O DPOWIEDZIALNOŚĆ PRZEDSIĘBIORCY W ŚWIETLE NOWYCH PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH

W 2018 roku, pomimo wprowadzenia rozporządzenia o ochronie da-nych osobowych (RODO), incydenty związane z wyciekiem dada-nych nadal stanowią główny problem wielu dużych i małych firm. Możliwość narusze-nia bezpieczeństwa przetwarzanarusze-nia danych osobowych stanowi zagrożenie, z którego osoby zarządzające przedsiębiorstwami zdają sobie sprawę.

Poziom wiedzy i zrozumienia nowych obowiązków prawnych przez przedsię-biorców jest jednak niski. Jak wynika z przytoczonego wcześniej raportu badania PwC, tuż przed wejściem w życie rozporządzenia RODO jedynie 3%

przedsiębiorstw w Polsce oceniało swoją pełną gotowość do jego wdrożenia.

Aż połowa badanych podmiotów swoją gotowość do wejścia w życie unij-nych regulacji oceniła na poziomie poniżej 30%, a 20% w ogóle nie spełnia-ło nowych wymogów. Obecnie już po wprowadzeniu nowych regulacji przedsiębiorstwa próbują z mniejszym lub większym powodzeniem stoso-wać zasady RODO w praktyce.

Od 25 maja 2018 roku zmianie uległy uwarunkowania prawne niemal dla wszystkich przedsiębiorców, niezależnie od skali działania, branży czy modelu biznesu. Za jedną z najważniejszych zmian należy uznać poszerze-nie odpowiedzialności przedsiębiorców za naruszenia przepisów określają-cych zasady pozyskiwania i przetwarzania przez nich danych osobowych.

Rozporządzenie przewiduje²³:

 wielokrotnie wyższe kary finansowe za naruszenia przepisów – świadome lub nieświadome. Wprowadza dwie kategorie naruszeń, dla których grzywny mogą wynosić odpowiednio do 10 mln euro lub do 2% wartości globalnego obrotu przedsiębiorstwa (w kategorii pierwszej), lub do 20 mln euro lub do 4% wartości globalnego obrotu (w kategorii drugiej na-ruszeń),

 kary mają być orzekane i nakładane bezpośrednio przez organ nadzor-czy po stwierdzeniu naruszenia, a nie, jak dotychczas, dopiero po nie-spełnieniu obowiązków określonych w decyzji organu nadzorczego (GIODO),

 brak możliwości wniesienia przez osobę fizyczną skargi do organów nad-zorczych (Prezesa Urzędu Ochrony Danych Osobowych), ale umożliwia samodzielnie dochodzić roszczeń w trybie postępowania sądowego w przypadkach stwierdzenia naruszenia praw związanych z przetwarza-niem jej danych osobowych przez daną organizację.

Nowe regulacje wskazują na to, że podmiot będący w posiadaniu da-nych prywatda-nych musi domyślnie je chronić, bez konieczności

23 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, (Dz.

U. UE L 119 z 4 maja 2016 r.)

nia działań w tym zakresie przez osobę, do której te informacje się odnoszą.

Rozporządzenie wprowadza wiele nowych rozwiązań, jak np. prawo do bycia zapomnianym czy prawo do przenoszenia danych. Ustanawia również nowy sposób dopełniania obowiązku informacyjnego oraz obowiązek prowadzenia rejestru czynności (operacji) przetwarzania danych osobowych.

Zakres zmian prawnych związanych z wejściem w życie przepisów roz-porządzenia o ochronie danych osobowych (RODO) oraz krajowej ustawy²⁴ wymaga przedsięwzięć organizacyjnych, inwestycji technicznych, nakładów na szkolenia oraz należytego zabezpieczenia finansowego dla zapewnienia zgodności z unijną regulacją. W konsekwencji rosną nakłady na bezpie-czeństwo danych i systemów. Jednakże nawet przy nieograniczonym bu-dżecie i zastosowaniu wszelkich możliwych procedur i zabezpieczeń, w sy-tuacji nieustannego wzrostu cyberprzestępczości, ryzyko naruszenia da-nych nie zostanie całkowicie wyeliminowane.

Z

Cyberincydenty stały się realnym i powszechnym zagrożeniem nie tylko dla gospodarki w skali makro, ale również dla przeciętnych podmiotów wszelkich branż wykorzystujących w swojej działalności Internet i systemy informatyczne.

Jak pokazano w artykule, cyberprzestępczość niesie ze sobą szereg ne-gatywnych skutków ekonomicznych dla przedsiębiorstw takich jak: straty w wyniku przerwy w działalności, roszczenia z tytułu odpowiedzialności cywilnej i regresów, koszty sporów sądowych i obsługi prawnej, administra-cyjne grzywny czy kary finansowe. Przedsiębiorstwa narażone są przez to na utratę wizerunku, zaufania i wiarygodności, a w efekcie utratę pozycji na rynku.

Rozwój technologii sprawia, że ataki są coraz łatwiejsze do przeprowa-dzenia, ponieważ nie wymagają specjalistycznej wiedzy. Za najniebezpiecz-niejsze, stanowiące realne zagrożenie dla badanych przedsiębiorstw uznaje się zaawansowane, ukierunkowane ataki APT (Advanced Persistent Thre-ats). Aż 34% badanych przedsiębiorstw obawia się tego oprogramowania.

