Temat numeru: Wielowymiarowe straty

BANK 2017/10

Urządzenia przenośne stały się wszechobecne i nikogo już nie dziwi, że czasem musi nosić ze sobą dwa czy trzy urządzenia. W ten sposób dane są wynoszone poza bezpieczną sieć firmową. Pracownicy przeglądają poufne dokumenty na prywatnych komputerach, odczytują e-maile na prywatnych telefonach czy tabletach i przechowują dane w chmurze, nie dbając o zabezpieczanie kopii.

Konrad Polaczek

GDPR (General Data Protection Regulation), unijne rozporządzenie o ochronie danych osobowych, wejdzie w życie w roku 2018 i wymusi na firmach istotne zmiany w sposobie gromadzenia danych osobowych i administrowania nimi. Wpłynie na wszelkie firmy, niezależnie od wielkości, regionu i branży. Nowe przepisy mają wzmocnić poziom ochrony danych osobowych wszystkich obywateli Unii Europejskiej. Firma Dell przedstawiła wyniki globalnego badania (obejmującego również Polskę), dotyczącego unijnego rozporządzenia o ochronie danych osobowych. Wykazało ono, że przedsiębiorstwa – zarówno małe i średnie firmy, jak i wielkie korporacje – nie są świadome wymagań nakładanych na nie przez nowe przepisy, nie wiedzą jak dostosować się do regulacji i nie znają konsekwencji nieprzestrzegania jej postanowień. Przedsiębiorstwa, które nie zadbają o pełną zgodność z GDPR w chwili wejścia regulacji w życie, mogą ponieść wysokie kary finansowe.

Jak wynika z badania, przedsiębiorstwa zdają sobie sprawę z faktu, że nieprzestrzeganie przepisów GDPR wpłynie zarówno na poziom bezpieczeństwa danych, jak i na wyniki biznesowe, nie są jednak pewne zakresu niezbędnych zmian, wymiaru kar za nieprzestrzeganie regulacji i ich wpływu na przedsiębiorstwo. 79% ankietowanych stwierdziło, że nie wie czy ich przedsiębiorstwa zostałyby ukarane, lub sądzi, że nie dotknęłaby ich kara za stosowane podejście do ochrony danych, gdyby przepisy GDPR obowiązywały w tym roku.

Także organizacja AIIM spytała w lipcu 2017 r. 700 swoich członków o stan przygotowania do wejścia w życie nowych przepisów. Okazuje się, że obecnie zaledwie 6% firm spełnia wymagania stawiane przez unijne prawo. Prawie jedna trzecia (32%) twierdzi, że wdraża odpowiednie projekty, które mają je przygotować na zmiany prawne. Jednocześnie 31% ankietowanych stwierdziło, że w ostatnim roku w ich firmach doszło do wycieku danych, wynikającego z zaniedbań pracowników, ich złych nawyków albo nieodpowiednich procedur.

Niezależnie od administra-cyjnych kar pieniężnych rozporządzanie stanowi iż każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku jego naruszenia ma prawo do uzyskania od administratora lub podmiotu przetwarzającego odszkodowania za poniesioną szkodę.

Skutki niewiedzy

Co stanie się jeśli bank nie zdąży z wprowadzaniem GDPR? Nowe przepisy przewidują surowe sankcje mające skłonić największe firmy do należytej dbałości o dane klientów. Przepisy rozporządzenia przewidują m. in. nieporównywalnie wyższe kary finansowe (nawet do 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie) i zupełnie nowy tryb ich nakładania. Maksymalna wysokość kar przewidzianych w rozporządzeniu jest wielokrotnie wyższa niż nakładanych obecnie przez Generalnego Inspektora Ochrony Danych Osobowych. Niezależnie od administracyjnych kar pieniężnych rozporządzanie stanowi, iż każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku jego naruszenia ma prawo do uzyskania od administratora lub podmiotu przetwarzającego odszkodowania za poniesioną szkodę. Ważne jest również to, że prawo do żądania odszkodowania ma charakter niezależny od innych możliwych sankcji przewidzianych w rozporządzeniu.

W myśl nowych przepisów administrator danych osobowych będzie również musiał zgłosić przypadek naruszenia ich ochrony organowi nadzorczemu w ciągu 72 godzin od jego wystąpienia. Może to spowodować dalsze konsekwencje związane z pogorszeniem wizerunku firmy lub organizacji, a także dodatkowe koszty.

Co więcej, należy mieć również na uwadze fakt, iż sytuacja prawna jest skomplikowana, ponieważ nierozstrzygnięty został jeszcze ostateczny kształt przepisów prawa krajowego regulujących kwestię ochrony danych osobowych, zaś zmianie mogą ulec również inne przepisy szczegółowe, np. ustawa prawo bankowe.

– Mamy świadomość sankcji związanych z wprowadzeniem GDPR, dlatego już dużo wcześniej powołaliśmy program mający na celu doprowadzenie do zgodności z tą regulacją. Obserwując zaangażowanie poszczególnych banków, jak i innych instytucji, np. Związku Banków Polskich, raczej skłaniamy się ku przekonaniu, że w dużej mierze 28 maja 2018 r. banki w większości będą zgodne z GDPR – informuje Jacek Mainda, starszy specjalista ds. Bezpieczeństwa Informacji w Departamencie Bezpieczeństwa Informacji w banku Credit Agricole. – Trzeba mieć na uwadze, że zabezpieczenie danych w bankach zawsze było kwestią podstawową, rozporządzenie unijne będzie zatem raczej pomocą w porządkowaniu przetwarzania danych osobowych. Być może na początku stosowania rozporządzenia nie wszystkie nowe prawa, które nabędą klienci będą objęte procesami automatycznymi, a ich realizacja będzie bardziej kłopotliwa, ale nie wydaje się, aby dochodziło do sytuacji, że nowe prawa nie byłyby wykonywane – dodaje.

Niewłaściwe przetwarzanie danych osobowych, czyli niere­alizowanie ich ochrony zgodnie z obowiązującymi przepisami prawa, może się skończyć dla organizacji zarówno postępo­waniem sądowym, jak i sporymi karami, które mogą dopro­wadzić nawet do zawieszenia działalności gospodarczej lub upadku firmy.

Nie warto odwlekać

Organizacje, które nie przywiązują dostatecznej uwagi do ochrony danych, w tym osobowych, muszą liczyć się z konsekwencjami prawnymi, finansowymi i wizerunkowymi.

Niewłaściwe przetwarzanie danych osobowych, czyli nierealizowanie ich ochrony zgodnie z obowiązującymi przepisami prawa, może się skończyć dla organizacji zarówno postępowaniem sądowym, jak i sporymi karami, które mogą doprowadzić nawet do zawieszenia działalności gospodarczej lub upadku firmy. Równie dotkliwe będą także straty wizerunkowe. Bardzo trudno jest bowiem odbudować raz stracone zaufanie współpracowników i klientów. Dlatego do wcześniejszego rozpoczęcia przygotowań do GDPR przekonuje m.in. IDC. Nawołuje wprost: „Choć do wejścia w życie przepisów GDPR pozostały dwa lata, lepiej nie odkładać na później przygotowań do spełnienia nowych wymogów. Skala, złożoność, koszty i newralgiczne znaczenie GDPR sprawiają, że większość firm będzie potrzebować co najmniej dwóch lat na osiągnięcie pełnej zgodności z przepisami. Większość przedsiębiorstw musi więc zacząć już teraz”.

WannaCry a GDPR

Atak WannaCry, szyfrujący dyski twarde i „oddający” ich zawartość po zapłaceniu haraczu, wywołał panikę na całym świecie. Jednocześnie uświadomił, że wiele zaatakowanych w maju br. organizacji w przypadku wystąpienia takiego zdarzenia za rok będzie musiało liczyć się z nałożeniem kar finansowych.

Na pierwszy rzut oka powiązanie ataku typu ransomware z nowymi europejskimi przepisami dotyczącymi ochrony danych nie wydaje się oczywiste. W końcu na zaatakowanych komputerach doszło jedynie do całkowitego zaszyfrowania danych, a nie ich kradzieży. Jeśli jednak bliżej przyjrzymy się postanowieniom rozporządzenia GDPR możemy dojść do zgoła innych wniosków.

W art. 4, pkt. 12 stwierdza się: „(…)„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Bez wątpienia w przypadku ataku WannaCry doszło do niezgodnego z prawem dostępu do danych klientów, a po zaszyfrowaniu przez włamywaczy także do ich utraty, a być może również zniszczenia.

Z kolei art. 5, pkt. 1 zawiera następujące sformułowania: „Dane osobowe muszą być: (…) przetwarzane w sposób zapewniający [ich] odpowiednie bezpieczeństwo (…), w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)”.

Za rok skutkiem podobnego zdarzenia może być odpowiedzialność z tytułu nieprzestrzegania przepisów GDPR.

Źródło: Trend Micro