Spis treści
Każdego z przedsiębiorców łączy z pewnością jedna rzecz – mają pod sobą pracowników, z którymi stosunek prawny kreuje umowa. Co za tym idzie, właściciele firm mają dostęp do ich danych osobowych i to na przedsiębiorcach spoczywa obowiązek ochrony tych informacji. Jeśli chcesz pozbyć się ryzyka naruszenia praw lub wolności osób fizycznych w swojej firmie i zapewnić bezpieczeństwo sobie i im, to ten artykuł jest właśnie dla Ciebie!
Czym są dane osobowe?
O RODO (Rozporządzenie Parlamentu Europejskiego o Ochronie Danych Osobowych z 25 maja 2018 r.) pisaliśmy już w artykule: RODO w sklepie internetowym. Dlatego w tym fragmencie skupimy się bardziej na tym, czym są dane osobowe. Zgodnie z definicją Komisji Europejskiej są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej.
Prawa osób, których dane dotyczą
Jako pracodawca powinieneś wiedzieć, jakie prawa mają Twoi pracownicy, których dane przechowujesz. Zgodnie z powszechnie obowiązującymi przepisami osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy dane jej dotyczące są przetwarzane. Jeżeli tak, to ma ona prawo uzyskać do nich dostęp i do informacji m.in. w jakim celu są przetwarzane. Poza tym dla osoby, której dane dotyczą, są ustanowione następujące prawa, do:
- sprostowania danych, gdy są nieprawidłowe
- usunięcia danych – trzeba jednak spełnić pewne warunki, tj. gdy następuje cofnięcie zgody, zawierające dane są niepoprawne itp.
- ograniczenia przetwarzania – zgoda na przetwarzanie danych może być cofnięta lub ograniczona
- poinformowania przez administratora o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania
- przenoszenia danych
- sprzeciwu
Nie daj się złowić!
Często zdarza się, że jesteśmy bardziej czujni w naszej prywatnej poczcie niż w firmowej. Normą jest, że na firmową skrzynkę potrafią przychodzić wiadomości od współpracowników, których nawet osobiście nie znamy. To wszystko sprawia, że nasza ostrożność spada. Dostajemy mail i nie sprawdzamy dokładnie adresów. A czasem wystarczy jedna literówka w domenie adresu i może wyjść na jaw, że poluje na nas cyberprzestępca.
Szkolenie czy połów?
Jednak czasem jest zupełnie odwrotnie. Na swojej firmowej skrzynce jesteśmy podwójnie czujni, a swojej prywatnej tak nie kontrolujemy. Nie ulega wątpliwości, że praca zdalna nieuchronnie zmieniła zasady działania wielu firm. Tak też było w firmie, w której pracowałam. Na początku pandemii wprowadziła ona zdalne szkolenia i w tym celu na moją pocztę przyszedł mail od szkoleniowca. Ku mojemu zaskoczeniu miał bardzo niestandardową formę. Nadawca zaprosił mnie na szkolenie i dodatkowo chciał, żebym w odpowiedzi na jego wiadomość umieściła:
- swoje zdjęcie
- informacje o ukończonej szkole
- namiar na swój prywatny e-mail
Nie są to standardowe rzeczy, o które prosi szkoleniowiec, dlatego postanowiłam nie odpisywać na tę wiadomość. Miałam obawy, że może to być jakiś oszust. Jak się okazało później, wiele osób z mojej pracy podjęło taką samą decyzję. W konsekwencji po pewnym czasie mój dział dostał zapytanie od przełożonej, dlaczego nie odpisaliśmy na mail szkoleniowca. W tym przypadku nie była to próba wyłudzenia informacji przez cyberprzestępcę. Jednak należy zwrócić uwagę, że forma wiadomości wyglądała na wyłudzenie danych.
Czym jest phishing?
Powyższa historia skłoniła mnie do samodzielnego zasięgnięcia informacji o pojęciu phishing. Co to jest? Jest to dość popularna metoda ataków opartych o wiadomości e-mail lub SMS. Zasady działania są proste – cyberprzestępcy podszywają się pod osoby lub firmy, w celu wyłudzenia naszych danych.
Jak się chronić przed cyberprzestępcami?
