umożliwia on dzielenie się swoimi przemyśleniami czy opiniami, szukanie pomysłów czy inspiracji do działania, jak również kontaktowanie się z każdym na całym świecie bez wychodzenia z domu. Portale społecznościowe czy strony internetowe zachęcają nas do pozostawienia na nich swoich danych, takich jak na przykład adres mailowy przeznaczony do wysyłania newslettera. Niestety internet wykorzystywany jest również do niedozwolonych działań, których negatywne skutki odbijają się na ludziach, instytucjach, organizacjach, a nawet całych krajach. Stąd tak ważnym tematem jest cyberbezpieczeństwo jako odzew na bezkarność, lekkomyślność oraz ekspansję cyberprzestępców. Czym jest cyberbezpieczeństwo? Czy rozporządzenie o ochronie danych osobowych (RODO) w pełni zabezpiecza nasze interesy? 

Czym jest cyberbezpieczeństwo?

Cyberbezpieczeństwo jest jednym z najważniejszych zagadnień dzisiejszych czasów. Ogólne Rozporządzenie o Ochronie Danych to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie weszło w życie 17 maja 2016 roku, a zaczęło obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 roku. Rozporządzenie to wiąże wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Jednak nie tylko RODO nakłada na przedsiębiorców nowe, istotne obowiązki – 28 sierpnia 2018 roku weszła w życie Ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa.

W dzisiejszych czasach niemal wszystko uzależnione jest od internetu począwszy od drobnych spraw prywatnych po poważne przedsięwzięcia biznesowe. Dlatego też temat cyberbezpieczeństwa jest najpoważniejszym z wyzwań, jakie stoją przed administratorami i użytkownikami sieci teleinformatycznych. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 roku w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dyrektywa NIS) jest unijną odpowiedzią na to wyzwanie. Na terenie kraju implementuje ją właśnie Ustawa o krajowym systemie cyberbezpieczeństwa. Ustawa ta nakłada nowe obowiązki na wszystkie podmioty, których funkcjonowanie jest istotne z punktu widzenia bezpieczeństwa państwa. Spółki objęte tą regulacją zostały zobowiązane do jak najszybszego wdrożenia w swoich organizacjach nowych przepisów. Musiały przeprowadzić audyty wewnętrzne oraz przygotować stosowną dokumentację.

Ustawa o krajowym systemie cyberbezpieczeństwa definiuje szereg pojęć związanych z możliwością wystąpienia incydentów, czyli zdarzeń, które mają lub mogą mieć niekorzystny wpływ na cyberbezpieczeństwo. Nakłada na podmioty wymienione w Ustawie obowiązki związane z wdrażaniem systemów zarządzania bezpieczeństwem czy przeprowadzaniem czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów. Za naruszenia przepisów nowej ustawy przewidziano sankcje karne:  

  • grzywny dla podmiotów objętych Ustawą w wysokości do 200 000 zł,

  • grzywny dla osób fizycznych zajmujących stanowiska kierownicze, którzy nie dopełnili obowiązków (do 200% miesięcznego wynagrodzenia).

Czy RODO w pełni zabezpiecza nasze interesy?

RODO wprowadziło szereg zmian oraz poszerzyło zakres obowiązków administratorów oraz podmiotów przetwarzających nasze dane. Celem wprowadzonych przepisów jest również wyposażenie osób fizycznych oraz organów nadzorujących w skuteczne narzędzia reagowania na naruszenia Rozporządzenia.

Bardzo ważną dla przedsiębiorców kwestią jest określenie maksymalnego poziomu kar za naruszenia przepisów, które to kary mogą sięgnąć nawet 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie. Taka wysokość kar ma za zadanie odstraszenie od niewłaściwego postępowania z naszymi danymi. W miejscach, gdzie musimy zostawić swoje dane, pojawiają się klauzule o administratorze danych oraz o celu ich przetwarzania, które musimy zaakceptować (podpisać). RODO nie ma zadania utrudniania działania małych i średnich przedsiębiorców, lecz ma zabezpieczać interesy ich oraz ich klientów. Ze względu na swoją konstrukcję, nowe rozporządzenie nie narzuca gotowych rozwiązań, nie nakazuje wprowadzenia niedopasowanych odgórnych założeń. Stosowane w firmach rozwiązania są indywidualne i muszą skutecznie dbać o bezpieczeństwo danych.

