Dzień Ochrony Danych Osobowych 2020 - jak radzimy sobie z wymagającym RODO?

Kwestie ochrony danych osobowych i prywatności do niedawna zajmowały jedynie wąską grupę specjalistów w przedsiębiorstwach i instytucjach. Jeśli ktoś nie był konsultantem ds. informatyki albo prawnikiem, nie interesował się zgodnością procedur z zasadami ochrony prywatności. W jaki sposób zatem udało się osiągnąć stan, w którym wiele organizacji jest prawnie zobowiązanych do zatrudnienia inspektora ochrony danych? Dlaczego menedżerowie tak bardzo interesują się strategią ochrony danych i polityką prywatności swoich przedsiębiorstw? 

Można by pomyśleć, że prywatność to obszar, który na dobre zaistniał dopiero w 2018 roku, ale oczywiście nie jest to prawdą. Patrząc z antropologicznego punktu widzenia, już od ponad 3000 lat ludzie dążą do prywatności. Świadczą o tym chociażby wewnętrzne ściany odgradzające poszczególne izby w domostwach, wynalazek znany od wielu setek lat. Znana nam dziś koncepcja „prawa do prywatności” rzeczywiście pojawiła się wcześniej, wymieniono je jako jedno z praw człowieka w powszechnej deklaracji z 1948 roku. Państwem, które jako pierwsze wprowadziło krajowe przepisy dotyczące ochrony danych, była Szwecja. Stało się to w roku 1973, a ten pierwszy konkretny krok zmierzający do regulacji prawnej zagadnień ochrony danych również stanowił reakcję na obawy społeczne związane z coraz bardziej powszechnym stosowaniem komputerów do przetwarzania i przechowywania informacji osobowych.

Dyskutując na temat ochrony danych, powinniśmy pamiętać o kontekście historycznym, jednak rzeczywiście rok 2018 należy uznać za przełomowy. Ogólne rozporządzenie o ochronie danych (RODO) obowiązuje dopiero od niecałych dwóch lat, ale ma znaczący wpływ na funkcjonowanie rynku. Przepisy są bardzo szczegółowe, co umożliwia ich egzekucję, a organy regulacyjne nie wahają się skorzystać z dostępnych środków. Wysokość nałożonych do tej pory kar wynosi prawie 429 mln EUR. Ta wartość powinna dać nam do myślenia — każde przedsiębiorstwo, które przetwarza dane obywateli Unii Europejskiej, musi mieć świadomość potencjalnych skutków nieprzestrzegania wymagań dotyczących ochrony danych.

Luka kompetencyjna

Rozporządzenie RODO nie tylko wyznacza bardziej przejrzyste ramy prawne procedur przetwarzania danych, ale także koncentruje się na prawach osób indywidualnych. Nie opiera się na standardach technicznych i wymaganiach dotyczących oprogramowania, tylko na podstawowych prawach obywatelskich i sposobach ich respektowania przez przedstawicieli biznesu. Jednym z bardziej konkretnych zapisów RODO jest artykuł 37, który stwierdza, że niektóre przedsiębiorstwa mają obowiązek wyznaczenia inspektora ochrony danych. Szczególnie dotyczy to instytucji i firm, których główna działalność wymaga systematycznego monitorowania osób fizycznych na dużą skalę lub przetwarzania na dużą skalę danych dotyczących wyroków skazujących i naruszeń prawa.

Nie każdy podmiot jest zobowiązany przez RODO do powołania inspektora ochrony danych, jednak wykonanie takiego kroku jest zalecane w przedsiębiorstwach, które chcą zadbać o prawidłowość procesów przetwarzania. W najnowszym raporcie Veeam Cloud Data Management Report stwierdzono, że firmy z różnych branż zamierzają wydać średnio 41 mln USD na wdrażanie technologii związanych z inteligentną analizą danych, nic zatem dziwnego, że doświadczeni inspektorzy ochrony danych stali się poszukiwani na rynku. W roku 2018, po wejściu RODO w życie, pojawiło się 75 tysięcy stanowisk inspektora ochrony danych do obsadzenia, z czego na Europę i Stany Zjednoczone przypada 28 tysięcy.

Zwłaszcza w tym przejściowym okresie przedsiębiorstwa muszą zadbać o rozwój kultury organizacyjnej opartej na transparentności w obszarze wykorzystania przetwarzanych danych. Nie każdy pracownik musi być ekspertem w tej dziedzinie, jednak wszyscy powinni zrozumieć i uwzględnić pewne podstawowe zasady. Ponadto, mimo że właścicielem procesów zapewnienia zgodności z RODO jest inspektor ochrony danych, ostatecznie odpowiedzialność za ich realizację spoczywa na dyrektorze generalnym. Warto dodać, że kwestia ochrony danych wiąże się nie tylko z zagadnieniami biznesowymi, ale także technologicznymi. Dlatego przedsiębiorstwa muszą przygotować strategię informatyczną, która umożliwi zastosowanie procedur ochrony danych opartych na solidnych podstawach.

„Również w Polsce coraz więcej firm dostrzega konieczność ochrony danych na każdym z etapów jej przetwarzania i przechowywania, w tym potrzebę tworzenia kopii zapasowych. Ma to na celu nie tylko zapewnienie zgodności z RODO. Google przeprowadziło badania[1], z których wynika, że prawie 9% twardych dysków ulega awarii w przeciągu pierwszych trzech lat pracy. Obserwuje się także wzrost ukierunkowanych ataków typu ransomware, gdzie cyberprzestępcy szyfrują dyski i żądają okupu za odzyskanie dostępu do danych. We współczesnej gospodarce dane są często najcenniejszymi aktywami firm, a bez dostępu do nich część z nich nawet upada. Pokazało to badanie amerykańskiego Biura ds. Pracy[2]  (US Bureau of Labor) które wykazało, że aż 93 proc. firm złożyło w ciągu roku wniosek o upadłość. A jak wygląda ochrona danych w praktyce? Z raportu „Cloud Data Managment”[3]  wynika, że w przeciągu roku firmy borykają się średnio z od 5 do 10 nieplanowymi przestojami, a ich średni czas trwania wynosi 65 minut. Jako największe negatywne skutki przedsiębiorcy wskazują utratę zaufania klientów (54%), szkody wizerunkowe dla marki (38%) oraz utratę zaufania pracowników (37%).. Jak zatem widać, powodów to wdrożenia systemu kopii bezpieczeństwa jest całkiem sporo” – komentuje Andrzej Niziołek, dyrektor regionalny w Veeam Software, dostawcy profesjonalnych narzędzi do backupu.

Ludzie są najważniejsi

Z badań przeprowadzonych na zlecenie firmy Veeam wynika, że w skali globalnej trzy czwarte osób podejmujących decyzje w kwestiach informatycznych zamierza skorzystać z funkcji zarządzania danymi w chmurze jako metody umożliwiającej bardziej inteligentne działanie przedsiębiorstwa. To podejście łączy różne obszary, takie jak tworzenie kopii zapasowych, replikacja i odtwarzanie po awarii, w ramach całego środowiska chmury i mechanizmów zarządzania danymi stosowanych w firmie. Zapewniona zostaje stała dostępność, odtwarzalność i ochrona danych. Jednak podobnie jak w przypadku zagadnień ochrony danych, w funkcjonowaniu infrastruktury informatycznej najważniejsze są działania podejmowane przez ludzi. Przedsiębiorstwa muszą obecnie zapewnić wyjątkowy poziom ochrony cennych informacji, dlatego dyrektorzy generalni, dyrektorzy ds. informatyki oraz inspektorzy ochrony danych poszukują zaufanych partnerów, których pomoc pozwoli ograniczyć ryzyko w procesach zarządzania danymi. Pomoc ta może polegać na konfigurowaniu systemów zarządzania danymi, prowadzeniu szkoleń technicznych dla administratorów albo przygotowaniu podstawowych szkoleń dotyczących ochrony danych, przeznaczonych dla użytkowników końcowych.

Dzień Ochrony Danych Osobowych to dobra okazja do zastanowienia się nad sposobami użycia i metodami dostępu do danych. Rozpoczęła się kolejna dekada XXI wieku, jednak warto pamiętać, że transformacja jeszcze nie została zakończona. Rozporządzenie RODO nadal będzie w istotny sposób wpływać na funkcjonowanie rynku, ponieważ przedsiębiorstwa muszą dostosować się do jego wymagań, a organy nadzoru staną się mniej pobłażliwe dla podmiotów, które nie przestrzegają przepisów. Kolejne kary i pogorszenie reputacji różnych firm wpłynie na wzrost zapotrzebowania na doświadczonych inspektorów ochrony danych — osób gotowych do podjęcia wyzwań związanych z problematyką ochrony danych w organizacji. Inwestycje w technologie takie jak zarządzanie danymi w chmurze staną się kluczowym elementem strategii ekspertów, jednak kwestie prywatności i ochrony danych dotyczą przede wszystkim ludzi. Dlatego najskuteczniejsze okażą się inwestycje we współpracę z zaufanymi partnerami, którzy potrafią przygotować pracowników dowolnego szczebla do realizacji procesów zapewnienia zgodności z przepisami i którzy pomogą stworzyć kulturę organizacyjną opartą na prawdziwej transparentności danych.

Autor: Daniel Fried, dyrektor generalny i wiceprezes ds. regionu EMEA i globalnych kanałów sprzedaży, Veeam

[1] Google “Failure Trends in a Large Disk Drive Population”

[2] National Archives & Records Administration in Washington

[3] https://go.veeam.com/cloud-data-management-report-2019