RODO: piąta generacja bezpieczeństwa danych

Przeczytaj także: Biznes nie zdąży przed GDPR

Wprawdzie RODO bywa nazywane „totalną zmianą podejścia do kwestii bezpieczeństwa i prywatności danych”, to jednak warto sobie zdawać, że niesione przez rozporządzenie zmiany mają swój początek w XIX-wiecznym traktacie prawa i innych, bardziej współczesnych dyrektywach.

Z dużą dozą prawdopodobieństwa można założyć, że nowe przepisy przyniosą rewolucyjne zmiany, w efekcie których kontrola nad prywatnymi danymi trafi ponownie w ręce obywateli.

RODO nie powinno być jednak postrzegane jako nagły i niespodziewany zryw. Kwestie prywatności i odpowiedzialności biznesu za przetwarzanie danych klientów podnoszone są już co najmniej od dwóch dekad. W rzeczywistości jednak historia starań o „piątą generację ochrony danych” rozpoczęła się dużo wcześniej.

Pierwsza generacja ochrony danych

Wprowadzenie RODO jest w wielu aspektach konsekwencją ruchu, którego początki sięgają 1890 roku. Wtedy Samuel Warren i Lous Brandeis opublikowali w Harvard Law Review artykuł uznawany za pierwsze sprecyzowanie prawa do prywatności. Od tego czasu esej ten został uznany za jedną z najbardziej wpływowych prac w prawie amerykańskim i międzynarodowym.

Prywatność jako prawo człowieka

Pierwsza generacja ochrony danych osobowych rozpoczęła ciąg wydarzeń, które spowodowały ustalenie prywatności jako jednego z fundamentalnych praw człowieka. Prawo do prywatności zostało oficjalnie potwierdzone 10 grudnia 1948 roku przez artykuł 12 Powszechnej Deklaracji Praw Człowieka Narodów Zjednoczonych:

„Nie wolno ingerować samowolnie w czyjekolwiek życie prywatne, rodzinne, domowe, ani w jego korespondencję, ani też uwłaczać jego honorowi lub dobremu imieniu. Każdy człowiek ma prawo do ochrony prawnej przeciwko takiej ingerencji lub uwłaczaniu.”

Debata o przetwarzaniu danych

Po roku 1980 uwaga dotycząca kwestii prywatności została skierowana na to, w jaki sposób prywatne dane są przetwarzane i przenoszone. Trzecia generacja ochrony danych osobowych przyjęła formę wytycznych Organizacji Współpracy Gospodarczej i Rozwoju (OECD) opublikowanych we wrześniu 1980 roku, które określiły podstawowe zasady dotyczące zarządzania danymi osobistymi.

Obejmowały one ograniczenia w kwestii zbierania danych, celów ich wykorzystywania i środków, jakie należy przedsięwziąć w celu ich ochrony, a także prawa jednostki do informacji, jakie dane o nich są przechowywane. Wytyczne te nie były jednak wiążące, co spowodowało spore różnice w ich wprowadzeniu pośród krajów europejskich oraz jeszcze większe w skali całego świata.

Następnie, w 1995 roku powstała Dyrektywa Ochrony Danych Unii Europejskiej. Zapoczątkowała ona czwartą generację ochrony danych osobowych i miała na celu rozwiązanie problemów z przepływem danych poprzez ujednolicenie prawa w Europie (oraz, przez rozszerzenie, na całym świecie). Właśnie tutaj możemy dostrzec centralne zasady transparentności, odpowiedniego użytku oraz proporcjonalności, które zostały ujęte również w RODO.

Era RODO

RODO stanowi piątą część wędrówki, która rozpoczęła się na Uniwersytecie Harvard ponad 100 lat temu. Z dniem 25. maja 2018, każda organizacja, która przechowuje dane obywateli UE, musi dostosować się do bardzo szczegółowych (i po raz pierwszy prawnie wiążących) obowiązków, w dodatku niezależnie od tego, czy znajduje się na terenie Unii Europejskiej. W związku z tym, RODO będzie miało ogromny wpływ na sytuację na całym świecie, nie tylko w Europie.

Główną zasadą RODO jest ochrona prywatności jednostki. Artykuł 5. tego rozporządzenia opisuje to prosto i zwięźle:

„Dane prywatne powinny być przetwarzane w sposób, który zapewnia odpowiedni poziom bezpieczeństwa, (…) włączając w to ochronę przed nieautoryzowanym i niezgodnym z prawem dostępem oraz przypadkową utratą.”

Pozytywna siła dla obywateli i firm

RODO ma za zadanie nie tylko chronić prywatność jednostek, ale również pomóc firmom poprzez utworzenie wspólnego zbioru zasad, aby zarządzać i zachęcać do wolnego przepływu danych w bezpieczny sposób. Zostały one wcześniej zarysowane podczas „trzeciej” i „czwartej generacji”, a teraz zostały w pełni wdrożone dzięki spójności gwarantowanej przez RODO.

Wśród wielu praw przydatnych zarówno dla osób prywatnych jak i firm, jest jeden przykry obowiązek nałożony na tych, którzy będą przetwarzać dane po 25 maja. Jednym z podstawowych wymagań RODO jest wprowadzenie przez organizacje odpowiednich protokołów bezpieczeństwa, lub, jak określa to samo rozporządzenie „bezpieczeństwo z założenia i domyślne”. Zasadniczo wymaga to, aby środki bezpieczeństwa były wbudowane w systemy podczas ich tworzenia, a nie modernizacji.

Piąta generacja bezpieczeństwa danych kontra cyberzagrożenia piątej generacji

Z powodu przykuwających uwagę mediów potencjalnych kar, takich jak np. grzywien w wysokości do 4% światowego obrotu, zrozumiałym jest, że firmy postępują wyjątkowo ostrożnie. Jest to szczególnie istotne w erze zagrożeń internetowych piątej generacji.

Złożona natura tych zagrożeń powoduje, że firmy muszą sprostać rosnącym oczekiwaniom w zakresie bezpieczeństwa danych w obliczu ataków wielowektorowych na szeroką skalę. Wg Check Pointa, te zaawansowane cyberzagrożenia piątej generacji dotyczą wielu platform, poruszając się bardzo szybko i infekując dużą liczbę firm na całym świecie w ciągu kilku godzin.

Oczywiście, istnieją środki zaradcze. Przed cyberzagrożeniami piątej generacji najlepiej chronić się za pomocą bezpieczeństwa internetowego opartego na architekturze, która dzieli się danymi o zagrożeniach i ujednolica zabezpieczenia sieci, chmury oraz urządzeń mobilnych w czasie rzeczywistym. Niepokoi fakt, że według naszych badań, jedynie 3% organizacji zaimplementowało te praktyki bezpieczeństwa.

Idealna ochrona danych

Krótko mówiąc, nigdy wcześniej zapewnienie prywatności i bezpieczeństwa danych nie było tak trudne. Organizacje z całego świata poddawane są naciskom z wielu stron, by odpowiedzieć na rosnące oczekiwania obywateli w kwestii ochrony danych, podczas gdy pojawiają się coraz nowsze zagrożenia.

Właśnie dlatego prostota i bezpieczeństwo wraz z uniwersalną i kompleksową platformą jest ważniejsza niż kiedykolwiek wcześniej.