RODO obejmuje swoim zakresem wszystkie podmioty świadczące swoje usługi na terenie Unii Europejskiej. Oznacza to, że prawo muszą stosować także firmy z rynków zagranicznym, np. USA.

 

Podpisując zgodę na przetwarzanie danych osobowych dajemy podstawę do przetwarzania danych osobowych przewidzianych w RODO. Nie jest to jedyna forma możliwości przetwarzania danych. W ramach stosowania nowego prawa firmy mogą zastosować inne podstawy prawne. Poza zgodą na przetwarzanie danych osobowych, inną możliwością jest np. prawnie uzasadniony interes administratora danych osobowych (ADO). W przypadku tej formy musimy dostosować ją do świadczonych usług.  Wymaga ona dodatkowo odpowiedniego udokumentowania, przede wszystkim związanego z zapewnieniem, że ten sposób przetwarzania nie narusza praw osoby, której dane dotyczą.

Możemy uznać, że stosowanie RODO bądź innych form zabezpieczających przetwarzanie danych jest bardzo ważnym i skutecznym rozwiązaniem dbającym o nasze bezpieczeństwo w sieci i nie tylko.

Jak budować świadomość cyberbezpieczeństwa w przedsiębiorstwach?

Około 72% ankietowanych przedstawicieli największych firm oświadczyło, że nie jest w pełni przygotowana na cyberataki, które według nich znajdują się na samej górze listy zagrożeń. Ponad 30% polskich firm odnotowało w 2016 roku naruszenie bezpieczeństwa informatycznego. Największy wpływ na cyberbezpieczeństwo mają przede wszystkim ludzie przy wykorzystaniu sprzętu i systemów bezpieczeństwa. Jak wynika z dostępnych opracowań (m.in. Komisji Europejskiej i Ministerstwa Cyfryzacji) bezpieczeństwo w cyberprzestrzeni określają 3 podstawowe obszary: Technika – Procedury – Ludzie.

Z analiz wynika że obszar techniczny jest na zadowalającym poziomie, jednak obszar proceduralny i ludzki wymaga szybkiego ulepszenia. Kluczem do skutecznej ochrony przed cyberatakami jest budowanie świadomości i uczestnictwo pracowników firm oraz samych przedsiębiorców w szkoleniach. W najbliższych dwóch latach planowane jest zwiększenie inwestycji w polskich przedsiębiorstwach w bezpieczeństwo informatyczne. To efekt rosnącego zagrożenia cyberprzestępstwami. Uświadamianie pracowników to najtrudniejsze, ale jednocześnie najważniejsze zadanie dla osób odpowiedzialnych za bezpieczeństwo w każdym przedsiębiorstwie. W dobrze funkcjonującym systemie każdy przedsiębiorca powinien mieć poczucie, że jego pracownicy uczestniczą w procesach odpowiadających za bezpieczeństwo cybernetyczne całej firmy. Poprzez dobrze dobrane szkolenia prowadzone przez profesjonalnych szkoleniowców można wyeliminować nawet do 99% wszystkich zdarzeń związanych z bezpieczeństwem informatycznym. Pracownicy, którzy są zaangażowani w proces zapewniania bezpieczeństwa, stają się bardziej odpowiedzialni za informacje, które tworzą.

Cyberbezpieczeństwo to jedna z najbardziej palących kwestii naszych czasów. Dotyka ona gospodarkę w zakresie finansowym i informacyjnym, ale w związku z intensywnym przetwarzaniem danych, także każdego z nas. Nie tylko stosowanie się do przepisów obowiązujących w Polsce pozwala na zachowanie bezpieczeństwa związanego z przechowywaniem i przetwarzaniem danych. Dlatego tak ważnym tematem jest stworzenie w przedsiębiorstwie bezpiecznego systemu informatycznego przy udziale wyszkolonych pracowników.