Ochrona danych osobowych - groźne incydenty

Przeczytaj także: 5 sposobów na ochronę danych w Black Friday

Poza elektronicznym dostępem do danych, popularny jest również kanał telefoniczny. W dobie wyłudzeń informacji z wykorzystaniem różnego rodzaju socjotechnik telefon jest jednak obecnie najbardziej niebezpiecznym urządzeniem przekazywania danych. Wyobraźmy sobie, że nasz rozmówca przedstawia się jako urzędnik skarbowy lub inspektor GIODO i prosi nas o różne dane. Wiele osób w takich sytuacjach dane po prostu przekazuje, bez właściwej weryfikacji rozmówcy. W ten sposób wyłudzane są przeróżne dane – dostęp do firmowej sieci (rozmówca podaje się za korporacyjnego informatyka) czy wysokość wynagrodzeń poszczególnych pracowników (komornik lub pracownik banku). Ogromna część tego typu incydentów pozostaje jednak niezidentyfikowana, gdyż źródłem wycieku są najczęściej pracownicy, którzy nie informują nikogo o takich zdarzeniach, zarówno ze względu na niską świadomość dotyczącą ochrony danych, jak też zapewne w obawie przed konsekwencjami.

Nieodpowiednie techniki usuwania danych

Powszechną praktyką w niemal każdej firmie jest wyrzucanie podręcznych notatek czy nawet dokumentów do zwykłych koszy na śmieci. Niektórzy zdają się myśleć, kilkukrotne przedarcie kartki sprawi, że z danego dokumentu nic nie będzie można odczytać. Gdyby jednak tak było, zapewne nie powstałyby niszczarki. Tymczasem okazuje się, że nawet w podmiotach, które dysponują niszczarkami, korzysta się z nich niezwykle rzadko. Trudno zrozumieć dlaczego… Warto wiedzieć, że dane przechowywane w wersji papierowej muszą być pod kontrolą również wówczas, gdy są niszczone. Zdecydowanie polecamy więc niszczarki!

Coraz powszechniejszą formą utylizacji dokumentów, jest wykorzystywanie do tego celu wyspecjalizowanych firm zewnętrznych, które dostarczają do pomieszczeń biurowych specjalne pojemniki na dokumenty do usunięcia. Zanim jednak zdecydujemy się na konkretną firmę i powierzymy jej usuwanie naszych danych, warto ją dokładnie sprawdzić, gdyż może się okazać (a takie przypadki już miały miejsce!), że dane, które miały być spalone lub rozdrobnione, trafią do przydrożnego lasu.

Na koniec warto jeszcze wspomnieć o usuwaniu danych z nośników elektronicznych – telefonów czy komputerów. Często z niewiedzy, wygody lub nawet lenistwa użytkownicy jedynie formatują lub defragmentują urządzenie przed przekazaniem go poza organizację, np. do serwisu naprawczego. Okazuje się jednak, że to jedynie pozorne wykasowanie danych. W praktyce osoby postronne mogą w łatwy sposób je odtworzyć i wykorzystać. Aby właściwie usunąć dane należy skorzystać ze specjalnego oprogramowania do usuwania danych lub, w ostateczności, dwukrotnie zapisać nośnik treścią niezawierającą danych osobowych, a następnie usunąć całą zawartość.

Sprawna komunikacja i czynnik ludzki

Większości z powyższych incydentów można z powodzeniem uniknąć lub znacznie ograniczyć ich negatywne skutki poprzez faktyczne wdrożenie procedur określonych w dokumentacji ochrony danych osobowych. Wystarczy regularnie szkolić pracowników przetwarzających dane i na bieżąco weryfikować, czy wdrożone procedury faktycznie działają, np. poprzez audyt ochrony danych. Ważnym elementem jest również uświadomienie pracownikom istoty ochrony informacji oraz konieczności zgłaszania wszelkich zaistniałych incydentów. Warto też jasno określić, z kim i w jaki sposób każdy pracownik powinien się w tej sprawie kontaktować. Bez sprawnej komunikacji z osobą odpowiedzialną za nadzór nad systemem ochrony danych trudno liczyć na właściwe bezpieczeństwo przetwarzanych danych.

Konrad Gałaj-Emiliańczyk, Ekspert ds. danych osobowych