Za pięć dwunasta: co się zdarzy po wejściu w życie rozporządzenia RODO?

Po latach prac ustawodawczych i blisko 24 miesiącach od oficjalnej ratyfikacji, unijne rozporządzenie o ochronie danych osobowych (RODO) już wkrótce wejdzie w życie. Choć w ostatnich miesiącach debata na temat nowych przepisów zmienia kierunek z pytań o znajomość nowych przepisów na kwestie gotowości, nadal nie brakuje niewiadomych. Na ile szybko instytucje regulacyjne będą reagować na naruszenia i nakładać wysokie kary pieniężne? Jakie technologie i procesy zabezpieczeń elektronicznych będą uważane za „nowoczesne” w rozumieniu przepisów? Czy rozporządzenie wspomoże wprowadzanie innowacji, czy też będzie je tłamsić? Jedno jest pewne: przestrzeganie nowych przepisów będzie przymusowe dla każdej organizacji, której klienci są obywatelami UE. Zatem co dalej? Czego możemy się spodziewać, gdy zegar wybije północ 25 maja?

Bez wysokich kar pieniężnych – przynajmniej na razie

Przepisy RODO uprawniają regulatorów do nakładania na przedsiębiorstwa kar sięgających 4 proc. globalnych rocznych obrotów lub 20 mln EUR (zależnie od tego, która kwota jest wyższa). Nie wiadomo, jak sytuacja będzie wyglądała w Polsce, natomiast w Wielkiej Brytanii jest bardzo mało prawdopodobne, że takie sankcje będą stosowane już od samego początku. Brytyjska komisarz ds. informacji wręcz oświadczyła publicznie: „Sugerowanie, że zamierzamy od początku przykładnie karać nawet za niewielkie naruszenia przepisów, czy też rutynowo stosować maksymalne kary pieniężne, to zwykłe straszenie ludzi… Zawsze wierzyliśmy, że marchewka jest lepsza od kija”.

Nie da się jednak ukryć, że przewidziane przepisami kary pieniężne zdecydowanie nie są symboliczne, a gdy z biegiem czasu instytucje regulacyjne zaczną tracić cierpliwość, ryzyko nakładania wysokich sankcji wzrośnie. Pytanie za 20 mln EUR brzmi: kiedy to nastąpi? Można się spodziewać, że pierwsze poważne kary pieniężne zostaną nałożone nie w reakcji na naruszenie bezpieczeństwa danych, ale prawdopodobnie w wyniku pozwu wniesionego przez osobę, której nowe prawa, takie jak prawo do przenoszenia i usuwania danych lub swobody dostępu do danych, nie były respektowane przez pozwaną organizację. W takich przypadkach szkody dla reputacji, wizerunku marki i zaufania klientów mogą być znacznie bardziej dotkliwe od ewentualnej grzywny.

Organizacje gotowe zaryzykować działalność niezgodną z nowymi przepisami muszą też pamiętać, że instytucje regulacyjne będą mieć dodatkowo uprawnienia do blokowania transferów danych do krajów trzecich, na przykład do Stanów Zjednoczonych, być może również do Wielkiej Brytanii po Brexicie, a nawet do nałożenia całkowitego zakazu przetwarzania danych. Żadna współczesna organizacja w takich warunkach długo się nie utrzyma.

Szantaż związany z RODO

Cyberprzestępcy błyskawicznie dostosowują swoje metody działania do okoliczności. W ostatnich latach coraz popularniejszą formą ataku staje się szantaż, co widać po ogromnym wzroście liczby infekcji programami typu ransomware – ofiara może albo zapłacić okup, albo na zawsze pożegnać się z plikami. Nie można więc wykluczyć, że pojawią się ataki polegające na szantażowaniu firm poprzez wykradanie danych klientów lub wprowadzanie złośliwego oprogramowania do systemów, a następnie żądanie okupu.

W tej chwili nie wiadomo jeszcze dokładnie, jakie kary mogłyby grozić firmom ze strony instytucji regulacyjnych za konkretne rodzaje wycieków danych, ale hakerzy mogliby oszacować typowe grzywny i żądać kwoty odpowiednio niższej. Kierownictwo niektórych firm mogłoby po cichu zapłacić (jak zrobił to Uber), starając się zatuszować sprawę. W razie odmowy napastnicy mogą uruchomić plan B i wystawić wykradzione dane na sprzedaż.

