Zapraszamy na kolejną część wywiadu, który przeprowadziliśmy z Michałem Nosowskim – radcą prawnym i współzałożycielem kancelarii ByteLaw. Pan Michał Nosowski specjalizuje się w stosowaniu przepisów RODO, tworzeniu i weryfikacji umów oraz zapewnianiu, aby prowadzenie biznesu w Internecie było zgodne z prawem. Dodatkowo prowadzi blog o ochronie danych osobowych i nowych technologiach www.wsroddanych.pl oraz jest autorem książki pt. „Prawne aspekty cyberbezpieczeństwa”, a także artykułów w czasopismach Biuletyn Euro Info, Linux Magazine oraz Ochrona Danych Osobowych.

Z tej części wywiadu dowiedzą się Państwo m.in. o stanowisku sądów na temat działań UODO, przewidywanej aktywności UODO w najbliższej przyszłości, kto może stać za atakami hakerskimi i czy polskie firmy mogą być atrakcyjnym celem dla cyberprzestępców.

Zapraszamy do lektury.

Mentor: Czy sądy przyznają rację w sprawach podejmowanych przez UODO?

Michał Nosowski: Rozstrzygnięcia sądów w sprawach dotyczących ochrony danych są zróżnicowane. Widać to m.in. w zakresie podejścia do pewnych podstawowych kwestii, takich jak np. sposób rozumienia pojęcia „dane osobowe”. Przykładowo, stanowisko Prezesa UODO dotyczące numerów rejestracyjnych pojazdów jest takie, że stanowią one dane osobowe. Sądy administracyjne zasadniczo stoją jednak na innym stanowisku i uznają, że numer rejestracyjny pojazdu nie jest daną osobową.

Z drugiej strony np. najwyższa kara finansowa za naruszenie przepisów RODO, która została nałożona w Polsce, została zaaprobowana przez Wojewódzki Sąd Administracyjny. Trzeba tu pamiętać, że sądy administracyjne badają decyzje pod kątem zgodności z prawem – innymi słowy, kwestie np. oceny poziomu zabezpieczeń informatycznych są badane w ograniczonym zakresie.

Spodziewa się Pan większej aktywności UODO w najbliższej przyszłości?

Wydaje mi się, że Prezes UODO nadal będzie dość regularnie wydawał decyzje dotyczące kar finansowych i nieprawidłowości, i w tym zakresie nie będzie większych zmian. Oceniam jednak, że wraz ze zmniejszaniem się ograniczeń związanych z pandemią COVID-19, możemy liczyć na zwiększoną aktywność Urzędu w ramach bieżących, planowych kontroli przetwarzania danych w organizacjach. Tym samym, może się zdarzyć tak, że urzędnicy pojawią się na kontroli nie w związku z jakimś naruszeniem, ale po prostu w ramach rutynowych działań kontrolnych.

Nie ukrywam, że osobiście liczę również na opublikowanie przez UODO rezultatów prac dotyczących kodeksów postępowania, czyli zasad przetwarzania danych, które mogą być przyjmowane dobrowolnie przez przedsiębiorców zrzeszonych np. w ramach jakichś stowarzyszeń branżowych. Tego rodzaju dokumenty mogą być istotną wskazówką również dla innych organizacji, które chcą działać zgodnie z przepisami RODO.

Praktycznie każdego dnia jesteśmy zasypywani informacjami o różnego rodzaju zdarzeniach w przestrzeni cybernetycznej. Nie tak dawno mieliśmy kilka głośnych przypadków ataków hakerskich, m.in. na największego w USA operatora rurociągów paliwowych Colonial Pipeline, co doprowadziło do paraliżu na stacjach benzynowych. W mediach pojawiła się informacja o zapłaceniu przez firmę hakerom okupu w zamian za odszyfrowanie danych. Kto może stać za tego typu zdarzeniami?

Za tego rodzaju zdarzeniami mogą stać zorganizowane grupy cyberprzestępców, tak przynajmniej wynika z doniesień medialnych. Czasem ataki (i tak było w przypadku Colonial Pipeline) są przeprowadzane przez znane z nazwy grupy przestępców. Ustalenie kto w rzeczywistości jest członkiem takiej grupy zdarza się jednak nieczęsto.

Niektóre z tych grup działają z pobudek czysto gospodarczych, a inne mogą mieć do zrealizowania odmienne cele, np. wywołać zamieszanie lub zrealizować określone założenia polityczne. Cyberprzestępcom czasem zależy na innych skutkach niż tylko otrzymanie okupu – przykładowo, ransomware zwany notPetya, który kilka lat temu pojawił się na Ukrainie i rozprzestrzenił się także na inne kraje świata, nie umożliwiał odzyskania danych nawet po wpłaceniu okupu.

Zdarza się, że grupy przestępców, atakujących różne systemy, są łączone z krajami takimi jak Rosja, Chiny czy też Korea Północna. Niekiedy wskazuje się na powiązania takich grup z rządami lub służbami poszczególnych państw, co wskazywałoby na to, że ataki mogą mieć podłoże polityczne. Niemniej jednak udowodnienie takiej współpracy jest ekstremalnie trudne, co sprawia, że opieramy się tu głównie na poszlakach i hipotezach.

Czy polskie firmy mają się czego obawiać?

Polskie firmy są narażone na ataki cybernetyczne zupełnie tak, jak firmy z innych krajów. Nie wydaje mi się, abyśmy mieli jakiekolwiek podstawy, aby uznawać, że jesteśmy jakimś mniej istotnym celem dla cyberprzestępców albo że posiadamy, w ogólnym ujęciu, wyższy poziom zabezpieczeń. Innymi słowy, musimy być świadomi, że polskie firmy są potencjalnie zagrożone atakami cybernetycznymi. Co więcej, w ciągu ostatnich kilku lat wystąpiło co najmniej kilka zdarzeń, w związku z którymi zostały pokrzywdzone polskie firmy. Mogły być to działania indywidualnych cyberprzestępców (np. atak na morele.net, w związku z którym została nałożona kara finansowa przez RODO), jak również szersze ataki przeprowadzane przez zorganizowane grupy, których skutki mają charakter ponadnarodowy – przykładowo, we wspomnianym przeze mnie ataku notPetya ucierpiało również kilka polskich przedsiębiorstw.

Wprowadzenie RODO było przełomowym momentem dla postrzegania ochrony danych osobowych. Czy na horyzoncie (zarówno krajowym, jak i europejskim) widać inne zmiany w tym przedmiocie?

Z całą pewnością tak i zmian tych jest całkiem sporo. Oprócz RODO, w 2018 r. w Polsce weszły w życie przepisy ustawy o krajowym systemie cyberbezpieczeństwa, nakładające szereg dodatkowych obowiązków związanych z bezpieczeństwem informatycznym w przedsiębiorstwach, które mają kluczowe znaczenie z punktu widzenia funkcjonowania państwa oraz usług internetowych. Przepisy te mają zostać znowelizowane i wzbogacone o kilka dodatkowych mechanizmów, mających zwiększyć poziom bezpieczeństwa IT na poziomie krajowym. Dodatkowo, w UE przyjęto tzw. cybersecurity act, który ma na celu wdrożenie mechanizmów związanych z certyfikacją niektórych produktów, programów lub usług IT, tak aby były uznawane za spełniające odpowiednie standardy bezpieczeństwa.

Na horyzoncie jest również uchwalenie tzw. aktu o usługach cyfrowych, czyli unijnego rozporządzenia, które kompleksowo ma uregulować działalność platform internetowych, portali społecznościowych itp. Przepisy te będą miały duże znaczenie z punktu widzenia korzystania z Internetu przez obywateli UE, a tym samym mogą również wpłynąć np. na bezpieczeństwo informatyczne czy też przetwarzanie danych osobowych.