Pierwszy rok z RODO – podsumowanie

Na koniec maja przypada pierwsza rocznica obowiązywania unijnego Rozporządzenia poświęconego ochronie danych. Ostatnie dwanaście miesięcy zweryfikowały przepisy w praktyce. Jak działa RODO? Czy wszystkie zapisy działają według założeń?

Sprawdź RODO z LOG System

RODO w praktyce – pierwszy rok Rozporządzenia

Ogólne rozporządzenie UE w sprawie ochrony danych osobowych zaczęło obowiązywać  25 maja 2018 r. Choć minął prawie rok, eksperci specjalizujący się w zagadnieniu prywatności w Internecie, już teraz bacznie przyglądają się skutkom wdrożonego Rozporządzenia. Na konferencji Stowarzyszenia Specjalistów ds. Prywatności w Londynie podkreślono, że ostatnie miesiące należy uznać za przejściowe. Czym charakteryzowało się RODO w ciągu ostatnich 365 dni?

Widmo RODO i liczne absurdy

Większośc z nas, a zwłaszcza przedsiębiorcy, pamietają sytuację sprzed roku. Informacje o nadchodzącym RODO mało co, nie zaczęłyby “wyskakiwać z lodówki”. Wskazuje na to choćby trend z wyszukiwarki Google. Przed 25 maja 2018 zainteresowanie hasłem RODO w wyszukiwarce Google było o 90% większe jak dzisiaj (dane Google Trends, hasła RODO, GDPR za okres 1.03.2018-14.05.2019). Tajemną wiedzę, jak wdrożyć niesprecyzowane zapisy Rozporządzenia przekazywały liczne, nowe, firmy eksperckie specjalizujące się w  ochronie danych. I tak oto nadszedł dzień sądny, a żadna apokalipsa nie nastąpiła. Przynajmniej do czasu.

Temat ochrony danych, oprócz stresu i poniesionych kosztów, wywołał niejednokrotnie uśmiech na naszych twarzach. A wszystko za sprawą głośnych absurdów związanych z przestrzeganiem zapisów Rozporządzenia. Słyszeliśmy m.in. o:

  • dyrektorach szkół i nauczycielach, którzy zastanawiali się, czy mogą odczytać imię i nazwisko ucznia wyróżnionego czerwonym paskiem,
  • zamkniętych cmentarzach, ponieważ niektóre z nagrobków zawierały (o zgrozo) imiona i nazwiska jeszcze żyjących osób,
  • ofertach szaf RODO,
  • godzinach urzędowania “fakturowca”, który był wyłącznie upoważniony do przyjmowania danych do wystawienia FV.

Mamy nadzieję, że absurdów będzie coraz mniej, a z licznych memów i informacji w mediach przynajmniej część społeczeństwa przyswoiła wiedzę na temat ochrony danych osobowych.

Pierwszy rok z RODO w liczbach

Pierwszy rok z RODO to w kwestii ochrony danych zarówno sukcesy, jak i porażki. Rozporządzenie okazało się sukcesem pod kątem zgłaszania powiadomień o naruszeniu danych. Z drugiej strony przepisy, jak do tej pory, nie mają dużego przełożenia na nakładanie kar na organizacje, które zbyt nieodpowiedzialnie podchodzą do ochrony danych osobowych klientów i użytkowników.

Najistotniejsze fakty związane z RODO z ostatnich dwunastu miesięcy:

  • w ciągu miesiąca w Wielkiej Brytanii zgłoszono 1700 przypadków naruszenia danych,
  • w całej Europie zgłoszono prawie 60 000 przypadków naruszeń w ciągu pierwszych ośmiu miesięcy RODO,
  • została nałożona kara 400 000 EUR na portugalski szpital, który nie zapewnił odpowiedniej ochrony danych pacjentów,
  • na firmę Google w styczniu 2019 została nałożona kara w wysokości 50 milinów euro, co stanowi prawie 90% procent wszystkich kar nałożonych w związku z nieprzestrzeganiem zapisów RODO,
  • w Polsce toczą się pierwsze postępowania i nakładane są pierwsze kary. UODO bada między innymi wyciek danych klientów Morele.net,
  • do polskich sądów wpłynęły pierwsze pozwy związane z naruszeniem ochrony danych osobowych przez administratorów tych danych,
  • opublikowany Przez Europejską Rade Ochrony Danych pod koniec lutego 209 raport wskazuje, że suma kar nałożonych w związku z nieprzestrzeganiem zapisów RODO wyniosła 55 955 871 euro.

Wpływ RODO na bezpieczeństwo danych w UE

Podwojenie liczby corocznie zgłaszanych naruszeń w wyniku wprowadzenia RODO ma wymierne znaczenie. Przede wszystkim są to cenne informacje dla konsumentów, których dane mogły zostać skradzione, jak również dla regulatorów i projektantów technologii próbujących zrozumieć i złagodzić przyczyny leżące u podstaw naruszeń. Efektom przyglądają się także naukowcy, pracujący nad badaniem wpływu i kosztów tych naruszeń.