Incydent u dostawcy

Rozporządzenie RODO wymusi poważną zmianę w metodach zarządzania relacjami z dostawcami i partnerami zewnętrznymi. Co więcej, w świetle nowych przepisów podmioty przetwarzające dane (na przykład dostawcy usług chmurowych) ponoszą za wycieki danych taką samą odpowiedzialność, jak sam administrator danych. We współczesnych organizacjach łańcuchy dostaw to w rzeczywistości złożone sieci wzajemnych powiązań, które w wielu przypadkach trudno dokładnie zidentyfikować i zabezpieczyć.

Dlatego też należy się w przyszłości spodziewać poważnego incydentu związanego z działalnością dostawcy zewnętrznego – w dodatku najprawdopodobniej dostawcy z kraju poza UE, w którym obowiązują mniej rygorystyczne przepisy ochrony danych. Oprócz przestrzegania przepisów RODO w ramach własnej działalności, organizacje będą teraz musiały wymagać, aby również ich wykonawcy, dostawcy i inni partnerzy przetwarzający dane stosowali te same zasady, procedury i mechanizmy kontroli.

Ukrywanie faktów

Pomimo ryzyka kar pieniężnych, szkody dla reputacji i poważnych zakłóceń działalności niektóre firmy nadal mogą ukrywać przypadki poważnego naruszenia nowych przepisów. Istotą rozporządzenia RODO jest wymuszenie na firmach i instytucjach większej otwartości, przejrzystości i odpowiedzialności za podejmowane działania. Ukrywanie przypadków nieprawidłowego przetwarzania danych klientów świadczyłoby o świadomym lekceważeniu tych kluczowych zasad.

Oczywiście nie zawsze trzeba podejrzewać złą wolę – może się okazać, że organizacje nie będą przekazywać pełnych informacji o incydencie dotyczącym danych po prostu dlatego, że nie będą dysponować wymaganym kompletem informacji. Przepisy RODO wyznaczają krótki i nieprzekraczalny termin informowania o incydentach: 72 godziny. Dlatego niezbędne jest bieżące monitorowanie ruchu sieciowego, stosowanie zaawansowanych systemów wykrywania włamań i sporządzanie planów reagowania. Konieczne jest też uzyskanie przejrzystego wglądu w przepływy danych i stosowane zabezpieczenia. Organizacje dowiadujące się o wyciekach danych dopiero od podmiotu zewnętrznego, stawiają się od samego początku w niekorzystnym położeniu i mogą mieć trudności z dotrzymywaniem wymaganych terminów. Pamiętajmy, że zakłócenie dostępności spowodowane atakiem typu ransomware może również podlegać sankcjom RODO, jeśli zaatakowana organizacja nie będzie w stanie „w wymaganym czasie przywrócić dostępu do danych osobowych”. Dlatego tak ważne jest wykonywanie i utrzymywanie kopii zapasowych zgodnie z najlepszymi praktykami i regułą 3-2-1.

Ukrywanie lub niepełne zgłaszanie incydentów będzie stanowić poważne naruszenie przepisów, więc po 25 maja wiele firm, zwłaszcza mniejszych, może na wszelki wypadek zgłaszać też sytuacje, które incydentami nie są. Instytucje regulacyjne muszą zatem jasno określać, co stanowi incydent, a firmy muszą na bieżąco dostosowywać się do wymogów. W przeciwnym razie obie strony będą mieć dużo niepotrzebnej pracy.

Okres przejściowy

Najważniejsze w rozporządzeniu RODO jest jednak co innego – to nie jest jednorazowy wysiłek, jak to było w przypadku usuwania pluskwy milenijnej (Y2K). Teraz mamy do czynienia z ciągłym procesem, który z biegiem czasu będzie podlegać ustawicznej weryfikacji i ewolucji. Należy się z tego cieszyć, bo miesiące bezpośrednio po wprowadzeniu rozporządzenia RODO będą okresem karencji, w którym zarówno instytucje regulacyjne, jak i organizacje będą się oswajać z nowymi przepisami.

W dłuższej perspektywie kierownictwa firm muszą zacząć myśleć o zgodności z przepisami RODO nie w kategoriach zabezpieczeń, lecz w kategoriach ryzyka dla biznesu. W formułowaniu odpowiedniej strategii muszą uczestniczyć wszystkie zaangażowane działy organizacji, od informatyków, działu prawnego i specjalistów ds. zgodności z przepisami, aż po samych właścicieli danych. Rozporządzenie RODO stanie się stałym elementem życia i biznesu, więc firmy nie mają wyboru: muszą dostosować się do zmian i na nowo nauczyć się innowacyjności, rozwoju i skutecznego konkurowania na rynku podlegającym nowym przepisom.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *