Nadal mamy problem z ochroną danych osobowych
Choć RODO obowiązuje już ponad 4 lata, to nadal sporo firm popełnia podstawowe błędy w stosowaniu przepisów. Czy można się ubezpieczyć od ich skutków? Tak, za pomocą cyberpolisy i ubezpieczeń D&O.
Większości osób wydaje się, że najbardziej „błędogennym” jest korzystanie z zebranych danych i sposób informowania ich właścicieli o sposobie ich przetwarzania. Okazuje się jednak, że sporo problemów mamy też z zupełnymi podstawami.
Bazujemy na starych zasadach
Wiele firm nadal stosuje zasady wywodzące się z Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym, a to przepisy sprzed około 15 lat niezgodne z RODO! Ponadto, od tamtego czasu drastycznie zmienił się sposób przechowywania i przetwarzania wszelkich danych, w tym osobowych. Dziś wszystkie procesy uległy cyfryzacji. To oznacza, że mamy do czynienia z innym rodzajem ryzyka ich wycieku, które w dodatku jest znacznie większe niż w czasach dominacji papieru. W tej sytuacji czołową rolę pełni cyberbezpieczeństwo.
Błędnie interpretujemy definicję danych osobowych
Tu znów nie możemy się „odzwyczaić” od starych zasad. Wcześniej za dane osobowe uznawało się wyłącznie informacje identyfikacyjne. Zgodnie z definicją zapisaną w RODO, dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To znaczy, że chodzi nie tylko o imię, nazwisko, datę urodzenia, płeć i podobne. Dane osobowe to np. również informacje o posiadanych nieruchomościach czy pojazdach. A także zdjęcia i tagi zamieszczane w portalach społecznościowych!
Dane osobowe przetwarzamy niezgodnie z prawem
Błędy powstają też na skutek zawiłości formalnych. Aby przetwarzanie danych odbywało się zgodnie z prawem, musi spełniać warunki zapisane w konkretnych artykułach RODO – 6 i 9. Gdzie zatem można popełnić błąd? Stosując je rozłącznie. Art. 6 jest podstawą, a 9 to tylko jego uzupełnienie, w przypadku danych szczególnych, tzw. „wrażliwych”.
Ubezpieczenie kołem ratunkowym?
Podstawą jest ubezpieczenie od skutków zdarzeń cybernetycznych. Umożliwia ono m.in. wypłatę środków na pokrycie kosztów związanych z zabezpieczeniem i odtworzeniem zasobów cyfrowych, jeśli dojdzie do wycieku w efekcie ataku hakerskiego czy błędu ludzkiego. Co jednak ważniejsze, ubezpieczenie zakłada pokrycie kosztów działań wymaganych przez RODO, czyli przeprowadzenia akcji informacyjnej wśród potencjalnych ofiar wycieku. Ponadto zapewnia zwrot kosztów związanych z postępowaniami administracyjnymi i sądowymi oraz wypłatę odszkodowań. Na ogół cyberpolisa może uwzględniać też zapłacenie kar nałożonych w myśl RODO.
Dobrze skonstruowany program ochrony powinien uwzględniać jeszcze jeden rodzaj polis – D&O, czyli odpowiedzialności cywilnej członków kadry menedżerskiej, w końcu nieprawidłowości w tworzeniu dokumentacji, definiowaniu danych osobowych i przetwarzaniu ich zgodnie z prawem to zazwyczaj rezultat niewłaściwej decyzji, podjętej przez konkretną osobę. Właściciele firmy czy akcjonariusze mogą zatem wystąpić z roszczeniami wobec decydentów, którym będą chcieli przypisać odpowiedzialność za straty. Przykładowo, mogą oczekiwać zrefundowania kar administracyjnych czy wyrównania innych szkód wynikających z incydentu RODO. A ubezpieczenie D&O zapewni „oskarżonym” menedżerom pokrycie kosztów obrony oraz innych strat, jeśli rzeczywiście okaże się, że wynikają one z zaniedbań.
Szymon Bąk, Specjalista ds. ubezpieczeń cybernetycznych z EIB S.A.
Last Updated on 24 października, 2022 by Anastazja Lach