Przed przyjęciem rozporządzenia w sprawie RODO w Unii Europejskiej nie istniała ustawa, która dotyczyła sposobu powiadamiania o naruszeniach występujących na jej terenie.  RODO w znacznym stopniu ujednoliciło ustawy krajowe państw członkowskich w tym zakresie. Dyrektywa wymaga od organizacji zgłaszania naruszeń danych zarówno zainteresowanym osobom, jak i odpowiednim organom regulacyjnym w ciągu 72 godzin od ich wykrycia. Ustanowiła również wspólną, szerszą definicję danych osobowych. Efektem tych działań było określenie, co stanowi naruszenie danych osobowych oraz wprowadzenie ustandaryzowanego systemu powiadamiania dla całej UE.

RODO w systemach informatycznych

W momencie wejścia w życie Rozporządzenia o Ochronie Danych Osobowych wiele firm postanowiło skorzystać ze wsparcia systemów informatycznych. Dodatkowym bodźcem wymuszającym tego typu zachowania, był wymóg zgłaszania incydentów naruszeń w ciągu 72 godzin. Nowe przepisy spowodowały, że przedsiębiorcy musieli zoptymalizować i zautomatyzować proces przetwarzania danych.

Kluczowe okazało się odpowiednie zarządzanie dostępami do danych osobowych, co było możliwe dzięki obsadzeniu nowych, wymaganych stanowisk przed inspektorów ochrony danych. Wiele przedsiębiorstw zaczęło wprowadzać szyfrowanie informacji poprzez specjalne łącza – VPN. W czasopiśmie CRN możemy przeczytać, że: “W rzeczywistości nie chodzi bowiem o usuwanie danych fizycznie z nośnika, tylko o uniemożliwienie uzyskiwania dostępu do nich w określonych procesach biznesowych lub przez poszczególne działy czy pracowników.” (RODO: kolejne wyzwania, kolejne wdrożenia)

Liczba zagrożeń związana z cyberatakami jest coraz większa. Zatem jak sobie z nimi radzić? Sumiennie przeprowadzona analiza ryzyka jest w stanie pomóc przedsiębiorcom w dostosowaniu mało precyzyjnych przepisów o ochronie danych osobowych. Dzięki niej firmy będą w stanie zlokalizować najbardziej newralgiczne punkty, narażone na wyciek danych.

Sprawdź RODO z LOG System

Pierwszy rok z RODO – wnioski

O ile RODO wywiązuje się z polityki powiadamiania o naruszeniach, w swoim podstawowym zadaniu, o tyle – w karaniu organizacji za niewłaściwe przetwarzanie danych osobowych – spisuje się znacznie gorzej. RODO nadało europejskim organom ochrony danych możliwość nałożenia naprawdę znaczących kar na firmy za naruszenie prawa. Kary te mogą sięgać nawet 4 procent rocznych globalnych przychodów firmy. Są to znacznie większe niż symboliczne grzywny.

Zdecydowana większość organizacji nadal unika kar za brak ochrony danych swoich klientów, a ogromna większość sankcji za ich nieodpowiednie zabezpieczenie jest wciąż zbyt niska. Raport Europejskiej Rady Ochrony Danych wykazał, że na podstawie Rozporządzenia, w ciągu pierwszych dziewięciu miesięcy, zgodnie z przepisami nałożono kary w wysokości 55 955 871 euro. Taki wynik można uznać za wskaźnik sukcesu nowych przepisów. Jednak mając na uwadze, że pojedyncza grzywna w wysokości 50 milionów euro nałożona na Google w styczniu, stanowi prawie 90 procent tej kwoty, zupełnie zmienia perspektywę.

Podsumowanie

Przedsiębiorcy z Polski nadal czekają na pierwsze decyzje i orzecznictwo w zakresie RODO. Wyroki i sankcje pomogą im zmierzyć się i skorygować działania wewnątrz organizacji w zakresie ochrony danych. Już teraz, na podstawie sygnałów płynących z innych krajów UE, można powiedzieć, że przedsiębiorcy powinni zrewidować rozwiązania wdrożone w swoich organizacjach. Jedno jest pewne – przetwarzając dane osobowe, nie można uniknąć konsekwencji wynikających z RODO

https://logsystem.pl/wp-content/uploads/2019/05/fb-webinar-02-1-1024x533.png
Webinar RODO z LOG System juz 16 maja 2019!

Materiały:

https://blog.f-secure.com/past-present-and-future-of-gdpr-explained/
https://iapp.org/news/a/recap-edpbs-first-year-review-of-the-gdpr/

Powiązane artykuły