Naruszenia w pigułce. Jak im zapobiegać oraz jak na nie reagować.

zgłoszenie naruszenia

Każdy przedsiębiorca w ramach prowadzonej przez siebie działalności, przetwarza dane osobowe
w mniejszym bądź większym zakresie. Czynności wykonywane na danych, niezależnie czy są one
w formie papierowej czy elektronicznej, wiążą się z pewnym z ryzykiem wystąpienia incydentu bezpieczeństwa lub naruszenia ochrony danych osobowych (pomimo podobnego nazewnictwa różnice między nimi są znaczące, o czym wkrótce). Sytuacje te mogą być związane zarówno z działaniem umyślnym jak i nieumyślnym, dotyczyć błędów ludzkich czy awarii systemów. Wszystkie te sytuacje wymagają przeanalizowania i podjęcia stosownych kroków, by zażegnać niebezpieczeństwo. Przygotowany dla Ciebie tekst pozwoli Ci w prosty sposób nie tylko reagować na incydenty, ale również pomoże Ci ich uniknąć w przyszłości.

Incydent bezpieczeństwa – odrobina teorii

Są to wszystkie zdarzenia, świadome i nieświadome, które mogą prowadzić do zagrożenia dla poufności, dostępności, integralności, czyli uogólniając, bezpieczeństwa informacji. Mówimy więc zarówno o atakach hackerskich na firmę, czy kradzieży służbowych laptopów lub dokumentów w formie papierowej, ale i o sytuacjach znacznie bardziej prozaicznych i zdarzających się częściej. Na przykład zgubienie firmowego pendrive’a, przesłanie e-maila zawierającego dane osobowe niewłaściwemu odbiorcy, przypadkowe zniszczenie potrzebnego dokumentu. Czy oznacza to, że wszystkie te sytuacje są sobie równe i należy zgłaszać je do Urzędu Ochrony Danych Osobowych? Absolutnie nie, ale o tym już za chwilę.

Czy każdy Incydent stanowi Naruszenie?

Tak jak już to zostało wspomniane wcześniej, incydent bezpieczeństwa oraz naruszenie danych to pomimo podobnego nazewnictwa, zasadniczo różniące się sytuacje. Posiłkując się definicją wprowadzoną przez RODO – naruszeniem danych osobowych jest naruszenie bezpieczeństwa danych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Co to w praktyce oznacza? Najprościej rzecz ujmując, że nie każdy incydent, o którym mówiliśmy wcześniej, będzie stanowił naruszenie ochrony danych osobowych.

Żeby mówić o naruszeniu, incydent musi wywierać niekorzystny wpływ na osobę, której dane dotyczą. Tylko w przypadku stwierdzenia naruszenia przedsiębiorca (Administrator) będzie zobligowany, by zgłosić je do Prezesa UODO. W każdym innym przypadku, zdarzenia te musi jedynie odnotować
w wewnętrznym rejestrze incydentów. Zobrazujmy to na przykładzie:

  • Pracownik zgubił pendrive. Dane, które na nim były zawierały listę płac. Pendrive oraz poszczególne pliki miały jednak hasło. INCYDENT (do wewnętrznego rejestru).
  • Osoba w firmie przesłała faktury na zły adres e-mail, należący do przypadkowej osoby spoza firmy. NARUSZENIE (możliwość obowiązku zgłoszenia do Urzędu Ochrony Danych Osobowych).

Brak działania to również działanie

Bardzo ważną rolę w procesie kontrolowania incydentów odgrywają pracownicy firmy. To oni na co dzień pracują na danych osobowych i „testują” wewnętrzne procedury w praktyce. Raportowanie Administratorowi podejrzanych sytuacji, nawet gdy nie ma pewności, czy stanowią one incydent, ma kluczowe znaczenie. Dlaczego? Administrator jest zobowiązany do prowadzenia rejestru incydentów. Pojawienie się więc incydentu nie będzie powodowało negatywnych konsekwencji ani dla Administratora ani dla pracowników TYLKO jeśli takie zdarzenie zostanie odnotowane. Brak działania
(w tym wypadku zgłoszenia do Administratora prawdopodobnego incydentu) będzie wiązał się uniemożliwieniem mu wypełnienia obowiązku, związanego z prowadzeniem rejestru,
a w konsekwencji może spowodować nałożenie na niego kary finansowej. Jak więc możemy zauważyć, raportowanie wszelkich incydentów jest kluczowe i nie niesie za sobą żadnych negatywnych konsekwencji.
Na późniejszym etapie Administrator będzie musiał rozstrzygnąć, czy dany incydent stanowi również naruszenie ochrony danych osobowych, czy będzie musiał zgłosić go do Prezesa UODO oraz – w niektórych przypadkach – poinformować o nim osoby, których dane dotyczą. Czas również ma tu kluczowe znaczenie, gdyż zgłoszenie musi zostać dokonane w przeciągu 72h od stwierdzenia naruszenia.

