Wywiad Gospodarczy: IT niegotowe na RODO
Gościem Maksymiliana Wysockiego w dzisiejszym Wywiadzie Gospodarczym w telewizji wPolsce.pl był Michał Jaworski, członek zarządu i Dyrektor Strategii Technologicznej w Microsoft Polska. Unijne rozporządzenie RODO, które budzi słuszny strach u wielu przedsiębiorców, wejdzie w życie już 25 maja 2018 roku i głęboko zmieni sposób prowadzenia biznesu, w tym zwłaszcza kwestie zarządzania i ochrony danych osobowych
Choć dane osobowe i ich ochrona wydają się być w sporej mierze domeną nie tylko prawników, ale specjalistów od IT, aż 80 proc. osób kierujących działami IT w polskich firmach nie zdaje sobie sprawy co tak naprawdę odznacza RODO. Czym jest, kogo dotyczy i co znaczy?
RODO – rozporządzenie wchodzi z tym samym tekstem we wszystkich krajach Unii. Co to oznacza dla nas i dlaczego ci informatycy nic nie wiedzą? Możemy na to spojrzeć z dwóch punktów widzenia - mówi Michał Jaworski. - Po pierwsze jako osoby fizyczne, czyli ci, których dane są przetwarzane przez administratorów. To oznacza, że mamy zupełnie nowe i zwiększone prawa. Trzeba będzie nam powiedzieć w jakim celu dane będą przetwarzane, jak długo będą przetwarzane. Nie może być zgody domyślnej. My musimy tę zgodę wyrazić bardzo jednoznacznie. Możemy poprawiać nasze dane. Możemy się dowiedzieć kto przetwarza nasze dane, w jakim celu i jakie dane. Możemy też zażądać, żeby nasze dane zostały skasowane. Daną osobową może być cokolwiek, co pozwala zidentyfikować daną osobę. Dlatego działy IT mogą o tym nie wiedzieć, bo zarządy zajmowały się tymi zmianami do spółki z prawnikami. Problem z informatykami jest taki, że informatyków nie wciągnięto do tej pracy od początku - ocenia.
Z jednej strony RODO wprowadza ogromne przywileje dla klientów w zakresie zarządzania i informacji o ich danych osobowych w dowolnej firmie. Z drugiej strony wprowadza ogromne kary za wyciek danych osobowych. To spędza sen z powiek wielu przedsiębiorcom, bo nie tylko będą karani za słabe zabezpieczenia przed hakerami, jeśli w ich skutek nastąpi wyciek danych. Nawet zgubienie pendrive’a z danymi osobowymi może być powodem surowej kary. RODO nakazuje firmie chronić i zabezpieczać dane, ale to do jej dowolnego wyboru pozostawia wybór metody tej ochrony. W razie wycieku firma będzie musiała wykazać, że dokonała wszelkich starań, by do takiego incydentu nie doszło.
Unia zrobiła bardzo mądrą rzecz - ocenia Michał Jaworski. - Nie będziemy wiedzieli co należy zrobić, żeby dane były bezpieczne za 5, czy 10 lat, więc nie ma ścisłego zapisu technicznego jak je chronić, tylko żeby je chronić. Pod tym względem to dobre prawo, bo nie będzie trzeba go aktualizować co roku. Natomiast bardzo dokładnie jest powiedziane co powinniśmy robić. Jak należy chronić dane? Jak zidentyfikować co należy chronić? Co grozi za wyciek danych (a kary grożą ogromne)?
Zagrożenia i konsekwencje
Każdy cyberatak czy wyciek danych trzeba będzie zgłosić do GIODO. Ten będzie publikował takie informacje publicznie. Można sobie tylko wyobrazić jakie możliwości to stwarza dla wojen PR-owych. Zgonie z prawem Murphy’ego, jeśli coś może się wydarzyć, to w końcu się wydarzy. Fakt słabej ochrony danych klientów jest idealną bronią i pożywką dla nieczystych ciosów i internetowych troli. Dodatkowe zapisy tego prawa powodują, że za wyciek danych firma będzie sądzona niekoniecznie w Polsce.
Bardzo niebezpieczne dla niefrasobliwych firm jest też fakt, że jeśli nastąpi wyciek danych klienta, który mieszka lub jest obywatelem innego kraju europejskiego, rozprawa cywilna za ewentualną szkodę odbywać się może w innym, niż Polska kraju. A to już zupełnie inny poziom sankcji i tempo sądownictwa, nie mówiąc już o nastawieniu do polskiej firmy - ocenia przedstawiciel Microsoft.
W zakresie cyberbezpieczeństwa warto też zwrócić uwagę, że nawet w branży bankowej wykrycie cyberataku - optymistycznie licząc - średnio zajmuje około minimum 100 dni. Dlatego najpewniej o wycieku lub wykradzeniu danych dowiemy się, kiedy będzie już za późno. Jak się zabezpieczać przed cyberatakami?
To jest nieustająca wojna i wyścig zbrojeń. Dziś musimy być pewni co do jednej rzeczy – to już nie są dzieciaki, to przestępcy, przestępczość zorganizowana lub trzeba też brać pod uwagę, że mogą stać za nimi nawet pewne kraje w konkretnym celu - zauważa Jaworski.
Czy w takim razie bezpieczniej jest działać na własną rękę, czy przenieść dane do chmury, którą zabezpiecza dostawca?
Chmura to jest duże zabezpieczenie. Dostawca chmurowy ze względu na skalę swojej działalności, może wydać dużo więcej pieniędzy na zabezpieczenie. 4-5 lat temu była jeszcze dyskusja czy chmura jest bezpieczniejsza niż własne zabezpieczenia. Dzisiaj jest odwrotnie. To jak zastanawiać się, czy bezpieczniejsze jest trzymanie gotówki w domu, czy w banku. Powierzamy nasze pieniądze bankom, powierzajmy nasze pieniądze chmurze - ocenił Michał Jaworski.
Dowiedz się w szczegółach o zagrożeniach, karach, i możliwych zabezpieczeniach - zobacz cały wywiad.