Mentionsy

Słuchaj, jakie są największe zmiany w podejściu do ochrony danych osobowych w przeciągu ostatnich lat?

Nie doszło do utraty tych danych.

No właśnie w RODO jest zaszyty taki mechanizm, który mówi, że jeżeli korzystamy z automatycznych mechanizmów i one bazują na przetwarzaniu danych osobowych, no to musimy spełnić dodatkowe wymagania.

A jakie najczęstsze są błędy, które popełniają firmy przy przetwarzaniu danych osobowych swoich klientów?

No ale później jak dochodzi na przykład do incydentu, do naruszenia ochrony danych osobowych, no to te rzeczy wychodzą, tak?

załatwiliśmy problem ochrony danych osobowych, no to nie do końca tak jest.

Skoro korzystamy z jakiegoś podmiotu zewnętrznego, to u większości osób pojawi się lampka, pewnie trzeba sprawdzić na jakiej zasadzie ten podmiot zewnętrzny ma dostęp do tych danych.

A w których branżach ochrona danych osobowych jest szczególnie newralgiczna?

No bo można sobie tą newralgiczność zdefiniować w ten sposób, że jest bardzo dużo danych, że jest bardzo dużo danych pewnych wrażliwych, tak?

które generują ryzyko przez to, że właśnie może niekoniecznie zwracają uwagę na ochronę danych i moim zdaniem ten ostatni punkt jest tutaj najważniejszy, gdybym miał zdefiniować, bo uważam, że sektor finansowy czy banki, firmy ubezpieczeniowe to oczywiście jest bardzo istotna branża, ale w tym obszarze jednak ze względu na to, że

ten ład korporacyjny jest wymagany różnymi regulacjami, mamy KNF, mamy Urząd Ochrony Danych Osobowych, gdzieś te kompetencje się też przecinają.

Nie jest źle, natomiast chociażby w branży IT, gdzie jest cała masa danych, które są przetwarzane w imieniu innych dużych organizacji, no niestety jest to obszar, gdzie ja dostrzegam bardzo dużą potrzebę jeszcze zmiany, chociażby właśnie w takiej mentalności, która

która mówi, że to, że znamy się technicznie na czymś, to nie oznacza, że jesteśmy w stanie faktycznie jakby zapanować nad bezpieczeństwem informacji i ochroną danych osobowych.

No i przy okazji takich właśnie audytów to wychodzi i dopiero wtedy zauważają, że jest problem i że z tym bezpieczeństwem informacji czy z ochroną danych trzeba...

Czyli odpowiadając na twoje pytanie, uważam, że ten największy problem, te największe ryzyka właśnie dotyczą tych organizacji, które są trochę poza radarem dużych regulatorów, takich jak chociażby KNF, a które jednocześnie przetwarzają bardzo dużą ilość danych, chociażby właśnie na zlecenie firm ubezpieczeniowych, banków, czy całej branży medycznej.

A czy taka tradycyjna zgoda użytkownika na przetwarzanie danych zawsze wystarczy?

Czyli jaki jest cel wykorzystania danych i druga ważna rzecz, żeby wiedziała w jaki sposób tę zgodę może wycofać, no bo to jest oczywiste, że musi to być tak samo łatwe jak jej wyrażenie.

Albo zapłacę w taki tradycyjny sposób, albo wyrażę na przykład zgodę marketingową.

Zawsze oczywiście ochrona danych osobowych wymaga wdrożenia określonych procedur, chociażby ze względu na wymóg rozliczalności.

to musimy o tym poinformować, tylko moim zdaniem krytyczne jest to właśnie, żeby określały rolę i odpowiedzialności, czyli za co odpowiedzialne jest kierownictwo, za co odpowiedzialni są poszczególni pracownicy, za co odpowiedzialni są menadżerowie, za co odpowiedzialny jest inspektor ochrony danych, jeżeli został powołany, no i za co odpowiedzialny jest powiedzmy ten obszar techniczny i tutaj z mojego doświadczenia zawsze jest

no to oczywiście wszyscy chcą na ten dział IT wszystko zrzucić, jeżeli chodzi o ochronę danych i bezpieczeństwo informacji.

Ale też nie wiemy, kto ma mieć dostęp do danych.

która nie ukończyła 18 lat, to nie oznacza, że nie przetwarzamy jej danych.

Jeżeli dojdzie do naruszenia ochrony danych, do incydentu i on rodzi wysokie ryzyko dla ludzi, to trzeba tych ludzi poinformować.

Czyli przykładowo, jeżeli mieliśmy takie tradycyjne mechanizmy wyłudzania informacji, czyli phishing, to dzisiaj się pojawiają nowe.

Po pierwsze oczywiście bardzo często jest tak, że to co na zewnątrz widać nie jest zgodne z wymaganiami ochrony danych.

No i też, to jest niestety, ale przypadłość dużych organizacji, też zapomina się o tym, że z perspektywy ochrony danych osobowych wymiana informacji w grupie jest wymianą pomiędzy różnymi organizacjami.

Być może powinno tak być, być może w RODO powinien być taki mechanizm umożliwiający jeszcze bardziej elastyczną wymianę danych w ramach różnych grup podmiotów.

Mamy oczywiście współadministrowanie, ale ono ma bardzo wiele ograniczeń i wymagań i często właśnie nie jest takim elastycznym instrumentem wymiany danych w grupach spółek.

że jeżeli wymieniamy się właśnie w ramach grupy spółek pewnymi informacjami, to z perspektywy ochrony danych ta inna spółka w grupie jest dokładnie tak samo traktowana, jak podmiot, z którym nie jesteśmy powiązani.

A jak firmy powinny reagować na wycieki danych, tak krok po kroku, od czego zacząć?

Przede wszystkim trzeba sobie uświadomić, że naruszenie ochrony danych, bo taka jest formalna nazwa właśnie tych wycieków na gruncie RODO, to jest pewien stan faktyczny, pewne zdarzenie.

Bardzo teraz mocno kładzie na to nacisk Urząd Ochrony Danych Osobowych w swoich dokumentach, komunikatach, w poradniku, który został zaktualizowany,

No bo nazwa to jest właśnie naruszenie ochrony danych osobowych.

Wielokrotnie mieliśmy takie sytuacje, że zgłaszaliśmy naruszenie ochrony danych.

No i bardzo często Urząd Ochrony Danych Osobowych potwierdzał, że nasze działania, zwłaszcza po tym jak to zdarzenie wystąpiło, były prawidłowe.

Także, że jeżeli zauważy na przykład, że przez przypadek wysłał maila do niewłaściwego adresata albo wysłał tradycyjną korespondencję do niewłaściwej osoby albo wewnątrz naszej firmy zbyt wiele osób widziało pewną informację na przykład o wysokości wynagrodzenia, co się bardzo często zdarza.

Jeżeli mamy powołanego inspektora ochrony danych, to może być ten punkt kontaktowy, aczkolwiek nie zawsze tak musi być.

Bardzo często są też takie sytuacje i na to zwraca uwagę teraz Urząd Ochrony Danych Osobowych bardzo mocno, kiedy na skutek analizy nie jesteśmy w stanie potwierdzić lub wykluczyć, że doszło do naruszenia.

Przykładowo mamy jakiś incydent bezpieczeństwa w zakresie IT, widzimy, że ktoś nieuprawniony mógł mieć dostęp do danych.

A jakie są największe mity na temat bezpieczeństwa danych osobowych, z którymi spotykasz się?

No przede wszystkim myślę, że to o czym powiedziałem trochę wcześniej, że po pierwsze, że ochrona danych osobowych równa się wdrożenie pewnych procedur.

No to jest takie powszechna świadomość, że jak tam sobie coś wydrukowaliśmy, podpisaliśmy i rzuciliśmy na półkę, to już wdrożyliśmy wymagania wynikające z ochrony danych.

Drugi mit to jest właśnie, że ochrona danych nie wymaga wdrożenia żadnych procedur, bo wystarczy, że mamy ogólną świadomość, co zrobić, żeby dane nie wyciekły.

Jeżeli chodzi o te kwestie mitów, to może też ważne jest to, że bardzo często traktuje się ochronę danych osobowych, czy ten moment jakby wdrożenia wymagań jako pewien punkt, po którym nie trzeba nic więcej robić.

A czy widzisz jakieś trendy i zmiany w ochronie danych osobowych, które mogą nas czekać w najbliższych latach?

Myślę, że głównie nas czeka zastanowienie się nad tym, czym jest ochrona danych osobowych, prawda?

Bo po pierwsze oczywiście pojawiają się nowe zagrożenia, ale to akurat moim zdaniem nie jest coś, co definiuje w ogóle ochronę danych, no bo cały czas się pojawiają nowe zagrożenia, to jakby nic nietypowego.

No będziemy się z pewnością musieli zastanowić, zwłaszcza jeżeli chodzi o trenowanie algorytmów pod kątem chociażby ochrony zdrowia, gdzie tak naprawdę zachowanie całkowitej anonimowości, nawet jeżeli będziemy bardzo chcieli, może się okazać fikcją w wielu sytuacjach.

pewnie będziemy musieli dojść do takiego punktu, że będziemy się zastanawiać, co tak naprawdę dla nas jest istotne w ochronie danych.

Myślę, że każda osoba, która zajmuje się ochroną danych, przynajmniej raz w życiu słyszała takie pytanie, po co chronić dane osobowe, skoro one są publicznie dostępne na stronach internetowych, skoro ludzie sami często w mediach społecznościowych publikują pewne informacje, więc po co chronić coś, co i tak jest jawne?

Ta potrzeba ochrony danych, nawet właśnie w takiej sytuacji, kiedy one są jawne, jest większa niż dawniej, bo ryzyka związane z ich wykorzystaniem, z późniejszymi konsekwencjami są większe, co też jakby przedefiniuje to, czym jest ochrona danych, po co to jest i też ten przykład, o którym mówiłem wcześniej, ta automatyzacja, być może właśnie

Okazuje się po tych wielu latach od wejścia w życie RODO i w związku z tym, że ten kontekst technologiczny się zmienił, że takie mechanizmy, które wynikają z ochrony, które traktowaliśmy w ten sposób, że one są, oczywiście trzeba zawsze to sprawdzić, czy w naszym procesie nie ma właśnie jakiejś automatyzacji, czy nie występuje ryzyko, że ten wynik działania algorytmu będzie niesprawiedliwy itd.,

A jakie źródła, książki, podcasty, szkolenia poleciłbyś osobom, które chcą zgłębić temat ochrony danych?

Moim zdaniem, jeżeli osoba na przykład chciałaby się dzisiaj zająć ochroną danych osobowych,

Gdybym ja był taką osobą, to pewnie wyszedłbym po prostu od gruntownego przeanalizowania wszystkich dokumentów, które się znajdują na stronie naszego Urzędu Ochrony Danych Osobowych.

Później bym pewnie przeanalizował wszystkie wytyczne, opinie, przewodniki, które znajdują się na stronie Europejskiej Rady Ochrony Danych, na stronie EROD-u.

I jednocześnie uważam, że jeżeli ktoś ma wystarczająco dużo determinacji, to jest w stanie też właśnie w związku z tym, że to jednak podlega ciągłej zmianie, jeżeli będzie odpowiednio zdeterminowany, to jest w stanie te kwestie po prostu uzupełnić i wskoczyć na taki poziom, który jest potrzebny, żeby móc dyskutować na temat ochrony danych osobowych.

Wydaje mi się, że dzisiaj bardzo mocno wybrzmiało, że ochrona danych osobowych to inwestycja w reputację, bezpieczeństwo i własny spokój, więc bardzo dziękuję Ci za dzisiejszą rozmowę.