Raport Specjalny | Forum Bezpieczeństwa Banków | Trzy lata z RODO

BANK 2021/05

W maju mijają trzy lata od kiedy na terytorium UE stosowane jest ogólne rozporządzenie o ochronie danych osobowych. RODO, bo pod takim akronimem znany jest powszechnie ten akt prawny, oznaczało prawdziwą rewolucję w obszarze ochrony prywatności. Czy nowe regulacje spełniły pokładane w nich nadzieje?

Fot. Aoodstocker/stock.adobe.com

W maju mijają trzy lata od kiedy na terytorium UE stosowane jest ogólne rozporządzenie o ochronie danych osobowych. RODO, bo pod takim akronimem znany jest powszechnie ten akt prawny, oznaczało prawdziwą rewolucję w obszarze ochrony prywatności. Czy nowe regulacje spełniły pokładane w nich nadzieje?

Przepisy RODO zostały przyjęte przez Parlament Europejski 27 kwietnia 2016 r., a obowiązek ich stosowania w państwach członkowskich wyznaczono na 25 maja 2018 r., a więc po dwuletnim okresie przejściowym. Choć rozporządzenia unijne co do zasady stosowane są wprost, bez konieczności implementacji, przyjęcie RODO wymuszało pewne zmiany w ustawodawstwach krajów członkowskich. Jednym z efektów wdrożenia rozporządzenia w Polsce była likwidacja urzędu Generalnego Inspektora Ochrony Danych Osobowych (GIODO), którego rolę przejął prezes nowo powstałego Urzędu Ochrony Danych Osobowych (UODO).

Konsekwencją stosowania ogólnego rozporządzenia o ochronie danych jest zauważalny wzrost dbałości administratorów o zasoby informacji – na co wskazują analizy prowadzone w ostatnich latach przez UODO. Niemniej poziom ich bezpieczeństwa w poszczególnych podmiotach jest zróżnicowany. Zdecydowanie lepiej radzą sobie ci administratorzy, którzy dochowywali należytych starań w tym zakresie jeszcze przed wejściem w życie nowych przepisów, jednak nawet i w ich przypadku nie można wykluczyć sytuacji problematycznych. Dotyczą one chociażby nadawania upoważnień, na co zwrócił uwagę Adam Sanocki, rzecznik prasowy UODO. Również kwestia udostępniania danych rodzi po stronie ich administratorów wiele pytań. Chodzi głównie o ocenę dopuszczalności udostępnienia informacji, gdy jakiś podmiot zwraca się do nich z wnioskiem o ich udostępnienie. Nie zawsze w takich wnioskach jest wskazana prawidłowa podstawa do pozyskania od administratora określonych danych.

Problemy administratorów danych

Według danych UODO, administratorzy wciąż mają problemy z właściwym przeprowadzeniem analizy ryzyka i oceny skutków. W tym drugim przypadku nie zostały bowiem opisane działania naprawcze, a także nie dokonano oceny ryzyka dla poszczególnych zagrożeń czy procesów przetwarzania. Skutkiem braku analizy ryzyka było przede wszystkim niewdrożenie przez administratorów adekwatnych środków organizacyjnych i technicznych, zapewniających przetwarzanie danych osobowych zgodnie z RODO. Dlatego powinni większą uwagę przykładać do regularnych testów stosowanych przez nich środków technicznych i organizacyjnych.

Administratorzy nie zawsze korzystają z doświadczenia inspektorów ochrony danych (IOD), którzy znając specyfikę konkretnego administratora oraz dysponując odpowiednią wiedzą, mogą wskazywać adekwatne dla danego podmiotu rozwiązania. Nawet pomimo staranności w ochronie danych osobowych zdarza się, iż administratorzy dopuszczają się naruszeń. Warto, aby zwrócili uwagę choćby na to, by korespondencja elektroniczna, w której przesyłane są dane osobowe, była szyfrowana. Również przy wysyłce pism pocztą powinni zadbać o weryfikację adresu na kopercie, by zgadzał się z tym, jaki widnieje w dokumentacji, która ma być wysłana.
Jak to jest w praktyce?

Spośród 7507 zgłoszeń naruszeń w 2020 r. 4661 dokonały podmioty sektora prywatnego, 2691 podmioty sektora publicznego, zaś około 155 zgłoszonych zostało w międzynarodowym systemie informatycznym (IMI). W przypadku sektora prywatnego najwięcej napłynęło ich od podmiotów telekomunikacyjnych – 2104, ubezpieczeniowych – 792, banków i instytucji finansowych – 472 oraz służby zdrowia – 272. W przypadku sektora publicznego zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały jednostki samorządu terytorialnego – 382, służby mundurowe – 163 oraz administracja rządowa – 133.

W 2019 r. Urząd Ochrony Danych Osobowych otrzymał 6039 zgłoszeń naruszeń, z których 3894 pochodziło od podmiotów sektora prywatnego, a&...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: