Mity cyberbezpieczeństwa
Autorzy: r. pr. Mikołaj Otmianowski – Wiceprezes Zarządu DAPR sp. z o.o. – https://dapr.pl/
r. pr. Paweł Bronisław Ludwiczak – Kancelaria Radcy Prawnego Paweł Ludwiczak – www.ludwiczak-radcaprawny.pl
W ostatnim artykule z serii „Cyberbezpieczeństwo w małych i średnich przedsiębiorstwach” obiecaliśmy napisać o najczęstszych mitach cyberzbezpieczeństwa.
Jak pewnie Państwo wiecie, najsławniejsze mity pochodzą ze starożytnej Grecji. Osoby znający mitologię Grecji, wiedzą, że w starożytnej Grecji wierzono, że rzeka Styks chroni dostęp do krainy zmarłych. Przeprawa była możliwa łodzią Charona. Opłata za przepłynięcie wynosiła jednego obola – bez monety nie było wstępu do tej krainy. Dlatego Grecy wkładali zmarłym w usta wynagrodzenie dla Charona. Pan DarkSide nie dostał tej monety i przez tysiące lat błąkał się wzdłuż Styksu. Udało mu się jednak wrócić na ziemię, aby zdobyć potrzebną monetę.
Czasy się zmieniły i Pan DarkSide musiał się dostować do nowych reguł gry. Stwierdził, że najłatwiej można zarobić jako haker. W tym celu stworzył grupę hackerską Gang DarkSide i w 2021 roku zablokował rurociąg Colonial Pipeline w USA. Ropa przestała płynąć. Paraliż wschodniego wybrzeża był gotowy.
Jak to się stało?
Przyczyną tego był ransomware wpuszczony do systemu i za szyfrujący dane. Okup zapłacony 4 mln dolarów.
Co do tego doprowadziło?
Przyczyn nie znamy dokładnie, ale są pewne mity z którymi powinniśmy walczyć regularnie:
Mit nr 1 Wirusy i inne szkodliwe oprogramowanie (malware) atakują tylko komputery i laptopy
Wirusy i inne szkodliwe oprogramowanie atakuje nie tylko komputery i laptopy. Atakują również telefony komórkowe oraz inne inteligentne urządzenia . Należy też zwrócić uwagę, że wirusy i inne szkodliwe oprogramowanie nie atakują tylko komputerów z systemem Windows. Atakują również sprzęt Apple, sprzęt z zainstalowanym Linux`em itd.. Oczywiście statystyka jest nieubłagana i hakerzy częściej i chętniej atakują komputery z systemem Windows oraz telefony z systemem Android. Atakują bo mają oni najwięcej użytkowników.
Wirusy atakują także sprzęt IoT (urządzenia podłączone i porozumiewające się przez internet). IoT jest często praktycznie niezabezpieczony.
Mit nr 2 Mam system cyberbezpieczeństwa! Jestem bezpieczny!
Prawidłowo to hasło powinno brzmieć: „Jestem bezpieczniejszy!” Nigdy nie jesteśmy bezpieczni na 100 %. Nawet mają wsparcie super komandosów IT. Każdy system da się obejść i każdy system ma luki. To kwestia środków. Nawet najlepiej ustawiony i skonstruowany system IT nie jest odporny na wszystkie ataki. Oczywiście korzystając ze sprawdzonych narzędzi, wsparcia ekspertów istotnie ograniczamy ryzyko incydentu cyberbezpieczeństwa. Niemniej nigdy nie możemy wyłączać myślenia. Bo człowiek to najsłabsze ogniowo systemu podatne na ataki socjotechniczne.
Mit nr 3 Darmowy antywirus to wszystko co potrzeba!
Darmowy antywirus to zawsze „coś”. Zwłaszcza, że Windows Defender dostarczany w ramach Windows 10 i 11 nie ustępuje rozwiązaniom komercyjnym. Ale poza tym przydałoby się włączyć firewall (zaporę sieciową). Włączyć szyfrowanie dysku. A może pokusić się o Mobile Device Management? MDM to oprogramowanie, które służy do zdalnego zarządzania urządzeniami mobilnymi Do namierzania komputera możesz zastosować m.in. takie programy jak Prey (bezpłatny) oraz LoJack (płatny). No i manager haseł, bo ułatwia zarządzanie różnymi hasłami w każdym serwisie.
Mit nr 4 Nikt mnie nie zauważy, bo oni atakują tylko dużych
Hakerzy atakują wszystkich. Nikt nie jest dla nich zbyt mały. Po sieci chodzą automaty tzw. robaki, które szukają dziur w każdym waszym systemie podłączonym do internetu. Co najgorsze wasze systemy są zwykle tak zaprogramowane by przedstawiać się i wejść w dyskusje. Dobry robak po takiej rozmowie będzie wiedział gdzie jest dziura, lub da sobie spokój. Można porównać to do zwykłej rozmowy z nieznajomym. Zwykle nasze dzieci uczymy nie rozmawiaj z nieznajomym. My rozmawiamy bo wydaje się nam, że umiemy ocenić. Ale czy nasz program jest dostatecznie sprytny by dokonać podobnej oceny? My czasem się mylimy. Programy też mogą źle ocenić rozmówcę.
Mit nr 5 Podglądają mnie przez kamerę
To ulubiony mit Mikołaja. Po co ktoś miałby podglądać was przez wbudowaną kamerkę w komputerze jak w tym samym czasie może poznać wasze hasła i kody do bankowości, treści wiadomości i wszystko co robicie na komputerze. Wyobrażasz sobie jaka to jest moc, gdy ma się pełny dostęp do twojego komputera. Komu by się chciało w takiej sytuacji podglądać ciebie przez kamerkę?
Mit nr 6 Trzeba mieć super umiejętności by hackować
Hakowanie obecnie to usługa. De facto to nowa gałąź przemysłu. Za kilka dolców możesz kupić usługę i wskazać obiekt swojego zainteresowania. Wskazujesz cel, a SaaSowe oprogramowanie przeprowadzi atak np. zwiększający ruch na stronnie (DDoS) lub zablokować stronę. W ramach usługi ktoś przeprowadzi atak na wybraną przez ciebie osobę. Dowolny atak. Wymagana jest tylko umiejętność zakupu bitcoin by zapłacić za taką usługę.
Jednocześnie w internecie można znaleźć poradniki i oprogramowanie (darmowe lub płatne parę dolarów) jak samemu dokonać jakiegoś ataku hakerskiego.
Mit nr 7 Bezpieczeństwo to bardzo wysokie koszty na które stać tylko największych
Bezpieczeństwo to przede wszystkim szkolenia z wiedzy i ćwiczenia z zachowań. Oczywiście można i trzeba zabezpieczać dane. Ważne by nie chodzić na skróty, bo kto drogi prostuje ten w domu nie nocuje.
Jest dużo oprogramowania darmowego. Warto sprawdzić. Niemniej trzeba zainwestować czas. A czas to pieniądz, czyli koszt. Darmowe wymagają często więcej konfiguracji. Jednocześnie płatne oprogramowanie można już kupić za stosunkowo nie duże pieniądze.
Mit nr 8 Uwierzytelnianie wieloskładnikowe uniemożliwia wykorzystywaniu skradzionych danych dostępowych
Uwierzytelnianie wieloskładnikowe bardzo pomaga zabezpieczyć dane i bardzo zachęcamy do włączenia dodatkowego potwierdzenia tożsamości osoby logującej się. Jak w danej chwili nie logujesz się, to nie potwierdzasz kodu i koniec. Nic się nie dzieje Niemniej znane sa przypadki przełamania tego kodu. Jak SMS, to podmiana kart. Jak SMS to podejrzenie. Bezpieczniejsze wydają się aplikacje typu Microsoft lub Google Authenticator. A jeszcze lepszy pod kątem zabezpieczenia informacji jest klucz 2FA.
Mit nr 9 Cyberbezpieczeństwo musi być uciążliwe
Bezpieczeństwo nie jest łatwe. Bezpieczeństwo jest wymagające. Ale to kwestia przyzwyczajenia i wyrobienia sobie nawyków. Trzeba dokonać wyboru czy bezpiecznie czy łatwo. Kwestia doświadczenia zespołu lub konsultantów.
Mit nr 10 U nas nic się nie stanie
To ulubiony mit Pawła. Każdy przedsiębiorca był, jest i będzie celem ataków hakerskich. Pytanie nie brzmi kiedy dojdzie do naruszenia cyberbepieczeństwa tylko kiedy i jakie będą straty. Dobrze wdrożony system cyberbezpieczeństwa pozwoli opóźnić ten moment, a przede wszystkim zminimalizować straty i koszty.
Ciekawe którą drogę Pan DarkSide wybrał by dostać się do systemu Colonial. Nie ma to większego znaczenia, ale wybrał drogę skuteczną. Dzięki tej akcji pan DarkSide otrzymał to czego potrzebował by przedatować się przez Styks. czy 4 mln $ starczy by kupić jednego obola dla Charona?
Jeśli masz pytania zapraszamy do kontaktu.
Przeczytaj nasz kolejny artykuł z cyklu tematów dotyczących cyberbezpieczeństwa.
Zapewne mało kto spodziewał się, że jeśli Max Schrems pojawi się w Polsce pierwszy raz na konferencji to o tytule „korzyści z RODO dla biznesu”, a właśnie tak było. Dużym sukcesem konferencji organizowanej przez DAPR byli prelegenci, którzy w większości są osobami, którzy na co dzień korzystają z RODO w praktyce.
Z pewnością największym zainteresowaniem cieszyło się wystąpienie wspomnianego już Maxa Schremsa. Prawnika z Austrii, który już dwukrotnie na drodze sądowej doprowadził do tego, że porozumienia między unią europejską a Stanami Zjednoczonymi Ameryki zostały unieważnione ze względu na ochronę prywatności. Ktoś mógłby pomyśleć, że stara się on utrudniać życie biznesowi ale jak się posłuchało jego wykładu to stawało się jasne, że nie. Już na wstępie wspomniał, że jest entuzjastą technologii i bardzo ją lubi. Jest za jej rozwojem. Tylko podkreślił, że to, iż technologia się rozwija nie oznacza, że musi być naruszana prywatność. Oba aspekty mogą iść równolegle. Jak zaznaczył, nasze prawo do prywatności jest i raczej nie zniknie. Skoro więc nam przysługuje to czemu nie mamy domagać się jego przestrzegania? Dlaczego mielibyśmy przymykać oczy. Dbanie o prywatność to nie tylko aspekt, który może się rozwijać wraz z technologią ale także z biznesem. Przedsiębiorcy, którzy będą szanowali prawa podmiotu danych będą konkurencji pod względem jakości. I jest to z pewnością jeden z aspektów, który podnosiło wielu prelegentów. Możesz realizować śmieciowy marketing naruszając prywatność ale nie będziesz wtedy poważnie postrzegany. Masz jednak do wyboru drugą opcję. Możesz rozwijać biznes w zgodzie z przepisami, a wraz z tym będzie rosła Twoja reputacja i wizerunek. Do biznesu należy wybór czy chce na RODO skorzystać czy z nim walczyć.
W konferencji wzięło udział kilkudziesięciu prelegentów, a każdy z nich opowiedział swoją historię. Ciężko byłoby wszystkie opisać ale warto podsumować najważniejsze korzyści jakie każdy z nich przedstawiał dla biznesu.
Po pierwsze, poznanie biznesu.
Skuteczne wdrożenie RODO polega na poznaniu biznesu. Jeśli ktoś wdrożył RODO w weekendowym pakiecie zakupionym przez Internet to niewiele mu to da. Jeśli jednak wyszedł od audytu organizacji to mógł na nowo poznać swój biznes. To były ciągle powtarzające się historie gdzie wdrożenie RODO, krok po kroku, dział po dziale, dokument po dokumencie, pozwoliło poznać organizację. Dzięki temu zarządcy czasami po raz pierwszy poznawali procesy w swoim przedsiębiorstwie. Orientowali się nie tylko jak można lepiej zadbać o ochronę danych osobowych ale ja w ogóle można usprawnić procesy biznesowe.
Po drugie, bezpieczeństwo.
RODO wymaga od biznesu by odpowiednio zadbało o ochronę danych osobowych. Te znajdują się w prawie każdym dziale, także np. w finansowym. Zwiększenie świadomości personelu w zakresie cyberzagrożeń przez szkolenia, zainwestowanie w nowe zabezpieczenia itp. pozwolą nie tylko na to by spełnić wymagania RODO i nie tylko by chronić dane osobowe ale jednocześnie pozwala na to by lepiej było chronione know how firmy czy dane finansowe. Lepsza ochrona danych osobowych to większe bezpieczeństwo biznesu (nie tylko przed karami ale także przestępcami).
Po trzecie, inwestycje.
RODO to dobry pretekst by zainwestować w firmę. Te inwestycje są na różnym poziomie. Słuchacze konferencji mogli posłuchać wyśmienitej historii jak dzięki RODO firma, która żyła jeszcze w latach 90 zrobiła przeskok do lat współczesnych. Wymieniła sprzęt, zaktualizowała programy, zainwestowała w nowe programy typu CRM oraz przeniosła się do chmury. Poniosła koszty finansowe ale zyskała operacyjnie, organizacyjnie i pod względem bezpieczeństwa. RODO jest więc dobrym aspektem do tego by zainwestować w firmę co jest dobrym argumentem dla działów IT, którym brakuje funduszu na bezpieczeństwo lub dla działów marketingu, które chciał podjąć bardziej ambitne działania, które są zgodne z przepisami dot. prywatności.
Jak widać korzyści dla biznesu jest sporo, co dostrzegają praktycy. Osoby, które na co dzień stosują przepisy RODO. Brak zauważalności korzyści w ogólnym odbiorze, w szczególności przez biznes, może wynikać z tego jakiej RODO nadano narracji. W tym względzie warto pochylić się nad wystąpieniem Mirosława Sanka (byłego zastępcy Prezes UODO), który podkreślił, że RODO to nie tylko akt prawny o ochronie danych osobowych ale także o swobodnym przepływie takich informacji. Wskazał tutaj na to, że negatywną narrację (kija, nie marchewki) w około RODO zbudowały firmy, które zarabiały na strachu przedsiębiorców przed karami zamiast budować ogólną świadomość. Jak widać RODO funkcjonuje już kilka lat, a z uwagi na kary nie upadło, że z przedsiębiorstw. Warto więc zmienić narrację i odejść od analizowania wysokości i częstotliwości nakładania kar a skupić się na celu RODO tj. budowaniu świadomości.
Jeśli chcesz zobaczyć wypowiedź Maxa Schremsa, przejdź na nasz kanał YT.
Subskrybuj, jeśli chcesz zobaczyć resztę wykładów. Będziemy tam publikować wszystkie z nich. Znajdziesz tam również wiele treści wideo dotyczących GDPR i Legaltech.
Zapraszamy również do obserwowania kanału DAPR na LI oraz kanału Mikołaja Otmianowskiego, radcy prawnego, pomysłodawcy wydarzenia.
Autorzy:
r. pr. Mikołaj Otmianowski – Wiceprezes Zarządu DAPR sp. z o.o. – www.dapr.pl
r. pr. Paweł Bronisław Ludwiczak – Kancelaria Radcy Prawnego Paweł Ludwiczak – www.ludwiczak-radcaprawny.pl
W poprzednich artykułach „Cyberbezpieczeństwo w małych i średnich przedsiębiorstwach – wstęp do zagadnienia” i „Cyberbezpieczeństwo w małych i średnich przedsiębiorstwach – analiza ryzyka to podstawa cyberbezpieczeństwa” napisaliśmy:
1) czym jest cyberbezpieczeństwo,
2) dlaczego przedsiębiorcy powinni zająć się/zaangażować się w zarządzanie cyberbezpieczeństwem w swoich organizacjach,
3) że Hakerzy zaatakują każdego, pytanie tylko kiedy, jak i które zasoby,
4) od czego zacząć budowę cyberbezpieczeństwa w organizacji.
5) o poziomach cyberbezpieczeństwa,
6) celach cyberbezpieczeństwa,
7) o zarządzaniu systemem bezpieczeństwa danych osobowych a zarządzaniu Cyberbezpieczeństwem,
W niniejszym artykule będziemy kontynuować temat cyberbezpieczeństwa, starając się przekazać Państwu garść praktycznych porad od czego zacząć.
Jeżeli rozejrzycie się wokół siebie w poszukiwaniu elektroniki, to co widzicie?
Komputer, telefon, tablet. Co jeszcze? Myszki, klawiatury, drukarki, kamerki, wbudowane i zewnętrzne i głośniki, inteligentne telewizory, inteligentne lodówki, inteligentne pralki, inteligentne odkurzacze, zdalnie zarządzane żarówki, itd. Ponadto każdy wie, choć tego nie widzi, że Internet dociera poprzez router, a potem rozprowadzony jest po pomieszczeniach poprzez kable (bezpieczniej) lub wifi (mniej bezpiecznie) po całym przedsiębiorstwie, urzędzie lub mieszkaniu.
A czego nie widać na pierwszy rzut oka? Ano całego mnóstwa aplikacji, zainstalowanych na naszych urządzeniach. Część instalujemy sami, część instaluje producent, a część mogą nam zainstalować hakerzy. Bez aplikacji nasza elektronika by nie działała. Z jednej strony aplikacje ułatwiają nam życie, umożliwiają pracę, ale z drugiej mogą stanowić dla nas zagrożenie.
Internet of Things, słynne i wszechobecne „IoT”, są dużym wyzwaniem z perspektywy cyberbezpieczeństwa. Tłumacząc na polski IoT to urządzania, które podłączamy do sieci Internetowej by miały pełną funkcjonalność oferowaną przez producentów, a mogą to być: zamki do drzwi, zarządzanie oświetleniem, lodówki, telewizory, wieże Hi-Fi, wzmacniacze, konsole do gier, zegarki, zabawki dla dzieci, samochody itd.
Jak pisaliśmy wcześniej, identyfikacja zasobów to ważny moment pozwalający uświadomić sobie, że zagrożenia z sieci mogą pojawić się różnymi kanałami. Chcąc się zabezpieczyć powinniśmy zlokalizować te kanały, zidentyfikować ich podatności i je odpowiednio zabezpieczyć. Proponujemy pewne ćwiczenie – zróbcie listę, a potem sprawdźcie jakie urządzenia są podłączone u was do Internetu czy bluetooth. Zweryfikujcie ją. Jeżeli ją zrobicie, to będzie to pierwszy praktyczny krok w identyfikacji zasobów. Identyfikacja zasobów jest ważna, bo każdy z nich może się okazać tym ogniwem, za pomocą którego intruz dostanie się do Waszej sieci.
Od czego zacząć?
W poprzednim artykule pisaliśmy, że analiza ryzyka to podstawa cyberbezpieczeństwa. Jeśli więc to podstawa, to zacznijmy od tej analizy. Analiza ryzyka w uproszczeniu polega na tym, żeby zidentyfikować kluczowe aktywa, ich podatności i w sposób efektywny alokować zasoby tak, aby zapewnić bezpieczeństwo sieci i systemów informatycznych. Jak to zrobić? Oczywiście poprzez szacowanie ryzyka. Jak oszacować ryzyko? Bardzo upraszczając, ryzyko to kombinacja (która może być np. iloczynem) dwóch składników: poziomu (powagi) konsekwencji (skutków) oraz prawdopodobieństwa zdarzenia, które do zaistnienia tych skutków może doprowadzić.
Podstawową analizę ryzyka można zrobić nawet w Excelu.
W pierwszej kolumnie można wypisać zidentyfikowane urządzenia, w drugiej aplikacje przypisane do tych urządzeń. Następnie, stosując kryteria, można określić powagę konsekwencji w przypadku utraty przez te aktywa atrybutów bezpieczeństwa: poufności, integralności, dostępności i autentyczności, zastanawiając się co by się stało organizacji, gdyby doszło np. do utraty dostępu do danych na urządzeniu (np. ktoś skasowałby te dane lub je zaszyfrował) lub ktoś zmodyfikowałby te dane lub je skopiował lub utracona zostałaby pewność ich autentyczności. Należy również zbadać, jakie konsekwencje w przypadku takich zdarzeń mogą wystąpić z perspektywy ciągłości działania produktów i usług IT, tzn. czy utrata dostępności jakiegoś aktywa nie spowoduje przerwania w świadczenia priorytetowej dla firmy usługi, np. dostępu do serwera, dostaw energii elektrycznej. Ocena może być różna dla każdej z tych sytuacji.
Następnie trzeba określić prawdopodobieństwo takiego zdarzenia. Szacując prawdopodobieństwo trzeba wziąć pod uwagę podatności oraz zastosowane zabezpieczenia. Warto przy tym skorzystać z pomocy specjalistów, którzy rozumieją kontekst analizowanych zagrożeń, np. w przypadku szacowania prawdopodobieństwa pożaru serwerowni, należy skonsultować się ze specjalistą p.poż, w przypadku badania zagrożenia atakiem bruteforce, należy skonsultować się ze specjalistą od cyberbezpieczeństwa itd. Specjaliści powinni zaproponować wartość prawdopodobieństwa na podstawie swojej oceny stanu faktycznego. Mogą od tego użyć skali 3, 4, 5 stopniowej lub innej. Ocenę prawdopodobieństwa powinna opierać się na wcześniej określonych kryteriach. Warto zaznaczyć, że są dwie metody szacowania prawdopodobieństwa – jakościowa i ilościowa. Powyższa metoda jakościowa to tzw. metoda ekspercka, tzn. pozwalamy specjaliście, na podstawie jego ekspertyzy i doświadczenia określić poziom prawdopodobieństwa. W przypadku szacowania ilościowego powinno się zaprząc do analizy również rachunek prawdopodobieństwa.
W związku z tym, że do rachunku prawdopodobieństwa potrzebne są dane, do których zazwyczaj dostępu nie mamy, w praktyce większość analiz opiera się na opinii ekspertów. Zestawienie (np. wymnożenie) wartości powagi konsekwencji oraz przypisanego poziomu prawdopodobieństwa pozwala określić poziom ryzyka. On z kolei umożliwia wskazanie tych elementów, które wymagają zabezpieczenia. Oczywiście jest to przepis na bardzo uproszczoną analizę ryzyka, taką do zrobienia w domowych warunkach, aby wiedzieć czym się zająć w pierwszej kolejności, w myśl przysłowia „Lepszy rydz niż nic”. To bardzo uproszczony model, bo w rzeczywistości należy też uwzględnić kwestie kontekstu, źródeł ryzyka, itd., ale komplikować będziemy w przyszłości.
Jeśli masz pytania zapraszamy do kontaktu. Tutaj możesz przeczytać poprzedni artykuł dotyczący cyberbezpieczeństwa.
Wiele informacji na temat RODO i cyberbezpieczeństwa znajdziesz na naszym profilu LinkedIn oraz kanale Youtube, gdzie publikujemy wywiady ze specjalistami.
Znaczenie analizy ryzyka w obliczu wciąż rosnącej liczby zagrożeń.
W wielu instytucjach i firmach coraz częściej zaczyna się zauważać, nie tylko potrzebę udokumentowania, w celu dalszej analizy, zagrożeń mogących narazić firmę na szwank, a wręcz konieczność analitycznego podejścia do wszystkich zagrożeń mogących się zmaterializować.
Strategia postępowania z ryzykiem staje się w tej sytuacji elementem koniecznym do bezpiecznego, a co za tym idzie prawidłowego funkcjonowania firmy na rynku.
Jak skutecznie określić jakie ryzyko lub ryzyka mogą grozić naszej firmie?
W zasadzie mamy dwa źródła wiedzy:
a. Audyt – bez względu na to czy mówimy o audytorze wewnętrznym czy zewnętrznym – chodzi o chłodny osąd sytuacji. Procedura audytu, wykonywana w z góry zaplanowanych odcinkach czasu, powinna polegać na kompleksowym przeglądzie wszystkich możliwych aspektów ryzyka. Audytor (zespół audytorów) przygotowuje odpowiednie rekomendacje dotyczące dalszego działania firmy. Istotną wadą tego rozwiązania jest fakt, że zagrożenia mogą wystąpić pomiędzy audytami. Drugą wadą jest to, że audytor szczególnie zewnętrzny, nie znający mechanizmów funkcjonujących w firmie, może nie być w stanie zdiagnozować wszystkich ryzyk, które w niej występują.
b. Zaplanowany, ciągły proces diagnozowania i monitorowania zagrożeń. Rozwiązanie to wymaga powołania pewnej grupy osób, która działa wewnątrz przedsiębiorstwa, a której celem jest stałe monitorowanie zagrożeń, stosowanych procedur i instrukcji.
Warto w tym momencie wspomnieć w jakich obszarach mogą pojawić się ryzyka. Mogą one mieć charakter wewnętrzny i dotyczyć organizacji firmy, aktywów – czyli wszystkiego tego co ma dla firmy wartość – ludzie, maszyny, technologia, dane czy wreszcie strategia. Charakter zewnętrzny ryzyk może wiązać się z takimi zagadnieniami jak rynek, ekologia, polityka i ekonomia.
Powyższy podział, powinien każdemu managerowi uzmysłowić jak szerokim zakresem wiedzy powinien dysponować zespół audytorów, lub pracowników zajmujących się szacowaniem ryzyka w przedsiębiorstwie.
Nie ma co ukrywać: do przeprowadzenia analizy konieczny jest zespół ludzi znających specyfikę firmy oraz… odpowiednie narzędzie. Jeśli chodzi o zespół, zawsze można się wesprzeć pomocą wyspecjalizowanych firm lub instytucji, które mają doświadczenie na rynku.
Narzędzie zaś, które posłuży do zebrania i odpowiedniego zagregowania danych – powinno być dobrane do wielkości i wartości firmy. Firmy małe, kilkuosobowe, być może zadowolą się prostymi rozwiązaniami. Jednak w obecnej dobie Dobre, Adekwatne, Profesjonalne Rozwiązanie powoli zaoszczędzić sporo czasu, stresu i pieniędzy. Warto zatem przetestować rozwiązania dostępne na rynku, które pozwolą na zautomatyzowanie powtarzalnych czynności, ale co bardzo istotne, pokażą rezultaty w formie przyjaznej i zrozumiałej dla Zarządu, który na co dzień ma mnóstwo innych, ważnych zadań.
Po co zajmować się incydentami lub naruszeniami?
Gromadzenie informacji o zdarzeniach niebezpiecznych, które już wystąpiły, czyli incydentach w zakresie działania firmy, bezpieczeństwa informacji lub naruszeń ochrony danych, które zgodnie z przepisami powinny być zgłaszane do Urzędu Ochrony Danych Osobowych, służy do, mówiąc krótko – uczenia się na błędach. Nie należy pomijać tego aspektu podczas oceny chociażby prawdopodobieństwa wystąpienia jakiegoś zdarzenia niebezpiecznego. Jak mówi ponoć japońskie przysłowie „Jeśli coś zdarzyło się raz może się zdarzyć i drugi”. Dlatego kierownictwo firmy powinno położyć duży nacisk na to aby zebrać możliwie najwięcej informacji o każdym takim zdarzeniu, aby w dalszej kolejności podjąć kroki zmierzające do zdiagnozowania przyczyn oraz wyeliminowania, lub możliwie największego ograniczenia prawdopodobieństwa wystąpienia podobnych zdarzeń w przyszłości.
Jeśli podczas szacowania ryzyka okaże się, że mamy do czynienia z ryzykiem nieakceptowalnym?
W przypadku przetwarzania danych osobowych, w zasadzie nie wolno nam przetwarzać danych jeśli mamy do czynienia z ryzykiem nieakceptowalnym. Co prawda przepisy dają odpowiednie narzędzia, które pozwolą na przeprowadzenie dodatkowych analiz, które w efekcie powinny skutkować obniżeniem takiego ryzyka, lub tez dają możliwość konsultowania się z Prezesem UODO. Pomijając jednak dane osobowe, trudno jest wiedząc, że prowadzenie pewnych operacji niosących ze sobą duże ryzyko finansowe, personalne czy jakiekolwiek inne, trwać w stanie ciągłego „jechania po bandzie” z nadzieją, że nic złego się nie wydarzy.
Planowanie działań
Przyjmijmy, że jesteśmy na etapie po wykonaniu analizy ryzyka. Otrzymaliśmy pewien zasób informacji na temat niebezpieczeństw grożących naszej firmie – to co dalej?
Wiemy już, które zagrożenia przynajmniej na etapie szacowania, są mało prawdopodobne lub mało brzemienne w skutki. Wiemy, które z zagrożeń z dużym prawdopodobieństwem się wydarzą, a ich skutki mogą mieć sporą wagę dla działalności firmy. Pierwsze z nich możemy zaakceptować lub jeśli zajdzie taka konieczność, zająć się nimi później. Drugą grupę musimy przeanalizować w pierwszej kolejności, ponieważ poradzenie sobie z tymi zagrożeniami stanowi o „być albo nie być” naszego przedsiębiorstwa.
Pozostaje do zagospodarowania cała grupa ryzyk o wartości pośredniej. Niebezpieczeństwo związane z tymi ryzykami jest takie, że mówiąc kolokwialnie, nie traktuje się ich poważnie. Tymczasem mogą zdarzyć się niespodzianki i ryzyko ocenione jako średnie – może się ziścić i przynieść bolesne skutki. Może także wystąpić wespół z innym zagrożeniem gdyż nieszczęścia mają tendencje do chodzenia parami, a niektórzy twierdzą, że nawet trójkami. Na przykład: działalność firmy zależna jest od poprawnego przetwarzania danych na jednym komputerze. Pracownicy są przeszkoleni, backup wykonywany prawidłowo. Komputer ulega uszkodzeniu i okazuje się, że w firmie nie ma ani jednego komputera na którym można odtworzyć bazę i oprogramowanie, a umowa serwisowa wygasła i jest sobota po południu. Przestój, straty finansowe, utrata klientów. Powyższy przykład choć banalny, nie jest taki znowu niemożliwy.
Bardzo zatem istotne jest posiadanie narzędzia, które pozwoli na pełny ogląd ryzyk w przedsiębiorstwie. Powinno ono wspomagać osoby zajmujące się tą kwestią w zakresie:
Przyjęcia decyzji – co robimy z danym ryzykiem – a możemy je:
a. akceptować,
b. zredukować,
c. podzielić się nim z innym podmiotem,
d. unikać.
W przypadku redukcji ryzyka, musimy zacząć od przyjęcia planu co, po kolei, będziemy z danym ryzykiem robić. Do planu należy dodać poniższe informacje:
– Określenie jakie zasoby, będą nam konieczne do tego zadania;
– Określenie kto będzie koordynował prace związane z planem postępowania z ryzykiem;
– Przyjęcie ostatecznej daty realizacji planu;
– Jaki będzie przewidywany wpływ opracowanego planu na poziom ryzyka;
– Jak zostanie zweryfikowana skuteczność podjętych działań;
Wreszcie – plan powinien pozwalać na udokumentowanie analizy i porównania skuteczności poszczególnych działań pomiędzy różnymi scenariuszami ryzyka.
W pracy osób, zajmujących się postępowaniem z ryzykiem istotna jest możliwość monitorowania stanu tych działań i ich wpływu na działalność firmy, ochronę danych itp. Nieocenione może się okazać narzędzie pozwalające na szybki wgląd w stan wdrożenia działań czy kontakt z osobami odpowiedzialnymi, a jednocześnie ocenę jak wprowadzenie konkretnego działania wpłynie na inne ryzyka w firmie
Korzyści dla firmy
Dobrze przeprowadzona analiza ryzyka powinna wykazać powiązania pomiędzy różnymi procesami w firmie i pokazywać gdzie mogą wystąpić zdarzenia niepożądane oraz jakie mogą przynieść skutki. Taka szeroka analiza powinna wskazać wszystkie ryzyka – każdego rodzaju.
Rozpoznanie, analiza i ocena różnych ryzyk dotyczących działalności firmy pozwoli na zaplanowanie i wypracowanie pewnych działań profilaktycznych – wyprzedzających, które mogą ograniczyć prawdopodobieństwo wystąpienia zagrożeń, lub znając możliwe skutki zaplanować, uwzględniając inne koszty, na przykład zakupy zapasowego sprzętu, zastępstwa wśród pracowników czy nawet profilaktykę zdrowotną. Korzyści, które płyną z wykonywania szacowania ryzyka można podzielić na następujące grupy:
a. Zmniejszenie kosztów prowadzenia firmy dzięki znalezieniu obszarów, które w negatywny sposób wpływają na organizację powodując na przykład przestoje, konieczność napraw czy zastępstw, a których eliminacja prowadzi do oszczędności w skali całego przedsiębiorstwa;
b. Zwiększenie sprawności działania – analiza procesów i związanych z nimi ryzyk może pozwolić na uproszczenie, zmianę lub eliminację podprocesów, generujących ryzyka;
c. Dzięki znajomości prawdopodobnych zagrożeń możliwe staje się odpowiednio wcześniejsze planowanie budżetu, uwzględniające możliwe do przewidzenia koszty, wynikające z na przykład z konieczności wdrożenia dodatkowych zabezpieczeń;
d. Odpowiednio wczesne przygotowanie postepowania w przypadku wystąpienia zagrożenia – na przykład ubezpieczenie, przygotowanie odpowiedniego naboru w zakresie specjalistów, planowanie wymiany sprzętu itp.
Wszystkie te cztery wnioski prowadzą do zwiększenia konkurencyjności firmy na rynku – działania podjęte publicznie w celu ograniczenia ryzyk zwiększają zaufanie klientów. Stabilizują również firmę na rynku oraz wewnętrznie – występuje mniej „falowania” organizacji, wynikającego ze zwalczania występujących „wpadek”.
Nie wolno jednak zapominać o tym, że aby osiągnąć wspomniane korzyści konieczne jest zaangażowanie kierownictwa, które musi otrzymać racjonalne i przemyślane plany postępowania z ryzykami, a tego nie da się osiągnąć bez wykształconej w tym kierunku kadry i zapewnienia odpowiednich narzędzi, koniecznych do przeprowadzenia rzetelnych analiz.
Jeśli zainteresował Cię ten artykuł i chcesz dowiedzieć się więcej na temat skutecznej analizy ryzyka, zapraszamy Cię do obejrzenia webinarium. Zajrzyj też na stronę, na której opisujemy działanie narzędzia do zarządzania ryzykiem RED INTO GREEN.
W ostatnim czasie zapadło kilka wyroków dot. marketingu bezpośredniego, a dokładniej pozyskiwania i wycofywania zgód. Materiał nie obejmuje jednak danych historycznych, ale dalej w mojej ocenie jest wart uwagi. Dlatego kawa w dłoń i zapraszam do czytania.
Zgoda czy prawnie uzasadniony interes
W niedawnym wywiadzie (choć to chyba za duże określenie, bardziej dwóch pytaniach) w Puls Biznesu Przewodniczący KNF stwierdził, że „To oczywiście nie zdejmuje odpowiedzialności z dostawcy w zakresie przedstawienia pełnej informacji. Z tym, że można zalać klienta dowolną ilością informacji, ale jeśli on się z nią nie zapozna, to efekt jest żaden.” Co do zasady zgadzam się z tą wypowiedzią i uważam, że możemy ją przenieść na grunt zgód marketingowych. Możemy zalać osobę zgodami z różnych aktów prawnych, ale to raczej nie doprowadzi do tego, że będzie bardziej świadoma. Można spodziewać się wręcz efektu odwrotnego tj. odklikania „żeby mieć z głowy”. Czym się bowiem różnią od siebie zgody z PT, UŚUDE i RODO dla „przeciętnego Kowalskiego”?
Niestety, w wyroku z dnia 11 grudnia 2020 r. w sprawie o sygn. XVII AmA 22/19 SO w Warszawie miał odmienne zdanie: „Dodatkowo, należy wskazać, że wbrew twierdzeniom powoda, w okresie stosowania praktyki nie istniały wątpliwości interpretacyjne w kontekście art. 172 p.t. i art. 174 p.t. Bowiem jak wskazano we wcześniejszym fragmencie uzasadnienia istniało w tym zakresie nie tylko orzecznictwo sądów unijnych, ale przede wszystkim bogate orzecznictwo krajowych sądów administracyjnych odnośnie formy zgody i konieczności rozdzielenia zgody na wykorzystanie danych osobowych w celach marketingowych od zgody na kontakt elektroniczny w celu marketingu bezpośredniego.”
Co prawda w powyższej sprawie chodziło o przepisy prawa telekomunikacyjnego z okresu przed dostosowaniem ich do RODO, ale od strony bezpieczeństwa biznesu i legalności bazy marketingowej należy bardzo rozważnie podejmować działania sprzeczne z powyższym wyrokiem.
Czyli czy należy zbierać oddzielnie kilka zgód na to samo ze względu na akt prawny (np. RODO, PT)? Nie. Jak wynika ze sprawozdania rocznego Prezesa UODO za 2020 r. podstawą prawną do przetwarzania danych osobowych w celach marketingowych może być prawnie uzasadniony interes administratora: „Wskazać należy, że podstawę prawną do prowadzenia tego typu działań stanowi najczęściej art. 6 ust. 1 lit. f rozporządzenia 2016/67962, tj. uzasadniony interes administratorów danych w prowadzeniu działań marketingowych.” Niemniej organ nie wyklucza jednak zgody.
Z powyższego wynika, że chyba najlepszym rozwiązaniem od strony biznesowej jest zbierać zgodę na marketing bezpośredni w związku z prawem telekomunikacyjnym, ale przetwarzać dane w oparciu o prawnie uzasadniony interes. Ostatecznie wszyscy powinni być zadowoleni, tylko „Kowalski” znowu nie będzie wiedział o co chodzi. Miały być miliony z RODO, a on znowu spam dostaje 😉
Zgoda uzyskana przy pierwszym telefonie?
Wyrok Sądu Okręgowego Warszawa-Praga w Warszawie wydany w dniu 4 stycznia 2019 r. w sprawie IV Ca 1873/16, w którym sąd stwierdził, że „nie jest sprzeczne z art. 172 Prawa Telekomunikacyjnego wykonywanie przez pracowników pozwanej połączeń na losowo wybrane numery abonentów bez ich zgody w celu ustalenia, czy wyrażają oni zgodę na kontakt telefoniczny w celu marketingu bezpośredniego” narobił dużo nadziei działom marketingowym. Osobiście wielokrotnie odczułem praktykę pierwszego kontaktu w celu pozyskania zgody.
Sądy w dalszych wyrokach nie przychyliły się jednak do takiego stanowiska. W wyroku z dnia 8 kwietnia 2021 r. sąd uznał: „Uprzedniość zgody jest w opisanych przepisach podyktowana dobrostanem konsumentów, aby nie byli zalewani, czy wręcz nękani, telefonami o charakterze marketingowym, o ile na to nie wyrazili uprzedniej zgody. Jeśli więc to prywatność i wolność od otrzymywania połączeń telefonicznych o charakterze marketingowym jest głównym celem regulacji, to nie można przyjąć, że nawiązywanie połączeń telefonicznych w celach marketingowych może być dozwolone jeśli telemarketer na początku rozmowy poprosi o taką zgodę. Już bowiem odebranie tego typu połączenia przez konsumenta, który sobie tego nie życzy, bo nie wyraził wcześniej zgody na marketing bezpośredni, jest istotną ingerencją w jego prywatność i pewną uciążliwością. Odbierający telefon użytkownik końcowy lub abonent, który zgód marketingowych nigdy nie wyrażał, może bowiem liczyć, że przychodzące połączenie telefoniczne ma dla niego istotne znaczenie i z taką intencją je odbierać. Nie ma przy tym możliwości zweryfikowania przed odebraniem telefonu, czy połączenie przychodzące ma charakter marketingowy czy też nie. Gdyby dopuścić możliwość wykonywania połączeń o charakterze marketingowych bez uprzedniej zgody abonenta, to nie można wykluczyć, że telefony w celach marketingowych mogłyby się stać powszechną metodą marketingu, a wraz z powszechnością, konsument mógłby być zlewany telefonami o takim charakterze. Każdy bowiem z dzwoniących telemarketerów liczyłby, że abonent zechce mu udzielić zgody na przekazanie komunikatu marketingowego. Dobrostan abonenta byłby w takich sytuacjach krytycznie zagrożony.”
Podobne stanowisko zostało wyrażone w wyroku SO w Warszawie, z dnia 11 grudnia 2020 r. w sprawie o sygn. XVII AmA 22/19: „A zatem dokonując prounijnej wykładni przepisów art. 172 p.t. i 174 p.t. należy przyjąć, że przedsiębiorcy nie wolno kierować do abonenta/konsumenta komunikatów do celów marketingowych bez uprzedniego uzyskania zgody na taki kontakt.
Niewątpliwie kontaktowanie się z abonentem w celu uzyskania zgody na kontakt w celu marketingowym jest naruszeniem prawa do prywatności abonenta zmierzającym do uzyskania zgody, której konsekwencją będzie możliwość przedstawienia oferty/informacji marketingowych przez przedsiębiorcę.Przyjęcie stanowiska prezentowanego przez powoda oraz Sąd Rejonowy dla Warszawy Pragi – Południe w Warszawie prowadziłoby niewątpliwie do obchodzenia przez przedsiębiorców zakazu wyrażonego w art. 172 p.t. a tym samym uczynienia go martwym.
Bowiem przedsiębiorca mógłby niepokoić konsumenta takimi kontaktami/zapytaniami bez ograniczeń, nawet jeśli we wcześniejszej rozmowie konsument nie wyraził zgody na taki kontakt, gdyż za każdym razem tłumaczyłby się, że kontaktuje się abonentem jedynie w celu uzyskania zgody na marketing bezpośredni, a nie w celu marketingu bezpośredniego w rozumieniu ustawy prawo telekomunikacyjne.”
Podsumowując, jest co najmniej 2:1 za zakazem możliwości dzwonienia w sprawie uzyskania zgody.
Zgoda na każdy kanał oddzielnie?
Aktualnie czekamy na nowe przepisy prawa komunikacji elektronicznej. W związku z tym, że ustawa jest na etapie legislacji, nie będę się rozwodził nad tym co może być, ale warto śledzić temat, gdyż właśnie ewentualna konieczność pozyskiwania zgód na różne kanały komunikacji się tam przewija.
Niezależnie od powyższego, już teraz przyjmuje się, że dobrą praktyką jest pozyskiwać oddzielną zgodę na każdy z kanałów. Wątpliwość jaka się jednak pojawia to to, czy aktualnie to jest wymóg prawny czy dobra praktyka? Osobiście nie znam wyroku, który bezpośrednio mówiłby o tym, że kanały komunikacji muszą być rozdzielone W wyroku XVII AmA 33/19 z dnia 13 kwietnia 2021 r. sąd stwierdził, że „Sąd podziela stanowisko Prezesa UOKiK, że o prawidłowo wyrażonej zgodzie na gruncie przepisu art. 172 ust. 1 w zw. z art. 174 P.t., zarówno w stanie prawnym przed 4 maja 2019 r., jak i obecnie, można mówić wyłącznie, gdy jest ona wyrażona w sposób wyraźny i jednoznaczny, posiada walor konkretności – wyrażający zgodę powinien wiedzieć w jakim celu i komu zgodę udziela. Oznacza to, że w jej treści powinny zostać jednoznacznie wskazane kanały komunikacji, które zgoda obejmuje (np. sms, telefon/telekomunikacyjne urządzenie końcowe, e-mail) oraz cel, dla którego została ona wyrażona.”
Oznacza to, że sąd uznał, iż w treści zgody powinny być wskazane kanały komunikacji za pomocą, których będzie realizowany marketing bezpośredni, ale nie wskazał, że zgody te powinny być podzielone ze względu na kanał komunikacji.
Niezależnie od powyższego należy pamiętać, że zgoda z PT powinna odpowiadać warunkom z RODO. Tym samym można rozważyć, czy jedna zgoda na wszelkie kanały komunikacji będzie konkretna?
Wartym odnotowania jest, że Prezes UKE w decyzji DK.WPA.46.197.2018.15 (nie ma możliwości załączenia odnośnika) stwierdził, że formy prowadzenia działalności marketingowej, polegającej na wysyłaniu wiadomości SMS lub e-mail należy uznać za istotnie mniej agresywną formę prowadzenia marketingu bezpośredniego, w porównaniu do prowadzenia marketingu za pośrednictwem wykonywania połączeń telefonicznych, z uwagi na fakt, iż w przypadku wiadomości e-mail lub SMS to odbiorca sam decyduje o czasie oraz miejscu zapoznania się z przesłaną mu ofertą.
W związku z powyższym, nawet jeśli zbieranie zgód oddzielnie na każdy kanał komunikacji nie jest bezpośrednim wymogiem prawnym, a pewną interpretacją, dobrymi praktykami, to wydaje się, że wartym rozważenia jest stosowanie takich praktyk. Po pierwsze, aby na wypadek zmiany przepisów być przygotowanym. By nie pojawiła się potem wątpliwość czy po zmianie regulacji moja baza marketingowa jest „dalej legalna”.
Dodatkowo, jak widać, zgoda z PT jest wymagana nie tylko na marketing telefoniczny, ale także wysyłany za pomocą poczty elektronicznej.
Wycofanie zgody
Mam wrażenie, że decyzja w sprawie ClickQuickNow co do zasady się „nie przyjęła” w działaniach marketingowych, a jest to istotna decyzja. Dla przypomnienia (w dużym skrócie) organ nałożył karę za to, że administrator utrudniał wycofanie zgody w ten sposób, że po kliknięciu przycisku typu „wypisz się” podmiot danych otrzymywał komunikat typu „Pani odwołanie zgody dziś 13.02.2019 r.!” wraz z prośbą o wskazanie powodu wycofania zgody. Po wskazaniu powodu wycofania zgody pojawiał się kolejny komunikat o wycofaniu zgody, a ona w dalszym ciągu nie była skutecznie wycofana. Podmiot danych musiał podjąć kolejne czynności. Praktyka ta została zakwestionowana przez Prezesa UODO, który nałożył karę, a decyzja potrzymana przez sąd w wyroku z dnia 10 lutego 2021 r. Ponadto sąd uznał, że „Kolejnym wymogiem dotyczącym zgody jest nałożony na administratorów obowiązek zapewnienia osobie, której dane dotyczą, możliwości wycofania zgody w sposób równie łatwy jak jej wyrażenie. Oznacza to, że jeżeli oświadczenie o zgodzie zostało złożone z wykorzystaniem papierowego formularza, to administrator powinien zapewnić możliwość wycofania zgody także przy użyciu formularza papierowego. Zawarte w komentowanym przepisie sformułowanie „równie łatwe” pozwala przyjąć, iż administrator ma tu swobodę wyboru sposobu, w jaki zapewni osobie, której dane dotyczą, możliwość realizacji cofnięcia zgody, może przewidzieć łatwiejszy sposób jej wycofania niż wyrażenia, natomiast nie może ograniczać tego uprawnienia, przyjmując rozwiązania, które utrudniałyby złożenie oświadczenia o wycofaniu zgody, gdyby złożenie oświadczenia o wycofaniu zgody byłoby trudniejsze niż złożenie oświadczenia o wyrażeniu zgody.(…) Podkreślić raz jeszcze należy, iż proces odwołania zgody powinien przebiegać w sposób łatwy, nieskomplikowany i za pomocą tego samego kanału w informacyjnego, za pomocą którego pozyskano zgodę (w tym przypadku za pomocą Internetu). To Skarżąca jako administrator danych ponosi odpowiedzialność za to, że w procesie cofnięcia zgody stosowane jest nieskutecznie działające narzędzie, tj. przycisk: „[…]” zamieszczony w witrynach internetowych.”
Zgoda na marketing B2B
Wydaje się, że w aktualnym stanie prawnym nie ma większych wątpliwości co do tego, że do marketingu bezpośredniego przy użyciu automatycznych systemów wołających etc. trzeba mieć zgodę abonenta lub użytkownika końcowego nawet w relacjach B2B. To co może jednak trochę uspakajać to dość probiznesowe wykładnie organów nadzoru.
Jak wynika ze sprawozdania Prezesa UODO za 2020 r., w jednej ze spraw administrator wyszedł z założenia, że skoro podmiot danych upublicznił swój adres e-mail, to wyraził chęć nawiązania kontaktów gospodarczych, wobec czego spółka domniemała legalność przetwarzania danych skarżącego na podstawie zgody. Prezes UODO wskazał wówczas, że samo umieszczenie adresu e-mail w ogólnodostępnym rejestrze nie może stanowić podstawy przetwarzania danych właściciela tego adresu opartej na zgodzie, ale wskazał, że w sprawie spółka uprawniona była do prowadzenia marketingu wobec skarżącego na podstawie uzasadnionego interesu administratora, jednak tylko do momentu, w którym skarżący wniósł sprzeciw wobec przetwarzania
Prezes UKE w decyzji DK.WPA.46.197.2018.15* oceniając legalność działań marketingowych kierowanych do przedsiębiorców wskazał, że abonenci-przedsiębiorcy otrzymujący treści marketingowe nie inicjowali tj. nie zwracali się uprzednio do dzwoniącego o przedstawienie oferty, a tym samym akcja marketingowa nie była przedmiotem zamówienia z ich strony. Prezes UKE zauważył, że nie istniały żadne relacje handlowe łączące przedsiębiorców. Ponadto podkreśli, że podmiot nie występował w charakterze kontrahenta zwracającego się o zawarcie umowy, której przedmiot dotyczyłby zakresu działalności prowadzonej przez tych przedsiębiorców, a zatem nie mogła być rozumiana jako oferta handlowa dotycząca wprost przedmiotu prowadzonej przez te podmioty działalności gospodarczej. Dlatego Prezes UKE uznał, że należy abonentów biznesowych traktować jak zwykłych abonentów/użytkowników końcowych zgodnie z przepisami PT.
*W tej sprawie organ ostatecznie nałożył karę.
Powyższe nie zwalania z posiadania zgody na wykorzystanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących do marketingu bezpośredniego w relacjach B2B. Niemniej, interpretacje organów pozwalają przypuszczać, że są pewne obszary, gdzie wymaganie zgody nie będzie aż tak restrykcyjne.
Podsumowując, co do zasady:
– nie można pozyskiwać zgód na marketing bezpośredni przy pierwszym kontakcie;
– dane osobowe w celach marketingowych najlepiej (o ile to w danym przypadku możliwe) przetwarzać na podstawie prawnie uzasadnionego interesu, nawet w przypadku kiedy posiadamy zgodę z PT;
– należy rozważyć pozyskiwanie zgód na każdy kanał komunikacji marketingowej oddzielnie;
– w relacjach B2B można rozważyć, czy zgoda jest wymagana w przypadku każdego kontaktu przypominającego marketing;
– należy szanować prawa osób, których dane dotyczą, tj. należy wdrożyć rozwiązania pozwalające na skuteczne przyjmowanie sprzeciwu/wycofanie zgody.
Jeśli przeczytała/eś powyższe i masz wątpliwości odnośnie swoich procesów marketingowych (chciałbyś je zweryfikować, przeprowadzić audyt, dostosować) albo planujesz nowy projekt marketingowy i potrzebujesz wsparcia w jego zaprojektowaniu od strony prawnej, to daj znać. Pomożemy Ci ?.
W rocznym planie kontroli sektorowych UODO ujął podmioty, które przetwarzają dane osobowe przy użyciu aplikacji mobilnych. Warto więc przygotować się na kontrolę i przyjrzeć się temu, jak to wyglądało do tej pory.
W Polsce co do zasady nie było kar, które odnosiłyby się bezpośrednio do dostawcy aplikacji mobilnej. Niemniej warto mieć na uwadze, że część decyzji z obszarów technicznych, nawet jak ta ostatnia dot. Politechniki Warszawskiej, mogą być pomocne.
Z uwagi na to, że artykułów i spotkań online dot. decyzji Prezesa UODO jest sporo, to skupię się na innych aspektach.
Na początku przypomnijmy sobie, że to nie pierwszy moment kiedy UODO podejmuje temat aplikacji mobilnych. Nie wiem, czy ktoś jeszcze pamięta, ale kilka lat temu modna była aplikacja FaceeApp. Było o niej głośno głównie dlatego, że była rosyjska. Wtedy na stronie organu pojawiła się taka informacja: „Prezes Urzędu Ochrony Danych Osobowych zapowiada, że jeżeli zagrożenia dla ochrony danych osobowych ze strony aplikacji FaceApp okażą się poważne, to zostanie wszczęte postępowanie z urzędu.” Ciekawe czy organ nie zauważył zagrożenia, czy zauważył, ale nic nie zrobił, czy może zrobił, ale okazało się, że wszystko jest ok? Nie wiemy, gdyż nie było potem już więcej informacji na ten temat. Warto jednak przypomnieć sobie pismo organu z tamtego okresu.
Aplikacja mobilna może być zarówno przedmiotem głównej działalności, procesu biznesowego (np. aplikacje do przewozu osób), czasami występuje jednocześnie i równoważnie ze stroną (np. portale społecznościowe) ale czasami jest jedynie dodatkowym narzędziem w całej działalności (np. bankowość mobilna). Przykładem aplikacji mobilnej jako aktywa równoważnego może być Vinted: „Operatorem (platformy oraz powiązanej z nią aplikacji) jest Vinted UAB z siedzibą na Litwie.” Jak wskazał UODO:
„W związku z otrzymaniem znacznej liczby skarg dotyczących serwisu sprzedażowego ubrań on-line vinted.com, prowadzonego przez litewską spółkę Vinted UAB, organy nadzorcze z Francji, Litwy i Polski podjęły współpracę w celu zbadania zgodności tej strony z przepisami RODO.”
Aplikacja mobilna podmiotów publicznych
Aplikacje mobilne co do zasady kojarzą nam się z grami, bankowością mobilną, mediami społecznościowymi itp. Warto jednak pamiętać, że korzystają z nich także szkoły (uczelnie) i podmioty publiczne. Przekonał się o tym urząd oświaty w Oslo. Aplikacja była wykorzystywana do komunikacji pomiędzy pracownikami szkoły, rodzicami a dziećmi. Kara została nałożona z uwagi na niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni do ryzyka poziom bezpieczeństwa. Słabe zabezpieczenia umożliwiły osobom nieuprawnionym dostęp do danych osobowych ponad 63 000 uczniów. Dodatkowo, niepoprawnie uregulowana była możliwość zgłaszania nieobecności uczniów. Rodzice mogli umieszczać w aplikacji szczególne kategorie danych, jak np. dot. zdrowia. Kara wyniosła ostatecznie równowartość 120 tys. euro.
Także u nas jest sporo aplikacji mobilnych wykorzystywanych przez podmioty publiczne. Jest to obszar regulowany nie tylko przez RODO, ale także ustawę o dostępności cyfrowej stron internetowych i aplikacji mobilnych podmiotów publicznych. To tam znajdziemy chyba jedyną w Polsce legalną definicję aplikacji mobilnej.
Monitorowanie, a IOD
Dostawcy aplikacji mobilnych powinni także mieć na uwadze przepisy zobowiązujące do powołania Inspektora Ochrony Danych. Łatwo jest bowiem wejść w dużą skalę przetwarzania danych osobowych, a aplikacje niejednokrotnie służą do przetwarzania szczególnych kategorii danych lub monitorowania. Przekonała się o tym firma Glovo.
Hiszpański organ nadzoru stwierdził, że Glovo nie powołało IOD. Firma broniła się, że nie ma takiego obowiązku, ale zrobiła to w trakcie kontroli. Z opublikowanych informacji ciężko jednoznacznie wywnioskować, który aspekt działalności Glovo organ uznał za przesądzający o konieczności powołania IOD, ale prawdopodobnie monitorowanie, gdyż to właśnie na tą przesłankę powołał się przy nałożeniu kary w wysokości 25 tys. euro.
Warto podkreślić, że wiele aplikacji mobilnych wykorzystuje funkcję geolokalizacji. W tym kontekście ciekawe są wytyczne (wtedy jeszcze) GIODO, ale odwołujące się do RODO (Ktoś je jeszcze pamięta? Czy w ogóle ktoś pamięta kiedy organ ostatnio wydał podobny materiał? ? oraz regulacje sektorowe (np. dot. przewozu osób i funkcjonalności obliczenia opłaty w oparciu o wyliczenia długości trasy przy użyciu systemu nawigacji satelitarnej).
Nie tylko geolokalizowanie ale i inne funkcje telefonu
Aplikacje mobilne mają możliwość wykorzystywania różnych funkcji urządzeń, na których są zainstalowane. Może to mocno wpływać na podmiot danych. Przekonała się o tym La Liga (taka hiszpańska ekstraklasa, gdzie faktycznie gra się w piłkę nożną ?). La Liga dostała karę od Hiszpańskiego organu w wysokości 250 tys. euro, po tym jak oficjalna aplikacja do śledzenia rozgrywek była wykorzystywana do wykrywania barów, które nielegalnie pokazywały mecze. Aplikacja pozwalała lidze na zdalne aktywowanie mikrofonu w telefonie komórkowym w celu ustalenia, czy właściciel urządzenia był w barze, który nie zapłacił za prawa do transmisji meczu. Według AEPD (Hiszpańskiej Agencji Ochrony Danych), takie wykorzystanie funkcji telefonu przez aplikację, którą pobrało ponad 4 miliony osób, stanowiło naruszenie zasad przejrzystości.
O tym, że różne systemy mogą wykorzystywać urządzenia mobilne przekonali się podobno niektórzy z polityków w Polsce, ale i zwykli Cypryjczycy. Niewiele jest informacji o karach z Cypru, ale to jest przypadek wart uwagi. W okolicach lotniska jeździł samochód typu VAN. Okazało się, że to nie jest taki zwykły VAN i z pewnością nie była to taksówka. Jak się bowiem okazało była to „szpiegowska ciężarówka”, która zbierała MAC Address (Media Access Control Address) oraz IMSI (International Mobile Subscriber Identity) urządzeń z okolicy. Adres MAC to unikalny identyfikator urządzenia w sieci, a IMSI to 15-cyfrowy numer, który operatorzy komórkowi przypisują do terminali w sieci komórkowej. Oba mogą służyć do identyfikacji i śledzenia osób. Zbieranie tych danych było częścią „testów i prezentacji technologii”. Firma WiSpear została zarejestrowana w Limassol na Cyprze. Kierowana przez byłego oficera zawodowego w Izraelskich Siłach Obronnych (IDF). Firma dostała karę w wysokości 925 tys. euro za naruszenie zasady zgodnego z prawem, uczciwego i przejrzystego przetwarzania.
2 w 1
Czas na mix powyższego, czyli aplikacja podmiotu publicznego, która wykorzystywała zbyt wiele funkcji urządzeń. Nie było to jednak jedyne naruszenie tego administratora, ale na tym uchybieniu się skupię. Ze względu na trudności gospodarcze, spowodowane przez Covid-19, rząd Islandii postanowił wzmocnić sektor turystyczny i małe firmy, wydając cyfrowy bon upominkowy o wartości 5000 IKR (około 34 euro) dla wszystkich Islandczyków powyżej 18 roku życia. Rząd Islandii zlecił firmie, żeby stworzyła aplikację do obsługi cyfrowych kart podarunkowych opartą na już istniejącej aplikacji, opracowanej przez tę samą firmę. W swojej decyzji islandzki organ zauważył, że ze względu na sytuację gospodarczą duży nacisk położono na szybkość zarówno programowania, jak i publikacji aplikacji, co skutkowało nieodpowiednim dostosowaniem ustawień. Doprowadziło to do niezgodnego z prawem i niepotrzebnego gromadzenia danych osobowych (jak płeć) oraz dostępu do niepotrzebnych funkcji urządzeń mobilnych użytkownika np. do kontaktów i aparatu. Ministerstwo Przemysłu i Innowacji zostało ukarane grzywną w wysokości 7,5 mln ISK (ok. 50 800 euro), a firma YAY ehf. (firma tworząca i obsługująca aplikację) została ukarana grzywną w wysokości 4 mln ISK (ok. 27 100 euro).
Reklama behawioralna
Ostatnia decyzja, którą poruszę to ta dotycząca aplikacji Grindr. Dostawca aplikacji randkowej skierowanej do społeczności LGBTQ, został ukarany grzywną w wysokości 6,5 mln EUR za sprzedaż danych użytkowników reklamodawcom. Norweski Urząd Ochrony Danych stwierdził, że udostępnianie takich danych bez uzyskania wyraźnej zgody, złamało przepisy RODO. Dane, które aplikacja udostępniła stronom trzecim, obejmowały lokalizację GPS, adres IP, identyfikator reklamowy, wiek, płeć oraz fakt, że użytkownik był na Grindr. Norweski organ uznał, że:
„Bycie użytkownikiem Grindr wyraźnie wskazuje i wydaje się w większości przypadków dokładnie odzwierciedlać, że osoba, której dane dotyczą, należy do mniejszości seksualnej. (…) „Sformułowanie art. 9 nie wymaga ujawnienia konkretnej orientacji seksualnej. (…) Z tych powodów uważamy, że informacja, że osoba, której dane dotyczą, jest użytkownikiem Grindr, jest danymi 'dotyczącymi’ 'orientacji seksualnej’ osoby, której dane dotyczą.”
Podsumowanie
Aplikacje mobilne to bardzo szerokie zagadnienie, w którym występuje dużo zmiennych, takich jak: zakres danych (który zależy od procesu), kontekst (czy przetwarzane są szczególne kategorie danych?), wykorzystywanie funkcji urządzenia (np. monitorowanie poprzez geolokalizowanie) itp. Koniecznie trzeba też pamiętać o kwestiach technicznych. Nie poruszonym w powyższym artykule, ale ciekawym aspektem jest możliwość logowania do aplikacji za pomocą innych dostawców, np. Facebooka. Sam ten obszar jest istotny zarówno pod względem technicznym, jak i prawnym. Jeśli są Państwo zainteresowani tematem i żądni większej dawki bardzo praktycznej wiedzy, to zapraszam do obejrzenia nagrania z webinarium.
Funkcja Inspektora Ochrony Danych to nie tylko prestiż :).
Wszyscy wiemy jak bywa z powoływaniem IOD. Czasem do tej funkcji powołuje się osoby z doświadczeniem lub co najmniej legitymujące się wykształceniem w tym kierunku. Jednak znacznie częściej bywa, że ów IOD to, jak mawia jedna z koleżanek „po fachu”, ta osoba w firmie, która „nie zdążyła uciec do windy”. Każdy, kto wykonuje tę funkcję, dłużej niż kilka dni, szybko się orientuje, że nie jest to żaden miód. Trzeba nie tylko posiadać sporą wiedzę i zaplecze w postaci kolegów, do których można się zwrócić z problemami, ale przede wszystkim, sporo informacji na temat firmy, profilu jej działalności, organizacji, wykorzystywanych zasobów i to nie tylko sprzętowych, ale także ludzkich. Na inspektorze spoczywa dość spora odpowiedzialność. To on ma doradzać, na każde żądanie administratora, jak postępować w związku z przetwarzaniem danych osobowych i mimo, że sam nie odpowiada za przyjęte rozwiązania lub postępowanie administratora, to na nim się skupi odpowiedzialność, jeśli coś pójdzie nie tak. Łatwo powiedzieć – doradzać, wspierać administratora, a skąd brać wiedzę? Jak przewidzieć jakie konsekwencje przyniesie przyjęte lub planowane rozwiązanie? Jak zabezpieczyć administratora przed ewentualnymi nieprzewidzianymi skutkami? Do tego wszystkiego dochodzi jeszcze gąszcz przepisów, niejednoznaczna interpretacja, wytyczne, i… jeszcze jedno:
myślę, że wielu IOD’ów się ze mną zgodzi, wszyscy w firmie myślą, że IOD wszystko wie.
Mogłoby się wydawać, że zupełnie naturalnym narzędziem pracy inspektora w firmie jest szklana kula, w której znajduje się wszystko co dotyczy firmy.
Skąd zatem brać informacje niezbędne do skutecznego doradzania administratorowi? Jak wyciągnąć skrywane przez pracowników świadomie lub nie, tajemnice? Jak drogi inspektorze, pisząc opinię dla administratora weźmiesz pod uwagę wszystkie mechanizmy funkcjonujące w firmie? Przecież wiadomo, że procedury jakieś są, ale czy są stosowane? Czy są przeglądane, uaktualniane? Czy te osoby, które powinny – znają je? A jeśli znają, to czy na pewno rozumieją je zgodnie z intencjami autorów?
Jak się dowiedzieć, że planowane są jakieś zmiany, na przykład w systemie informatycznym, które mogą wpłynąć na bezpieczeństwo przetwarzania? Jak się dowiedzieć o planach firmy, poinformować odpowiednio wcześnie o potrzebie przeprowadzenia chociażby oceny skutków dla ochrony danych?
W takich sytuacjach IOD pozostaje sam jak palec i chyba każdy inspektor to potwierdzi, pod sporą presją czasu, bo niestety dowiedział się ostatni. Ten fach wymaga wiedzy, doświadczenia i zdolności jasnowidzenia. O ile w tym ostatnim niewiele można pomóc o tyle w zdobywaniu wiedzy i doświadczenia już tak.
Przepisy mówią o konieczności właściwego włączania inspektora we wszystkie sprawy dotyczące ochrony danych osobowych. Ale co to tak naprawdę oznacza? Gdzie kończy się bezpieczeństwo danych osobowych, a zaczyna obszar, który inspektora nie powinien interesować? Mówiąc kolokwialnie, bardzo często do przetwarzania danych używamy tych samych zasobów co do innych czynności. Ba, ludzie, którzy wykonują swoje zadania, czasem wykonują także zadania związane z przetwarzaniem danych osobowych – jak to rozdzielić i czy koniecznie trzeba? A co oznaczać ma owo „Właściwe włączanie” – czy to informacja na piśmie, czy tylko możliwość sprawdzania?
Źródła wiedzy.
Podstawowym źródłem wiedzy inspektora ochrony danych powinien być dobrze sporządzony i dobrze zarządzany rejestr czynności przetwarzania. Bez tego narzędzia praca IOD’a jest niezmiernie trudna. Na podstawie zebranych w rejestrze informacji można uzyskać wiedzę na temat profilu działalności firmy, ale też kierunków jej rozwoju.
Drugim źródłem wiedzy jest dokumentacja bezpieczeństwa. Polityki, procedury – ogólnie rzecz ujmując, regulacje wewnętrzne – to informacja jak firma powinna funkcjonować w poszczególnych zakresach swojej działalności.
Trzecim źródłem są samodzielnie zebrane spostrzeżenia inspektora. Spostrzeżenia wynikające z bieżącej pracy – takich jest najwięcej. Warto się jednak zastanowić nad tym jak usystematyzować owo gromadzenie spostrzeżeń. Czy przypadkiem nie można by tu upiec kilku pieczeni na jednym ogniu – na przykład sprawdzić, czy procedury działają poprawnie, czy są przeglądane, czy pracownicy posiadają odpowiednią wiedzę, czy mają odpowiednie upoważnienia. Wreszcie, czy właściwie zostały opisane czynności przetwarzania. Gdyby to jeszcze jakoś połączyć z obowiązkami inspektora, czyli monitorowaniem, szkolenie, wsparciem i wszechstronną pomocą ….
Z mojego doświadczenia wynika, że bez względu na to z jaką organizacją mamy do czynienia – konieczne jest sprawdzanie ……. sprawdzanie …. i jeszcze raz sprawdzanie, a potem wyciąganie wniosków i przygotowanie raportu.
Przekazanie informacji zarządowi.
Jednym z obowiązków IOD jest monitorowanie stosowania przepisów i polityk. Nikt jednak nie powiedział, jak należałoby to robić. Nikt też nie powiedział jaki powinien być rezultat tego monitorowania. Brak informacji, jak spostrzeżenia IOD przekazywać zarządowi firmy. Ustnie Pisemnie? Zaraz po zauważeniu, czy może zebrać w większa całość? Jak przedstawić i co najważniejsze jak udowodnić, udokumentować swoje stanowisko.
Wreszcie najbardziej drażliwa kwestia: jak powiedzieć zarządowi, że nie tylko warto konsultować niektóre decyzje z IOD, ale czasem jest to wręcz obowiązek. Jak reagować na stwierdzenie: „To Ty nie wiedziałeś? Pracujemy nad tym od roku… Wszyscy wiedzieli a Pan inspektor znowu nie.”
Dokumentowanie pracy.
Reasumując – żaden system nie może działać bez okresowej kontroli. Nawet samochód trzeba czasem oddać do przeglądu, aby właściwie zareagować na sygnały o niesprawności. Warto zatem przemyśleć, w jaki sposób wykorzystać ustawowe obowiązki IOD z pożytkiem dla firmy i dla samego Inspektora. Warto zastanowić się nad obowiązkowymi audytami – czy może dla odróżnienia użyjmy określenia z poprzedniej epoki ochrony danych osobowych – sprawdzenia.
Planowanie sprawdzeń.
Nic tak nie porządkuje pracy jak planowanie – kiedy wykonywać sprawdzenie, jak przygotować raport, co on powinien zawierać. Usystematyzowanie tych prostych czynności pozwoli nie tylko na bieżące monitorowanie funkcjonowania zabezpieczeń w firmie, ale też udokumentowanie pracy IOD. Pokaże, że IOD to nie tylko pan Czepialski, ale ta osoba, która może dużo dobrego wnieść do podnoszenia jakości pracy firmy.
W dzisiejszych czasach miejscem do porządkowania dokumentów, sprawdzania procesów, generowania raportów, na bazie których opracowywane są plany naprawcze, są dedykowane, zautomatyzowane narzędzia.
Sprawdź jak wygląda wdrożenie takiego narzędzia w organizacji!
r. pr. Mikołaj Otmianowski – Wiceprezes Zarządu DAPR sp. z o.o.
r. pr. Paweł Bronisław Ludwiczak – Kancelaria Radcy Prawnego Paweł Ludwiczak – www.ludwiczak-radcaprawny.pl
W poprzednim artykule „Cyberbezpieczeństwo w małych i średnich przedsiębiorstwach – wstęp do zagadnienia” napisaliśmy:
1) czym jest cyberbezpieczeństwo,
2) Dlaczego przedsiębiorcy powinni zajmować się cyberbezpieczeństwem w swoich organizacjach,
3) że Hakerzy zaatakują każdego, pytanie tylko kiedy,
4) Od czego zacząć budowę cyberbezpieczeństwa w organizacji.
W niniejszym artykule będziemy kontynuować temat cyberbezpieczeństwa w małych i średnich przedsiębiorstwach.
Poziomy cyberbezpieczeństwa
Warto zauważyć, że wyróżniamy dwa poziomy cyberbezpieczeństwa.
Pierwszy poziom cyberbezpieczeństwa to poziom techniczny – rozwiązania technologiczne (antywirusy, firewall`e, aktualne i legalne oprogramowanie, Centra Operacji Bezpieczeństwa (Security Operation Center) itp.).
Drugi poziom cyberbezpieczeństwa to poziom organizacyjny – procedury bezpieczeństwa (w tym procedury na wypadek incydentu lub naruszenia) i eksperci (ludzie są najważniejsi).
Oczywiście każda organizacja powinna zarządzać cyberbezpieczeństwem na tych poziomach adekwatnie do swych ryzyk i możliwości. Zarządzanie cyberbezpieczeństwem można definiować w różny sposób, np. jako:
1) praktyczną zdolność organizacji do wykrywania i „zaopiekowania” się poszczególnymi ryzykami,
2) minimalizację prawdopodobieństwa wystąpienia cyber-zagrożeń lub minimalizację strat przez nie powodowanych.
Niezależnie jednak od definicji, kluczowym narzędziem w zarządzaniu cyberbezpieczeństwem jest analiza ryzyka, o której pisaliśmy pokrótce w poprzednim artykule.
Chcemy jednak zwrócić uwagę, że analiza ryzyka jest multidyscyplinarnym wyzwaniem dla organizacji, czyli wymagana jest współpraca ekspertów z różnych dziedzin.
Pierwszy cel zarządzania cyberbezpieczeństwem
To zapewnienie efektywnej ochrony, tzn. zapewnienia takiej alokacji zasobów (rzeczowych i ludzkich) aby były one wykorzystane w sposób zapewniający najlepszą relację skuteczności do kosztów. Efektywna ochrona jest możliwa tylko jeżeli poprzedzimy ją analizą ryzyk. Analiza ryzyk pozwoli nam lepiej zarządzać posiadanymi zasobami. Bardzo często przedsiębiorcy mają masę dobrych narzędzi (lub mogą łatwo i tanio je nabyć), ale zapominają ich użyć, zsynchronizować ich działanie itp. Błędne alokowanie zasobów powoduje, że albo jak w dowcipie „ktoś biega z packą na muchy za słoniami”, „strzela do much z armat” lub nie widzi jak ktoś mu w ścianie, obok pancernych drzwi, wyciął dodatkowy otwór, którym wynosi co chce z przedsiębiorstwa.
Drugi cel zarządzania cyberbezpieczeństwem
Minimalizacja ryzyka materializacji zagrożeń, zwłaszcza dotyczących kluczowych elementów systemu, danych lub informacji. Warto realizując ten cel określić jakie obszary najbardziej wymagają ochrony i na nich się skupić w pierwszym rzędzie. Jednocześnie trzeba pamiętać, że ryzyka da się tylko minimalizować ale nie da się ich zlikwidować.
Trzeci cel zarządzania cyberbezpieczeństwem
To zapewnienie ciągłości działania, tzn. zapewnienie, że niezależnie od materializacji zagrożenia, ograniczymy wystąpienie konsekwencji poprzez jak najszybsze przywrócenie ciągłości świadczonej usługi kluczowej lub cyfrowej (w perspektywie usług niezbędnych i istotnych). Tu często bardzo istotną rolę odgrywają chociażby kopie bezpieczeństwa.
Czwarty cel zarządzania cyberbezpieczeństwem
Jest nim spełnienie obowiązków prawnych i uniknięcie kar i odszkodowań. Chcielibyśmy zwrócić Państwa uwagę, że ilość nowych legislacji dotyczącej cyfrowej rzeczywistości rośnie w sposób wykładniczy. Tylko w celu sygnalizacji wspomnimy o m.in.:
1) RODO (Rozporządzeniu o Ochronie Danych Osobowych – zwanym też GDPR) – co prawda ten akt prawny nie reguluje cyberbezpieczeństwa ale niewątpliwie go wymaga,
2) Cybersecurity Act – unijny Akt o Cyberbezpieczeństwie,
3) Dyrektywa NIS (Network and Information Systems Directive) – czyli pierwsze europejskie prawo w zakresie cyberbezpieczeństwa,
4) Ustawa o krajowym systemie cyberbezpieczeństwa – KSC,
5) Projekcie NIS2,
6) Nowy projekt ustawy o krajowym systemie cyberbezpieczeństwa,
7) DORA – (Digital Operational Resilience Act), czyli projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego.
Analizując legislację
zauważyliśmy, że:
1) każdy z tych aktów nakłada na określone (lub wszystkie) przedsiębiorstwa obowiązek stworzenia i utrzymania skutecznych systemów bezpieczeństwa, opartych na zarządzaniu ryzykiem, czyli też na analizie ryzyka,
2) Słowo RYZYKO pojawia się niezmiennie we wszystkich tych aktach prawnych. Ponadto nasza analiza wykazała, że fraza „zarządzanie ryzykiem” i „ryzyko” pojawiała się tym częściej im nowszy akt prawny. Dla przykładu w RODO sprzed 6 lat słowa te były wymieniane 26 razy, a w najnowszym projekcie DORA już 255 razy. Wskazuje to, że zarządzanie ryzykiem stoi w centrum cyberbezpieczeństwa i ochrony danych osobowych. Wymienione przez nas hasła znalazły się w sumie w 3084 miejscach wskazanych aktów normatywnych,
3) analiza ww. aktów prawnych wykazała również, że coraz częściej w aktach prawnych (lub w projektach) występują frazy pokrewne, tj. „podatność” i „luka”. W RODO te frazy nie występują w ogóle. W najnowszych projektach „podatność” i „luka” występują już po kilkadziesiąt razy. Pokazuje to wyraźną tendencję prawodawcy do uwzględniania kwestii zarządzania podatnościami w ramach zarządzania ryzykiem.
Reasumując śmiało możemy przyjąć, że analiza ryzyka jest elementem wymaganym i podstawowym dla zarządzania cyberbezpieczeństwem.
Kończąc temat celów cyberbezpieczeństwa chcielibyśmy tylko zauważyć, że w zależności od przyjętej optyki, można by ich wymienić o wiele więcej, ale w naszej ocenie, wymienione przez nas cztery cele są najważniejsze.
Wierzymy w to, że nie da się:
1) zarządzać systemem bezpieczeństwa danych osobowych bez zarządzania cyberbezpieczeństwem,
2) zarządzać systemem bezpieczeństwa danych osobowych i zarządzać cyberbezpieczeństwem bez analizy ryzyka.
Dlatego:
1) należy pamiętać, że analiza ryzyka jest więc fundamentem zarządzania bezpieczeństwem w przedsiębiorstwach,
2) warto zsynchronizować analizę ryzyk dotyczących systemu bezpieczeństwa danych osobowych i analizę ryzyk dotyczących cyberbezpieczeństwa.
Zsynchronizowanie analiz ryzyka w tych dwóch obszarach ma m.in. następujące zalety:
1) organizacja posiada pełną informację w jednym miejscu. Kiedy w sieci pojawia się ostrzeżenie o podatności, jest jedno miejsce, w którym łatwo można sprawdzić czy nas ostrzeżenie to dotyczy, i w których miejscach ono u nas występuje,
2) lepsze pomysły na zabezpieczenia, ze względu na wymianę wiedzy pomiędzy pracownikami,
3) ograniczenie shadow IT (instalacji i używania przez pracowników na własną rękę, bez wiedzy przełożonych, programów i aplikacji. Często bez wymaganej licencji, aktualizacji itp.),
4) lepsza identyfikacja i kontrola dostawców,
5) informacje o bezpieczeństwie zostają w firmie, nie odchodzą z pracownikami,
6) tworzone są precyzyjne, konkretne procedury i szkolenia,
7) wypełniane są nakładane na nas obowiązki prawne.
Więcej o cyberbezpieczeństwie: ATAKI SOCJOTECHNICZNE – HIT CZY KIT?
Podczas spotkań dotyczących prezentacji narzędzia do zarządzania ochroną danych osobowych, często zadawane są te same pytania. Postanowiliśmy je zebrać i zadać je naszemu klientowi, który właśnie przedłużył licencję na RED INTO GREEN na kolejny rok. Zobaczcie co opowiedział o naszej aplikacji radca prawny z Kancelarii Radców Prawnych Bogacz Bartoszewicz.
Czy wdrożenie RED INTO GREEN było skomplikowane?
Decyzja o korzystaniu z aplikacji oraz przystąpienie do jej używania to był trochę skok na głęboką wodę. Tak się nam przynajmniej wydawało. Realizowaliśmy kolejny projekt związany z wdrożeniem RODO i wtedy zapadła decyzja, żeby odbyło się to w aplikacji. Klient chciał abyśmy w ramach usługi przejęli na siebie także prowadzenie w jego imieniu rejestrów, ale jednocześnie on też miałby mieć do nich dostęp. W grę wchodziły różne rozwiązania z udostępnianiem plików, ale postanowiliśmy skorzystać z czegoś bardziej kompleksowego. Z dnia na dzień przesiedliśmy się zatem z tradycyjnego formularza Excel, na którym zazwyczaj pracowaliśmy do RED INTO GREEN. Skok na głęboką wodę okazał się skokiem do brodzika, bo nawet przez chwilę nie czuliśmy, że „tracimy czas” na naukę nowej metodyki. Robiliśmy w zasadzie to samo, z tą różnicą, że nasza praca była bardziej usystematyzowana. Aplikacja jest naprawdę intuicyjna i ma przyjazny interfejs użytkownika. Po nawet powierzchownym zaznajomieniu się z zasadami działania, można przystąpić do pracy.
Jak działa wsparcie DAPR dla wdrożenia RED INTO GREEN
Przygotowaliśmy rejestry i zabraliśmy się do analizy ryzyka. Wtedy poprosiliśmy DAPR o wsparcie i przyjrzenie się, czy sposób naszego działania i korzystania z aplikacji odpowiada funkcjonalnościom. Chodziło nam o to, czy wykorzystujemy wszystkie możliwości. Od razu umówiliśmy spotkanie i przez półtorej godziny, wraz z zespołem DAPR, przerobiliśmy wszystkie nasze wątpliwości.
Co jest najtrudniejsze w rozpoczęciu pracy z narzędziem
Podjęcie decyzji, żeby zacząć. To jak z każdą decyzją o zmianie sposobu działania. Potem jest już tylko łatwiej.
Jakie obszary RODO są najbardziej wspierane przez RED INTO GREEN
Analiza ryzyka, ale DAPR idzie w bardzo dobrym kierunku i uzupełnia aplikację także o inne funkcjonaliści, które są przydatne dla wdrożeń i utrzymania RODO. Jak tak dalej pójdzie, będzie to naprawdę wszechstronne narzędzie, automatyzujące masę procesów związanych z wykonywaniem obowiązków wynikających z RODO.
Ile osób w organizacji pracuje z RED INTO GREEN
Obecnie dwie.
W jakim stopniu RED INTO GREEN przyczynił się do podniesienia komfortu pracy
Zamiast Excela i ręcznego uzupełniania mamy wszystko poukładane i usystematyzowane. Co najważniejsze, zmniejszyło się ryzyko pomyłek lub pominięcia czegoś, szczególnie w kontekście analizy ryzyka.
O ile wdrożenie RED INTO GREEN skróciło czas obsługi Państwa klienta w zakresie RODO?
Tutaj jeszcze za wcześnie na statystyki, bo ten „pierwszy raz” był jednak obarczony nauką. Myślę jednak, że po kilku wdrożeniach RODO można uzyskać naprawdę imponujące wyniki, w przedziale nawet do 60% pracy z przygotowywaniem dokumentów i analizą ryzyka.
W jakim stopniu RED INTO GREEN podniósł poziom ochrony danych osobowych w organizacji?
Analiza ryzyka w oparciu o metodykę DAPR, która przełożyła się na sposób działania aplikacji jest niesamowicie precyzyjna i szczegółowa. Jej wykonanie pokazuje klientom bardzo wyraźnie obszary, gdzie konieczne jest podjęcie działań. Przekłada się to nie tylko na ochronę danych osobowych, ale danych w ogóle. Sama praca z klientem przy wykorzystaniu tej aplikacji to nieraz duży „eye opener” bo zwracamy uwagę na kwestie, które nigdy nie były wcześniej analizowane, a są szalenie istotne z uwagi np. na cyberbezpieczeństwo.
Dlaczego warto przedłużyć licencję RED INTO GREEN?
Jak już raz się zacznie korzystać to po prostu już się nie rezygnuje. Trochę jak Spotify. Odkąd mam subskrypcję to nie korzystam z mp3 i nawet się nie zastanawiam, czy przedłużać. Tak po prostu jest wygodniej.
Możesz nadal pracować w Excelu, jednak jeśli myślisz poważnie o analizie ryzyka i bezpieczeństwie danych w Twojej organizacji, proponujemy byś sprawdził nasze rozwiązanie. Chcesz sprawdzić jakie nowe funkcje zyskał RED INTO GREEN po zimowym liftingu? -> SPRAWDŹ
Całą zimę ciężko pracowaliśmy, by na wiosnę wystartować z nowymi funkcjami. RED INTO GREEN stała się już kompletnym narzędziem do zarządzania ochroną danych osobowych.
Zakres działania narzędzia usprawnia pracę i wspiera Inspektora Ochrony danych poprzez możliwość jej automatyzacji.
- pracujesz jak z arkuszem kalkulacyjnym;
- duża część Twojej pracy jest zautomatyzowana, a wszystkie dane masz w jednym miejscu;
- dostajesz obszerny pakiet wiedzy na każdym etapie procesu;
- otrzymujesz przejrzysty i kompletny pakiet raportów dla zarządu oraz UODO
Sprawdź o jakie nowe funkcjonalności wzbogaciliśmy naszą aplikację:
Zbiory danych w Rejestrze Czynności Przetwarzania
Funkcjonalność ta pozwala użytkownikowi na przypisanie do czynności przetwarzania dowolnej liczby zbiorów danych, gdzie dla każdego z nich odrębnie mogą zostać określone:
– kategorie osób, których dane dotyczą oraz kategorie przetwarzanych danych osobowych, wraz z uzasadnieniem;
– wielkość zbioru;
– podstawy prawne i terminy retencji;
– aktywa wspierające, wykorzystywane do przetwarzania danych;
Tak zorganizowane zbiory danych pozwalają użytkownikowi w bardziej precyzyjny i uporządkowany sposób opisać złożone czynności przetwarzania, takie jak obsługa kadrowo-płacowa pracowników czy księgowość. Wpływają również na dokładność przeprowadzanej w dalszej kolejności oceny ryzyka.
Rejestr Kategorii Czynności Przetwarzania
Nowy moduł pozwala organizacji spełnić wymagania art. 30 ust. 2 RODO i uzyskać wygodny przegląd relacji z klientami. Funkcjonalność opiera się na tworzeniu zestawień pomiędzy zdefiniowanymi w odrębnych słownikach kategoriami czynności przetwarzania oraz administratorami danych osobowych. Posiadając przygotowane obie listy, można w bardzo wygodny, zautomatyzowany sposób dodawać, aktualizować i usuwać wiele rekordów jednocześnie, co jest kluczowe dla firm świadczących swoje usługi dla wielu klientów, takich jak np. dostawcy usług hostingowych. Zestawienia można tworzyć w dwie strony, tzn. zarówno przyporządkować różne produkty/usługi do konkretnego administratora, jak i przyporządkowywać do jednej kategorii produktów/usług wielu administratorów. Wraz z wyborem kategorii i administratora automatycznie uzupełniane są wszystkie wymagane pozycje rejestru, takie jak podmioty podprzetwarzające (podprocesorzy), państwa trzecie czy techniczne i organizacyjne środki bezpieczeństwa. Po utworzeniu wszystkich zestawień aplikacja pilnuje zmian w słownikach i wskazuje, które umowy powierzenia wymagają aktualizacji.
Jedna ocena ryzyka dla obu rejestrów
Dzięki zestawieniu czynności przetwarzania, w których organizacja jest administratorem oraz tych, w których jest podmiotem przetwarzającym, w jednym module gromadzącym wszystkie procesy, możliwe jest jednoczesne przeprowadzenie oceny ryzyka dla obu wymaganych rejestrów – czynności przetwarzania oraz kategorii czynności przetwarzania. Oszczędza to czas pracy użytkownika potrzebny na przeprowadzenie dwóch analiz, w sytuacji, w której oba rodzaje procesów korzystają z tych samych zasobów organizacji i są podatne na podobne zagrożenie.
Udoskonalone raporty z oceny ryzyka
Najnowsza wersja aplikacji pozwala użytkownikowi pobrać w dowolnym momencie raport obrazujący aktualny stan oraz rezultaty oceny ryzyka w organizacji. Raport zawiera różne wizualizacje:
– raport ogólny, przeznaczony dla zarządu organizacji, zawierający główne wskaźniki ryzyka wiążącego się z przetwarzaniem, wraz z wykazem najistotniejszych zagrożeń, aktywów wspierających oraz czynności przetwarzania;
– raport w postaci mapy ciepła, umożliwiający dokonanie tzw. „drill down”, czyli przejścia od ogólnych rezultatów analizy dla poszczególnych czynności, do szczegółów determinujących wartość ryzyka w danej kombinacji;
– raport wskazujący koncentrację ryzyk w poszczególnych jednostkach organizacyjnych;
– raport w postaci tabeli przestawnej, pozwalający przekrojowo spojrzeć na wpływ danych zagrożeń na procesy i aktywa wspierające, wspierający przygotowanie planów postępowania z ryzykiem.
Nowy dashboard użytkownika
W nowej wersji RIG użytkownik posiadający odpowiednie uprawnienia będzie po zalogowaniu widział statystyki pracy w systemie oraz bieżące wskaźniki ryzyka wiążącego się z przetwarzaniem, wraz z wykazem najistotniejszych zagrożeń, aktywów wspierających oraz czynności przetwarzania.
Rejestr Upoważnień
Moduł pozwala zarówno na ewidencjonowanie w postaci rejestru, jak i pobieranie gotowych do druku, imiennych dokumentów upoważnień. Zakres upoważnienia określany jest na podstawie czynności przetwarzania obsługiwanych przez danego pracownika. Po wyborze pracownika oraz przyporządkowaniu do niego czynności przetwarzania wszystkie pozostałe elementy rejestru oraz gotowy do pobrania dokument uzupełniają się automatycznie. Dokument upoważnienia zawiera również oświadczenie o znajomości zasad przetwarzania oraz zachowaniu poufności. Istotną cechą modułu jest możliwość tworzenia upoważnień z wykorzystaniem już istniejących – w tej funkcji wybierany jest pracownik z listy, którego zakres upoważnienia będzie stanowił wzór dla nowo utworzonych. Dzięki temu, przygotowanie większej liczby upoważnień dla grupy pracowników posiadającej ten sam zakres obowiązków zajmuje tylko kilka kliknięć.
Możliwość eksportowania danych
Aplikacja pozwala na wyeksportowanie w ciągu kilku chwil danych ze wszystkich, bądź wybranych modułów do pliku xlsx. Jest to istotne w przypadku potrzeby przekazania informacji osobom nie posiadającym konta w systemie lub w przypadku ewentualnej kontroli.
Rozbudowany system pomocy
Pomoc w RIG to obecnie ponad 300 artykułów, dedykowanych do każdego elementu w aplikacji i zawierających zarówno instrukcje korzystania z poszczególnych funkcjonalności, jak i obszerne uzasadnienia merytoryczne dla przyjętych rozwiązań.
Jeśli chcesz przyjrzeć się działaniu aplikacji podczas prezentacji lub samodzielnie przetestować narzędzie (14 dni darmowego dostępu) KLIKNIJ TUTAJ
Marki które nam zaufały
Tworzymy narzędzia monitorujące poziom bezpieczeństwa danych oraz informacji w Twojej organizacji.
Uzupełniamy je o usługi zwiększające ich skuteczność w przestrzeniach nie zautomatyzowanych.
Bezpieczeństwo
Nasze narzędzia
Aplikacja do analizy ryzyka RODO
Aplikacja zapewniająca ciągłość procesów dzięki weryfikacji bezpieczeństwa danych. Umożliwia kontrolę zgodności ochrony danych z normami ISO a także diagnozuje i raportuje luki w zabezpieczeniach Twojej organizacji.
Usługi konsultingowe oraz IT
Rodo
Wsparcie Insektora Ochrony Danych, wdrożenia, audyty roczne oraz doraźne, analiza ryzyka.
AML
Analiza ryzyka, outsourcing, monitorowanie transakcji, wdrożenia, audyty, KYC, ocena instytucji obowiązanej, szkolenia.
Sygnaliści
Audyty funkcjonującego systemu dokonywania zgłoszeń, opracowanie dokumentacji, wzorów procedur, umów i innych dokumentów. Wdrożenia, ustalanie kanałów zgłoszeń, opracowanie regulaminów, szkolenia.
Wsparcie IT
Phasellus vitae commodo quam. Curabitur interdum quis nisi non malesuada.
Mówią o nas
Rozwijamy się dzięki ogromnemu zaufaniu i wsparciu naszych cennych klientów.
Curabitur ipsum metus, scelerisque eu facilisis non, facilisis non ipsum. Donec varius risus mauris, ut sollicitudin ex congue ac. Etiam posuere dictum sapien sed vestibulum. Sed id facilisis ex, et vestibulum nibh. Vivamus id nisi auctor, molestie urna et, elementum ex. Duis metus libero, semper sit amet ornare eu, facilisis ut dui. Pellentesque eu neque at ante fermentum bibendum eget sit amet justo.
Curabitur ipsum metus, scelerisque eu facilisis non, facilisis non ipsum. Donec varius risus mauris, ut sollicitudin ex congue ac. Etiam posuere dictum sapien sed vestibulum. Sed id facilisis ex, et vestibulum nibh. Vivamus id nisi auctor, molestie urna et.
Curabitur ipsum metus, scelerisque eu facilisis non, facilisis non ipsum. Donec varius risus mauris, ut sollicitudin ex congue ac. Etiam posuere dictum sapien sed vestibulum. Sed id facilisis ex, et vestibulum nibh. Vivamus id nisi auctor, molestie urna et, elementum ex. Duis metus libero, semper sit amet ornare eu, facilisis ut dui. Pellentesque eu neque at ante fermentum bibendum eget sit amet justo.
Curabitur ipsum metus, scelerisque eu facilisis non, facilisis non ipsum. Donec varius risus mauris, ut sollicitudin ex congue ac. Etiam posuere dictum sapien sed vestibulum. Sed id facilisis ex, et vestibulum nibh. Vivamus id nisi auctor, molestie urna et.
Warszawa
24.12.2021