Nie takie RODO straszne, jak je malują, ani... jak o nim mówili

Minęło już 9 miesięcy od wejścia w życie RODO. To świetny moment na małe podsumowanie. Jak zareagowali konsumenci, a jak firmy gromadzące i wykorzystujące dane osobowe i co się wydarzyło? Przeczytaj i przekonaj się, że nie takie RODO straszne, jak je malowali!

Nie takie RODO straszne, jak je malują, ani... jak o nim mówili

Ile miał kosztować, a ile kosztuje wyciek danych

Wiele firm, zwłaszcza niewielkich, dało się nabrać na kupno niszczarki „zgodnej z RODO” i inne pomysły. Naciągacze uwielbiali straszyć przedsiębiorców karami, które mogą wynosić 20 milionów euro. Okazuje się, że rzeczywistość nie jest aż tak brutalna, a wyciek 800 tysięcy haseł użytkowników to „koszt” 20 tysięcy euro.

Jesienią ubiegłego roku niemiecki portal randkowy Knuddels.de padł ofiarą hakerów. Wykradli dane blisko dwóch milionów kont użytkowników. Dokładnie chodziło o 808 tysięcy adresów e-mail oraz 1 872 000 loginów i haseł. Przyznajcie sami, że to ogromna baza danych, a na dodatek niezwykle wrażliwa. W końcu na tego typu platformach nie rozmawia się przecież o liście zakupów na kolację. Dane okazały się łakomym kąskiem dla przestępców, ponieważ nie były odpowiednio zaszyfrowane i okazały się całkiem proste do wyciągnięcia z serwerów serwisu. W konsekwencji wszystkie wykradzione hasła trafiły do Internetu.

Nie wiadomo, ile związków się z tego powodu rozpadło. Wiadomo natomiast, jakie konsekwencje poniósł administrator serwisu. Ostatecznie administracja Knuddels.de została ukarana grzywną w wysokości 20 tysięcy euro. Wychodzi zaledwie kilka centów za jedno hasło. Do Waszej oceny pozostawiam kwestię czy to dużo czy mało.

Ograniczenia prawne, a może nadinterpretacja?

Ale do rzeczy. Rozporządzenie o Danych Osobowych ma na celu chronić prywatność i zapobiegać nadużyciom związanym z niewłaściwym wykorzystaniem naszych danych. Prywatnie większość z nas ta zmiana prawa cieszy, zawodowo – denerwują nas ograniczenia i obowiązki. Dzieje się tak dlatego, że nagminnie pojawiają się absurdalne sytuacje, a wynikają one w znacznej mierze z braku stosownej wiedzy oraz nadinterpretacji przepisów. Jeśli tylko oswoimy RODO, okaże się ono niegroźne dla otoczenia. Da się z nim żyć.

Wycieki danych w liczbach

Ogromnym osiągnięciem (i zaletą) RODO są przepisy nakazujące zgłaszanie wycieków. Już w pierwszym miesiącu do Urzędu wpłynęło ponad 320 zgłoszeń, czyli średnio ok. 10 dziennie. Ze względu na obowiązek powiadamiania również osób, których dane dotyczą będziemy wiedzieli, gdzie i kiedy nastąpiło naruszenie poufności naszych danych, a więc nieuprawnione lub przypadkowe ujawnienie bądź udostępnienie, naruszenie integralności danych lub naruszenie dostępności danych. Z czasem stopniowo ilość zgłoszeń zaczęła spadać, ale po pierwszym półroczu stosowania RODO liczby dalej prezentują się pokaźnie.

  • Do UODO w tym okresie wpłynęło 3700 skarg . Dla porównania, w całym ubiegłym roku było 2950 skarg.
  • Wpłynęło też 1800 zgłoszeń dotyczących naruszeń ochrony danych, czyli o sytuacji, gdy administrator zgłasza urzędowi, że miał wyciek (to jest obowiązkowe). Nie należy tego mylić ze skargami, ani ze zgłaszaniem wycieków osobom, których dane dotyczą

W kilkunastu przypadkach Prezes UODO podjął działania z urzędu. Dotyczyło to naruszeń, które nie zostały zgłoszone przez administratorów, a o których organ dowiedział się z „donosu” bądź został o nich poinformowany przez inny organ. Można wnioskować z tego, że jak już się zdarzy, lepiej zgłaszać naruszenia.

Tego zdecydowanie nie lubimy...

Ciekawi jesteście na jakie sytuacje najczęściej skarżą się ludzie?

  • usuwanie danych osobowych – głównie odnoszą się one do sektora bankowego, firm zajmujących się windykacją należności, usług dostępnych on-line (portale społecznościowe, serwisy internetowe);
  • wymuszanie zgody na przetwarzanie danych w celach marketingowych;
  • przesyłanie przez firmy niechcianej korespondencji;
  • wykonywanie niechcianych telefonów marketingowych;
  • nieuprawnione udostępnianie danych osobowych osobie trzeciej;
  • pozyskiwanie zbyt szerokiego zakresu danych osobowych;
  • uzależnianie zawarcia umowy od wykonania lub udostępnienia kopii dokumentu tożsamości, zwłaszcza dowodu osobistego
  • spełniania obowiązku informacyjnego;
  • przetwarzania danych biometrycznych pracowników;
  • stosowanie monitoringu wizyjnego;
  • nieuprawnione udostępnianie danych osobowych w związku z realizacją obowiązków dotyczących dostępu do informacji publicznej (m.in. poprzez publikację w BIP dokumentów zawierających dane osobowe bez stosownej anonimizacji);
  • wymiana danych osobowych pomiędzy podmiotami publicznymi.

Naruszenia - czyli co, jest zdecydowanie nie tak, jak być powinno

A naruszenia? Lista jest równie pokaźna, a dotyczyły one najczęściej:

  • przesyłania dokumentacji administratora do osób nieuprawnionych (dotyczy to zarówno korespondencji e-mail, jak i korespondencji papierowej);
  • zagubienia/kradzieży nośników elektronicznych/komputerów (w wielu przypadkach okazuje się, że urządzenia te nie są zabezpieczone lub są zabezpieczone w sposób nieprawidłowy);
  • nieprawidłowego niszczenia dokumentacji przez administratorów (częstym zjawiskiem jest sytuacja, gdy dokumentacja przeznaczona do zniszczenia nie jest niszczona w siedzibie administratora lub przy udziale profesjonalnej firmy, a odnajdywana jest po pewnym czasie przez osoby trzecie w miejscach publicznych lub na prywatnych posesjach);
  • zagubienia dokumentacji papierowej przez administratora lub jego personel;
  • ataków hakerskich skutkujących pozyskaniem lub/i zaszyfrowaniem baz danych administratora.

Obowiązek zgłaszania incydentów spowodował, że firmy znacznie większą uwagę przywiązują do ochrony danych – chyba właśnie na tym nam zależało. Nie chcemy, żeby nasze dane fruwały byle gdzie, w skutek czego jesteśmy nękani nadmierną ilością telefonów lub też aby oszust wziął pożyczkę na nasze dane lub wyłudził naszą kartę SIM.

Z drugiej strony zawodowo obawiamy się, że nasz klient lub potencjalny klient będzie nas miał dosyć z powodu RODO. Nic bardziej błędnego. Pamiętaj, że wszystkie albo prawie wszystkie firmy przetwarzają dane osobowe i stykają się z tym samym problemem (obowiązki informacyjne, zgody, itp.) Dlatego też poważnie zainteresowanego naszą ofertą klienta, nie zrazi konieczność udzielenia zgód – podejdzie do tego ze zrozumieniem, co więcej będzie wiedział, że ma do czynienia z poważną firmą, która jest godna zaufania i będzie odpowiednio chroniła jego dane.

Autor: Agnieszka Wiśniewska, Kierownik Działu Ochrony Danych Osobowych i IT SEC

Zajrzyj na bloga Idea Money i zainspiruj się z nami!

Jesteśmy cyklicznie nagradzani

Image

Masz firmę? Chciałbyś ją rozwijać, ale długie terminy płatności na fakturach sprawiają, że brakuje Ci pieniędzy nie tylko na uregulowanie stałych zobowiązań, ale także na inwestycje w innowacje i realizację Twoich planów?

Mamy rozwiązanie dla Ciebie. 

Skontaktuj się z nami, opowiedz nam o swojej firmie i wspólnie wybierzemy rozwiązanie idealnie dopasowane do Twoich potrzeb.

Strona korzysta z ciasteczek, aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie zgodnie z Polityką prywatności.