Wielu wyciekom danych można jednak zapobiec, przeprowadzając audyt infrastruktury IT, aktualizując oprogramowanie i programy antywirusowe.

Już dziś przedsiębiorstwa winny przejawiać zainteresowanie w zminimali-zowaniu następstw cyberataków poprzez dostosowanie swojej organizacji do wymogów bezpieczeństwa postawionych przez przepisy unijne oraz krajowe.

W szczególności winny się skupić na sposobach unikania, zapobiegania, przeciwdziałania tego typu zdarzeniom oraz sposobach minimalizacji ich następstw.

Być może rynek ubezpieczeń cybernetycznych, który w Polsce znajduje się na początkowym etapie rozwoju będzie odpowiedzią na zapotrzebowanie przedsiębiorców względem zabezpieczenia swojego biznesu. Dodatkową ko-niecznością jest dostosowanie się do restrykcyjnych regulacji prawnych

24 Dz. U. 2018 poz. 1000, Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.

w zakresie ochrony danych osobowych obowiązujących w całej Unii Euro-pejskiej od maja 2018 r. w ślad za rynkami rozwiniętymi.

L

:

[1] A.M. Best's View on Cyber-Security Issues and Insurance Companies, [http://www.bestweek.com/europe/promo/AMBViewCyberSecurity.pdf] – 21.09.2018.

[2] Andress J., Winterfeld S., Cyber warfare, wyd. Elsevier © 2014.

[3] Dobrzeniecki K., Prawo a etos cyberprzestrzeni, Wyd. Adam Marszałek, To-ruń 2004, s. 18.

[4] Doktryna cyberbezpieczeństwa Rzeczypospolitej Polskiej, Warszawa BBN 2015.

[5] Grey Wizard – Raport Cyberbezpieczeństwo w Q4 w roku 2017 [https://gre ywizard.com/hashstatic/2018x02x20xfiles/pdf/grey_wizard_raport_q4_2017 _pl.pdf] – 21.09.2018.

[6] Grzelak M., Liedel K., Bezpieczeństwo w cyberprzestrzeni. Zagrożenia i wy-zwania dla Polski, Kwartalnik „Bezpieczeństwo Narodowe” II-2012, nr 22, Wyd. Biuro Bezpieczeństwa Narodowego, Warszawa 2012.

[7] Levy P., Drugi potop, [w:] M. Hopfinger (red.), Nowe media w komunikacji spo-łecznej w XX wieku. Antologia, Wyd. Oficyna Naukowa, Warszawa 2001.

[8] Lloyd’s /KPMG, Closing the gap Insuring your business against evolving cyber threats 2017, [https://www.lloyds.com/about-lloyds/what-lloyds-insures/cy ber/cyber-risk-insight/closing-the-gap] – 21.09.2018.

[9] Maciejowski T., Firma w Internecie. Budowanie przewagi konkurencyjnej, Wyd. Oficyna Ekonomiczna, Kraków 2004.

[10] Nowak A., Cyberprzestrzeń, jako nowa jakość zagrożeń, Zeszyty Naukowe AON nr 3(92), Wyd. Akademia Sztuki Wojennej, 2013.

[11] Raport PwC (PricewaterhouseCoopers), Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście, [https://www.pwc.pl/b adaniebezpieczenstwa] – 21.09.2018.

[12] Raport KPMG „Barometr bezpieczeństwa. Cyberatak zjawiskiem powszech-nym” 2018, [www.KPMG.pl].

[13] Rot A., Zarządzanie ryzykiem w cyberprzestrzeni – wybrane zagadnienia teo-rii i praktyki, [w:] T. M. Komorowski, J. Swacha (red.), Projektowanie i reali-zacja systemów informatycznych zarządzania. Wybrane aspekty, Wyd. Pol-skie Towarzystwo Informatyczne PTI, Warszawa 2016.

[14] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (Dz. U. UE L 119 z 4 maja 2016 r.).

[15] Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz. U. 2018 poz. 1000.

[16] Wiśniewski P., Boehlke J., Cyberprzestępczość w gospodarce, Wydawnictwo Naukowe Uniwersytetu Mikołaja Kopernika, Toruń 2017.

[17] World Economic Forum, The Global Risks Report 2017, [http://www3.weforu m.org/docs/GRR17_Report_web.pdf] – 19.09.2018.

S

Współczesne zagrożenia w cyberprzestrzeni, a funkcjonowanie przed-siębiorstw na globalnym rynku

Artykuł stanowi próbę zidentyfikowania podstawowych zagrożeń cyber-netycznych i ich skutków ekonomicznych dla przedsiębiorstw, które korzy-stają z digitalizacji danych w swojej działalności. W pracy wskazano również na odpowiedzialność przedsiębiorców w zakresie przetwarzania danych osobowych w świetle nowych przepisów o ochronie danych osobowych (RODO).

Słowa kluczowe: cyberprzestrzeń, cyber zagrożenia, cyberprzestęp-czość.

S

Contemporary threats in cyberspace, and the functioning of enterpris-es in the global market

The article is an attempt to identify basic cyber threats and their eco-nomic consequences for enterprises that use data digitalization in their activities. The work also pointed to the responsibility of entrepreneurs in the processing of personal data in the light of the new law acts on personal data protection (RODO).

Keywords: cyberspace, cyber threats, cybercrime.

Agnieszka Tabor-Smardzewska