Lepiej zapobiegać niż leczyć

Do tej pory mówiliśmy jedynie o tym, jakie kroki podjąć, gdy już będziemy mieli do czynienia
z incydentem bezpieczeństwa. Warto jednak zastanowić się, co można zrobić aby problem ten w ogóle nie wystąpił lub przynajmniej zmniejszyć prawdopodobieństwo jego pojawienia się. Wbrew pozorom, by zapewnić bezpieczeństwo danych osobowych w firmie, nie zawsze konieczne jest wdrażanie bardzo kosztownych systemów i zabezpieczeń. Dużo ważniejsza jest tutaj sama świadomość pracowników firmy, którzy wiedzą, w jaki sposób zapobiegać incydentom. Z tego właśnie powodu przygotowany został dla Was krótki poradnik o tym, jak zapobiec incydentom w 5 prostych krokach.

  1. Wiadomości e-mailowe, które zawierają dane osobowe (listy pracowników, płac, kandydatów, klientów itd.) zabezpieczaj hasłem. Jeśli taka wiadomość zostanie błędnie wysłana przypadkowej osobie, nie będzie miała ona możliwości odczytać danych osobowych. Będzie to wówczas Incydent, a nie Naruszenie. Hasło prześlij odbiorcy inną drogą np. SMS-em.
  2. Koniec karteczek z hasłami. Każdy komputer w firmie powinien zostać zaopatrzony w hasło, które zna jedynie uprawniony pracownik. Nie zda to jednak egzaminu, jeśli spisane na kartce hasło będzie znajdowało się w okolicy (przyklejone do komputera, biurka, klawiatury).
  3. Gdy kończysz pracę, wyloguj się oraz przenieś dokumentację z biurka do zamykanej szafki. Jest to szczególnie ważne, gdy sprzątanie biura odbywa się bez obecności pracowników. Dane osobowe w formie faktur, czy CV, mogą łatwo znaleźć się na śmietniku, a od tego bardzo krótka chwila do konieczności zgłoszenia naruszenia.
  4. Przynajmniej raz w miesiącu zmieniaj hasła. Może być to uciążliwe, jednak jest koniecznością, jeśli chcemy zapewnić wyższy standard bezpieczeństwa. Oprócz samej regularności ważne jest też samo hasło. Zdecydowanie odradzamy te, które brzmią „admin”, „12345”, czy „imię.nazwisko”, gdyż nie stanowią żadnej trudności dla osoby, która będzie chciała je złamać. Zalecamy losową kombinację liter i cyfr oraz stosowanie znaków specjalnych takich jak @#$%.
  5. Gdy tylko to możliwe – korzystaj z uwierzytelniania dwuetapowego. Coraz więcej aplikacji umożliwia połączenie swojego konta z telefonem, dzięki czemu chcąc się zalogować, wymagane będzie podanie kodu generowanego przez telefon. To krok milowy w kwestii bezpieczeństwa nie tylko danych, które przetwarzamy, ale również naszych. Nawet
    w przypadku, gdy ktoś złamie nasze hasło do skrzynki mailowej, czy portalu społecznościowego, nie będzie mógł się zalogować, jeśli nie posiada kodu z aplikacji uwierzytelniającej na naszym telefonie.

Oczywiście te kilka kroków nie zagwarantuje całkowitego bezpieczeństwa danym osobowym przetwarzanym w firmie, ale z pewnością zmniejszy ryzyko ich utracenia, nieuprawnionego udostępnienia, czy modyfikacji. A to już dobry początek.

Oskar Zacharski

About Redakcja 320 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.