Niewiele trzeba, aby naruszyć bezpieczeństwo danych osobowych
2018-03-21 11:36
Ochrona danych osobowych © Jakub Jirsák - Fotolia.com
Mówiąc o naruszeniach bezpieczeństwa danych osobowych możemy wyróżnić dwie grupy incydentów: umyślne i losowe. W pierwszej grupie znajdziemy działania podejmowane przez ludzi świadomie, wbrew prawu. Z kolei zdarzenia losowe, czy to wewnętrzne czy zewnętrzne, nie zawsze zależą od ludzi. Bez względu jednak na ich rodzaj, większość tzw. incydentów bezpieczeństwa można przewidzieć. I warto się nad tym zastanowić, bo po 25 maja 2018 roku na przedsiębiorców spadnie szczególna odpowiedzialność.
Przeczytaj także: Gigantyczne kary za nieprzestrzeganie RODO
RODO w art. 4 ust.12 definiuje naruszenie bezpieczeństwa przetwarzanych danych osobowych, określając je jako „prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”Mamy więc jasno określony szeroki katalog incydentów dotyczących przetwarzanych danych, które powodują automatycznie powstanie naruszenia. Jak wynika z doświadczenia administratorów danych, najtrudniejsze do przewidzenia są te incydenty, które wynikają z ludzkich pomyłek i braku świadomości.
Aby w banalny sposób doszło do incydentu w ochronie danych osobowych, wystarczy…
Źle zaadresowana korespondencja elektroniczna
Używane w skrzynkach poczty elektronicznej adresy mogą być zapisywane w pamięci podręcznej, dzięki czemu aplikacja podpowiada adres mailowy. Nie zawsze jest on weryfikowany przez wysyłających maile. W efekcie braku weryfikacji adresu korespondencja może trafić do nieuprawnionego odbiorcy.
fot. Jakub Jirsák - Fotolia.com
Ochrona danych osobowych
W firmie łatwo o naruszenie bezpieczeństwa danych osobowych.
Nieukrywanie adresów mailowych przy wysyłce masowej
Wysyłka korespondencji masowej (np. newsletter) do wielu adresatów wymaga ukrycia adresów odbiorców, poza głównym. W przeciwnym wypadku wszyscy odbiorcy będą widzieli adresy mailowe pozostałych, a to jest już masowe upublicznienie danych osobowych. Korzystanie z opcji „UDW” – ukrytej kopii – zapobiegnie incydentom.
Utrata nośników danych
Smartfony, laptopy, pamięć mobilna, smartwatche, wydruki z życiorysami zawodowymi czy teczki z dokumentami – nośniki danych można zgubić lub też stracić w wyniku kradzieży. Są to incydenty w ochronie danych osobowych.
Jak poważny jest to problem, wystarczy przeanalizować wykorzystanie pamięci USB w firmach. Nawet 90 proc. pracowników używa w większości otwartych, niezaszyfrowanych pendrive’ów do zapisywania, przechowywania, kopiowania i przenoszenia danych, w tym także danych osobowych. Aż 87 proc. pracowników zdarzyło się przynajmniej raz zgubić pamięć flash, na której zapisane były firmowe dane! Chcąc zminimalizować ryzyko dostania się danych w niepowołane ręce, warto na przykład szyfrować dane.
Nieprawidłowe usunięcie danych
Przedarcie kartki i wrzucenie jej do kosza pod biurkiem jest najczęstszą formą usunięcia danych. Jednak jeżeli dane z tej kartki, po jej „zniszczeniu” przy niewielkim wysiłku można odczytać, to mamy do czynienia z incydentem bezpieczeństwa. Dopiero użycie niszczarki do dokumentów jest procedurą prawidłową: szanse na odzyskanie danych z tak zniszczonych kartek są bardzo niewielkie.
W przypadku usuwania danych z nośników elektronicznych, nie wystarczy tylko ich skasowanie. Kopie zapasowe oraz stare typy systemów wspierających biznes, jak np. DOS, przechowują dane w różnych miejscach na dyskach oraz pozwalają na kopiowanie przez użytkowników bez zostawiania śladów. Dla prawidłowego usunięcia danych najskuteczniejsze będą przewidziane do tego specjalne aplikacje albo fizyczne zniszczenie nośnika (np. starego, nieużywanego dysku twardego).
Odpowiedzialność zarządów i właścicieli
Wdrożenie zasad ochrony danych wynikających z RODO i zapobieganie incydentom bezpieczeństwa ciąży na podmiotach przetwarzających dane. Każda firma, która dokonuje czynności na jakichkolwiek danych osobowych, jest ich administratorem. Z kolei osobami odpowiedzialnymi za podmiot są reprezentanci zarządu – jeśli takowy funkcjonuje – albo właściciele.
Odpowiednie przygotowanie firmy do stosowania zasad zawartych w RODO wpływa na ograniczenie ryzyka nałożenia administracyjnych kar pieniężnych i odszkodowań dla osób fizycznych. Odpowiedzialnością finansową mogą ostatecznie zostać obciążeni członkowie zarządu, ponieważ dopuszczają to obowiązujące przepisy. Wydaje się przy tym, że stosunkowo łatwo spełnić przesłanki odpowiedzialności wobec spółki.
Delegowanie obowiązków w zakresie ochrony danych osobowych na pracowników nie zwolni członka zarządu z ponoszenia odpowiedzialności za szkodę wyrządzoną wobec spółki. Za funkcjonowanie spółki zgodnie z zasadami prawa odpowiada bowiem zarząd. Należy tu dodać, że zgodnie z regulacjami zawartymi w RODO inspektor ochrony danych (IOD; o ile w ogóle zostanie powołany, bo przecież nie każde przedsiębiorstwo musi korzystać z jego pomocy), pełni wyłącznie funkcję doradczą .
Tomasz Mamys, Project Manager RODO w
Przeczytaj także:
![Rosną obawy o bezpieczeństwo danych osobowych]( "Rosną obawy o bezpieczeństwo danych osobowych [© Jakub Jirsák - Fotolia.com]")
Rosną obawy o bezpieczeństwo danych osobowych
Rosną obawy o bezpieczeństwo danych osobowych
oprac. : eGospodarka.pl
Przeczytaj także
-
![Retencja danych osobowych pracowników - jak ją prowadzić?]( "Retencja danych osobowych pracowników - jak ją prowadzić? [© Jakub Jirsák - Fotolia.com]")
Retencja danych osobowych pracowników - jak ją prowadzić?
-
![Wrażliwe dane osobowe abonentów muszą być przekazywane do GUS. W jakim celu?]( "Wrażliwe dane osobowe abonentów muszą być przekazywane do GUS. W jakim celu? [© Warakorn - Fotolia.com]")
Wrażliwe dane osobowe abonentów muszą być przekazywane do GUS. W jakim celu?
-
![Kary za naruszanie przepisów RODO są wysokie]( "Kary za naruszanie przepisów RODO są wysokie [© Krzysztof - Fotolia.com]")
Kary za naruszanie przepisów RODO są wysokie
-
![Wysyłka firmowych kartek świątecznych. Co na to RODO?]( "Wysyłka firmowych kartek świątecznych. Co na to RODO?")
Wysyłka firmowych kartek świątecznych. Co na to RODO?
-
![Powierzenie przetwarzania danych osobowych a ich udostępnienie - jakie różnice?]( "Powierzenie przetwarzania danych osobowych a ich udostępnienie - jakie różnice? [© pixabay.com]")
Powierzenie przetwarzania danych osobowych a ich udostępnienie - jakie różnice?
-
![Płatność danymi osobowymi - kiedy informacje o nas stają się walutą]( "Płatność danymi osobowymi - kiedy informacje o nas stają się walutą [© Pete Linforth z Pixabay]")
Płatność danymi osobowymi - kiedy informacje o nas stają się walutą
-
![4 lata z RODO]( "4 lata z RODO [© Krzysztof - Fotolia.com]")
4 lata z RODO
-
![Weryfikacja partnerów biznesowych a ochrona danych osobowych]( "Weryfikacja partnerów biznesowych a ochrona danych osobowych")
Weryfikacja partnerów biznesowych a ochrona danych osobowych
-
![W pandemii chętniej udostępniamy dane osobowe, ale mamy wymagania]( "W pandemii chętniej udostępniamy dane osobowe, ale mamy wymagania [© pixabay.com]")
W pandemii chętniej udostępniamy dane osobowe, ale mamy wymagania
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
Rusza budowa osiedla Craft Zabłocie w Krakowie
