- Mimo że RODO obowiązuje już rok, przedsiębiorcy wciąż nie potrafią prawidłowo określić swojej roli w procesie przetwarzania danych.
- Dla sektora MSP dostosowanie technologiczne do przepisów nadal pozostaje wyzwaniem.
Choć mija już rok od wejścia w życie unijnego rozporządzenia o ochronie danych osobowych (RODO), to polskiemu biznesowi nadal nie udało się w pełni dostosować do wynikających z niego obowiązków. Wydawać by się mogło, że widmo wysokich kar skutecznie skłoni przedsiębiorców do podjęcia stosownych działań, jednak po etapie początkowego zamieszania działania podejmowane przez przedstawicieli biznesu wyhamowały. Sytuacji znacząco nie zmienił także fakt nałożenia pierwszych kar. W marcu tego roku UODO nałożyło milionową karę na firmę Bisnode za brak wypełnienia obowiązku informacyjnego. Z kolei niedawno jeden ze związków piłkarskich został wezwany do zapłaty prawie 56 tys. złotych za nieskuteczne usunięcie upublicznionych danych. Niewykluczone, że niedługo pojawią się kolejne, gdyż do urzędu wpłynęło już ponad 5 tys. skarg i zawiadomień.
– Część wątpliwości polskich przedsiębiorców odnośnie RODO wynika z samej konstrukcji przepisów. Rozporządzenie wyznacza pewne ramy i standardy, a nie wskazuje konkretne rozwiązania, do czego przyzwyczaił firmy dotychczasowy polski porządek prawny. W związku z tym powstało wiele wątpliwości, a podejmowane przez niektórych czynności czasami są nieadekwatne do prowadzonych działań. Problem ten dotyka w szczególności przedstawicieli sektora MSP, którzy często nie mają tak rozbudowanego zaplecza technologicznego oraz doradztwa prawnego, jak duże firmy i korporacje – wskazuje radca prawny dr hab. Katarzyna Malinowska współpracująca ze Stowarzyszeniem Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych.
Najważniejsze problemy polskich przedsiębiorców
Wśród najczęściej spotykanych wątpliwości i problemów, z jakimi do dziś mierzą się polscy przedsiębiorcy, należy prawidłowe określenie ich roli w procesie przetwarzania danych osobowych oraz zapewnienie odpowiedniej infrastruktury i ochrony technologicznej do ich przechowywania. Należy pamiętać, że RODO wprowadza dwa typy uczestników tzw. łańcucha przetwarzania danych osobowych – administratora oraz procesora danych. W świetle przepisów o celu i sposobie przetwarzania danych decyduje administrator, a procesor wykorzystuje je w zakresie wskazanym mu przez administratora. Mimo roku obowiązywania nowych przepisów nadal dochodzi na tym polu do sporów pomiędzy firmami. Powszechną praktyką było masowe podpisywanie umów powierzenia danych ze wszystkimi partnerami biznesowymi, niezależnie od tego, czy faktycznie przetwarzają one gromadzone przez administratora dane, czy nie i w jakiej występują roli. Dochodziło zatem do podpisywania umów, które nie były zgodne ze stanem faktycznym.
– Zjawisko to jest o tyle niebezpieczne, że odpowiedzialność za ewentualne naruszenie danych osobowych ponosi zasadniczo administrator, choć w pewnych wypadkach będzie ona spoczywała także na procesorze. Co więcej, nieprawidłowe określenie roli poszczególnych firm w procesie przetwarzania danych może doprowadzić też do niedopełnienia obowiązków informacyjnych wobec UODO i klientów, co jest szczególnie istotne w sytuacji naruszenia ochrony takich danych. Zbyt późna reakcja na atak może też doprowadzić do zwiększenia jego skali, np. w postaci szerszego rozpowszechnienia złośliwego oprogramowania. Skutkiem tego mogą być dodatkowe kary. W związku z tym, niezależnie od roli, jaką firma pełni w procesie przetwarzania danych, konieczne jest rozważenie metod zarządzenia ryzykiem odpowiedzialności zarówno cywilnej, jak i administracyjnej. Pewną odpowiedzią na zapotrzebowanie w tym zakresie są oferowane na rynku ubezpieczenia od zagrożeń cybernetycznych. Należy jednak podkreślić, że nie mogą one wyeliminować potrzeby dołożenia należytych starań w procesie zarządzania przedsiębiorstwem – dodaje Katarzyna Malinowska.
Drugim problemem, który dotyka firmy z sektora MSP w związku z RODO, jest zapewnienie odpowiednich środków technologicznych do bezpiecznego przechowywania danych. Większość małych, a także średnich firm zazwyczaj nie stosuje zaawansowanych systemów informatycznych ani procedur bezpieczeństwa. W związku z tym nie dość, że są bardziej narażeni na atak, to również wzrasta ryzyko nieumyślnego upublicznienia danych. W takiej sytuacji pomocna może okazać się współpraca z profesjonalnym pośrednikiem ubezpieczeniowym. Broker nie tylko pomoże dobrać odpowiednią ochronę ubezpieczeniową, lecz także jest w stanie uświadomić całe spektrum ryzyk, także nieubezpieczalnych i wskazać konieczne do podjęcia środki służące minimalizacji cyber ryzyka w przedsiębiorstwie.
Jaką ochronę zapewnia cyberpolisa?
Standardowe polisy od zagrożeń cybernetycznych przewidują nie tylko wypłatę środków na pokrycie kosztów związanych z likwidacją zagrożenia oraz naprawą ich skutków, ale również na przeprowadzenie akcji informacyjnej wśród osób, których dane mogły wyciec. Co więcej, zakładają przekazanie przedsiębiorcy środków koniecznych do wypłaty ewentualnych zadośćuczynień. Ubezpieczenie może również uwzględniać pokrycie kosztów postępowań sądowych, a w szczególnych wypadkach również kar administracyjnych.
– Niestety istnieje szereg sytuacji, w których towarzystwo ubezpieczeń może odmówić pomocy w ramach polisy. Najczęściej dochodzi do tego w przypadku, gdy firma nie posiada zabezpieczenia antywirusowego, bądź korzysta z nielegalnego oprogramowania. Wyłączone spod ochrony są też zdarzenia, których przyczyną jest zgubienie lub kradzież sprzętu, za którego pośrednictwem dojdzie do ataku – zauważa Łukasz Zoń, prezes Stowarzyszenia Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych.
Ceny cyberpolis wynoszą obecnie od 0,5% do 2% sumy gwarancyjnej, w zależności od zakresu polisy oraz posiadanych przez firmę zabezpieczeń, stosowanych procedur bezpieczeństwa oraz poziomu udziału własnego w szkodzie.
Źródło: Stowarzyszenie Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych
