Czy RODO aż tak bardzo zmieniło nasze życie, czy może jest to nadinterpretacja nowych przepisów?
UG: RODO życia nie zmieniło. To życie spowodowało, że RODO musiało powstać. Żyjemy szybko, przepływ informacji na nasz temat, m.in. w Internecie, galopuje, dlatego też należało ujednolicić w całej UE przepisy tak, by każdy z nas był tak samo chroniony.
Niezrozumienie i strach przed RODO spowodował, że narosło wokół niego wiele niepotrzebnych legend.
AS: No, właśnie. Te legendy trochę kreują negatywne postrzeganie RODO na rynku. A przecież ideą Rozporządzenia jest ochrona naszej prywatności, natomiast dane osobowe to tylko jej takie „namacalne” odwzorowanie. Trochę nieszczęśliwie dla głównej idei, RODO tłumaczone jest zawsze przez użycie terminu „dane osobowe”. A przecież chodzi o prywatność – jedną z najcenniejszych wartości, jakie w ogóle posiadamy. Dlatego chrońmy prywatność. To ważne. I z tego powodu RODO jest istotne dla naszego życia.
Nawiązanie stosunku pracy to sytuacja nieodłącznie wiążąca się z udostępnieniem swoich danych osobowych przez pracownika oraz ich przechowywaniem i administrowaniem przez pracodawcę. Co się dzieje, gdy umowa zostaje rozwiązana? Czy były szef ma prawo gromadzić informacje na nasz temat?
UG: Przy zatrudnianiu pracownika możemy przetwarzać tylko te dane, których katalog znajduje się w Kodeksie Pracy. Już samo posiadanie prywatnego nr telefonu czy prywatnego adresu e-mail bez zgody pracownika jest naruszeniem. Niejednokrotnie podczas audytów znajduję błędy w przetwarzaniu danych osobowych w aktach osobowych.
A co z danymi po rozwiązaniu umowy? Akta pracownicze podlegają ochronie również po ustaniu zatrudnienia. Czas ich przechowywania, to odpowiednio od stycznia 2019 r. przechowujemy akta osobowa 10 lat przed rokiem 2019 -50 lat.
AS: Dodam tylko, że te dane, które przechowuje pracodawca, powinny być odpowiednio zabezpieczone. Jeśli mają charakter tradycyjny, tzn. papierowy, to wiąże się to z pojęciami: szafa, klucze, zamykanie, strefy dostępu, kontrola osób uprawnionych, itp.
Jeśli te dane są także w wersji cyfrowej (a coraz częściej są), to zadbajmy, aby miały kopię bezpieczeństwa i nie wyciekły. Na jakim serwerze i gdzie są przechowywane oraz jak je odzyskać po awarii, to jednak ma znaczenie. Warto, aby informatyk przygotował dokumentację, która odpowie na te proste pytania.
Jak dochodzi do powstawania zagrożeń bezpieczeństwa danych osobowych oraz incydentów związanych z ich ochroną?
UG: Przede wszystkim przez brak świadomości i odkładanie na później inwestycji w zabezpieczenia systemów informatycznych, przygotowywanie procedur dedykowanych firmie, czy szkoleń pracowników.
Należy pamiętać, że RODO, to przede wszystkim analiza ryzyka i ciągłe przewidywanie zagrożeń, dlatego krytycznym okiem przyjrzyjcie się jakie dane osobowe zbieracie, jak długo je przechowujecie w ten sposób unikniecie naruszeń, które mogą skutkować m.in. karami finansowymi.
AS: Zagrożeń jest wiele. Od „zwykłej” kradzieży lub wycieku danych przez pożar, zalanie aż do nadużyć uprawnień pracowników czy zwykłej pomyłki w wysłaniu maila do niewłaściwego adresata. Nawet w małej firmie, takich zagrożeń identyfikuje się około trzydziestu. Czy to dużo? O części zagrożeń nawet na co dzień nie myślimy. A szkoda.
Ocena ryzyka – bo w sumie o tym mówimy – to podstawa z podstaw skutecznej ochrony danych. Jeśli nie znamy zagrożeń i nie ocenimy negatywnych skutków ich wystąpienia w naszej firmie, to nie będziemy w stanie dobrać właściwych zabezpieczeń, aby skutecznie chronić dane i próbować zmniejszać ryzyko. To, że ufamy naszym pracownikom, to dobrze. Ale … warto jednak weryfikować czy właściwie przetwarzają dane.
„Prawo do bycia zapomnianym” – co konkretnie oznacza i czy klienci są jego świadomi?
UG: Wydaje się, że prawo do bycia zapomnianym można stosować zawsze i wszędzie. Po 2018 r. było to główne prawo, z którego korzystano, wypisując się z baz PESEL, czy informacji komorniczej.
Musimy jednak pamiętać, że nie zawsze my – jako klienci – możemy z tego prawa skorzystać, ponieważ jest wiele przesłanek, wprost to uniemożliwiających, np. trwanie umowy, czas związany z ewentualnymi roszczeniami.
AS: Chociaż czasami kusi, aby „Skarbówka” o nas zapomniała (śmiech), to niestety, nie ta „bajka”.
Pandemia koronawirusa wymusiła na wielu przedsiębiorstwach poważne zmiany organizacyjne. Praca zdalna, utrudniony dostęp do dokumentów i specjalne restrykcje sanitarne mogą wpłynąć również na ochronę danych osobowych, w tym RODO. Jak wygląda ochrona danych osobowych podczas pandemii?
UG: Nie byliśmy przygotowani na taki obrót spraw, w związku z tym, na gorąco trzeba było podejmować odpowiednie działania zabezpieczające dane osobowe. W wielu organizacjach, w których jestem inspektorem ochrony danych, wprowadziliśmy procedury obiegu dokumentów, korzystanie z VPN, szkolenia pracowników on-line.
Warto również zauważyć, że nasz ustawodawca zwrócił uwagę na problem pracy zdalnej i w związku z tym trwają pracę nad odpowiednimi zapisami w Kodeksie pracy.
AS: W nowej rzeczywistości praca zdalna w firmie stała się elementem, który już pozostanie. Dużym wyzwaniem jest zapewnienie bezpieczeństwa tej formy pracy, szczególnie w aspekcie ochrony danych.
Jak w tych nowych czasach bezpiecznie pracować i zapewnić ochronę danych? Jak nie dopuścić do kradzieży, wycieku danych lub kompromitacji firmy w oczach klientów? Takie pytania mnożą się w głowach menedżerów w firmach codziennie.
UG: Na początek, zapewnijmy pracownikom bezpieczny sprzęt do pracy zdalnej. Komputery z firmy (nawet te stacjonarne) w domu pracownika to i tak bezpieczniejsze rozwiązanie niż praca na prywatnym sprzęcie.
Pamiętajmy, komunikacja pomiędzy firmą a domem musi być bezpieczna. Dobre rozwiązanie stanowi VPN (z ang. „wirtualna sieć prywatna”). To taki bezpieczny „tunel” do przesyłania poufnych danych przez Internet z domu do firmy i odwrotnie.
AS: Dodatkowo, jeśli wysyłamy e-maile, to załączniki warto opatrzyć hasłem, silnym hasłem, a następnie przekazać je adresatowi smsem, komunikatorem lub głosowo. Pod żadnym pozorem nie przesyłamy hasła mailem.
No i koniecznie – obowiązek tworzenia kopii bezpieczeństwa danych. Warto przypomnieć, że niestety, kilka lokalnych firm do dzisiaj „liże rany”, bo nie posiadało kopii, a trafił się „zły hacker”, podesłał szkodliwy załącznik w mailu, pracownik tylko kliknął, bo myślał, że to faktura i … ups – dane zostały zaszyfrowane. I dylemat – płacić okup za odszyfrowanie danych czy odzyskać z kopii bezpieczeństwa? Chyba lepiej to drugie.
Milionowe kary w RODO to realne zagrożenie czy jedynie straszak?
UG: Myślę, że jedno i drugie. Ustawa o ochronie danych funkcjonuje od 1997 r. i zanim weszło RODO była traktowana bardzo „po macoszemu”.
Szum medialny związany z wejściem w życie RODO i kary sugerowane za brak jego wdrożenia, spowodowały, że przedsiębiorcy zaczęli traktować ochronę danych na serio.
Przez 3 lata pracy jako Inspektor Ochrony Danych oraz jako szkoleniowiec widzę duże zmiany na plus, ale dostrzegam również fakt, iż wielu przedsiębiorców ochronę danych odkłada na dalszy plan, co w dzisiejszych czasach jest działaniem na szkodę firmy, nie tylko ze względu na kary, ale ze względu na wizerunek, na który pracują bardzo długo.
AS: No właśnie. „Straszak” samej kary, który na mniejsze firmy – mam wrażenie – chyba nie działa, nie jest tym najgorszym, co może się wydarzyć. I warto to wyjaśnić.
Z powodu, np. kradzieży, wycieku danych lub medialnych doniesień, że „firma X nie zadbała o skuteczną ochronę danych lub padła ofiarą ataku hackerskiego”, można stracić dobrą opinię na rynku, później klientów, a w konsekwencji – przychody. To niestety, bardziej prawdopodobne i ostatecznie również bardziej bolesne dla firmy niż wizja kar.
Trzy proste rady, które ułatwią podejmowanie decyzji zgodnie z RODO według Was to?
UG: WSU – Wiedza, Szkolenia, Uświadamianie.
AS: Dokładnie tak. I dodałbym jeszcze radę nr „3.5” – ciągła kontrola wdrożonych zabezpieczeń i testowanie ich działania. Nawet tak prosty sprawdzian jak „zasada czystego biurka” – czyli sprawdzenie po godzinach pracy zabezpieczenia dokumentów przez pracownika w odpowiednim miejscu, np. w szafkach, mogą dużo powiedzieć o przestrzeganiu wdrożonych zasad.
Urszula Giercarz (UG)
Arkadiusz Stawczyk (AS)
Joanna Zielińska