Cyberataki są dość częstym zjawiskiem, dlatego należy podjąć działania, które mogą uchronić Ciebie i Twoją firmę przed nimi. Portal gov.pl podaje następujące czynniki, które mogą świadczyć o tym, że wiadomość jest phishingowa:
- niepoprawna gramatyka, interpunkcja, pisownia, brak polskich znaków diakrytycznych
- adres mailowy nadawcy nie jest zgodny z organizacją, na jaką się powołuje
- zamieszczony logotyp lub/i stopka nie jest zgodna z firmą, na jaką powołuje się nadawca
- są użyte ogólne zwroty typu: „współpracowniku”
- zawiera ukryte zagrożenia typu: „padłeś ofiarą przestępstwa / kliknij tutaj natychmiast”
- nazwa nadawcy naśladuje osobę, którą znasz
- bank i inne instytucje nie proszą o podanie danych osobowych poprzez e-mail/sms
- urzędy administracji publicznej nie proszą o dopłaty i uregulowanie należności podatkowych
- zamieszczono skrócony link (po najechaniu na niego – bez klikania! – wyświetli się pełen adres)[1]
Co grozi za naruszenie ochrony danych?
Kiedy występuje naruszenie ochrony danych osobowych?
Występuje wtedy, gdy dane, za które odpowiada Twoja firma/organizacja, ucierpiały przez incydent zagrażający bezpieczeństwu i w wyniku tego została naruszona poufność, dostęp do danych lub ich integralność. Komisja Europejska na swojej stronie internetowej jasno sprecyzowała działania i czas reakcji w przypadku naruszenia danych osobowych:
Gdy do niego dojdzie [naruszenie danych osobowych] – i prawdopodobnie naruszenie to stwarza ryzyko dla praw i wolności osób fizycznych – Twoja firma/organizacja powinna zgłosić je organowi nadzorczemu bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia. Podmiot przetwarzający musi zgłaszać każde naruszenie ochrony danych administratorowi danych.[2]
Dlatego, żeby uniknąć takiej sytuacji: dla organizacji powinno się stać priorytetowe wdrożenie odpowiednich środków ostrożności, które będą zapobiegać możliwym naruszeniom.
Ochrona danych osobowych – jak ją zapewnić?
Kim jest administrator danych osobowych?
Administratorem danych osobowych nazywamy osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, które samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
O czym decyduje administrator danych?
Decyduje o celach i środkach przetwarzania i udostępniania danych osobowych. Zgodnie z przepisem art. 36 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, do zadań administratora danych należą:
- stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem
- prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych
Jednym z najważniejszych elementów ustawy o ochronie danych osobowych jest kwestia ich zabezpieczeń. Administrator danych osobowych jest zobowiązany do stosowania środków technicznych i organizacyjnych, których celem jest ochrona danych z uwzględnieniem zagrożenia.
Administrator danych – kto nad nim czuwa?
Kim jest ABI?
ABI, czyli Administrator Bezpieczeństwa Informacji – jest to osoba, która zapewnia przestrzeganie przepisów o ochronie danych osobowych u administratora danych. Jednakże wraz z wprowadzeniem RODO instytucja ta została zastąpiona przez Inspektora Ochrony Danych (IOD).
Kim jest IOD?
Skrót IOD oznacza Inspektor Ochrony Danych. Na niektórych administratorów danych osobowych RODO nakłada się obowiązek powołania Inspektora Ochrony Danych osobowych, czyli osoby, której zadaniem jest pomoc przy przestrzeganiu w firmie przepisów o ochronie danych. Pomaga również przy sporządzeniu oceny ryzyka, czy oceny skutku ochrony danych. Do obowiązków IOD należy między innymi doradztwo w sprawie ochrony danych osobowych, monitorowanie przestrzegania przepisów prawa zgodnie z RODO, udzielanie na żądanie zleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania zgodnie z art. 35 ust. 2 RODO. Jeżeli zdaniem IOD ochrona danych osobowych nie jest prowadzona poprawnie, to może on to zgłosić do urzędu ochrony danych osobowych. Szczegółową rozpiskę na temat usług jakie wykonuje IOD znajdziesz na stronie gov.pl w publikacji: Jakie zadania ma IOD?
Czy firmy potrzebują IOD?
Zgodnie z rozporządzeniem o ochronie danych w art. 37 ust 1 RODO przewiduje się obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO
Co może wprowadzić jednostka?
Uświadomienie pracowników o istocie zapewnienia bezpieczeństwa danych jest ważne. Jednak warto też wprowadzić nawyki, które mogą uchronić Ciebie jako jednostkę, np.:
- nie zostawiaj swoich dokumentów jako zastaw
- nie podawaj swoich danych osobowych przez telefon
- niszcz dokumenty z Twoimi danymi osobowymi nim wyrzucisz je na śmietnik
- używaj programów chroniących Twój sprzęt elektroniczny
- zmieniaj regularnie hasła dostępu
Upoważnienia do przetwarzania danych osobowych
Do przetwarzania danych osobowych mają prawo tylko te osoby, które zostały do tego upoważnione. Przepisy RODO nie mają literalnego wskazania obowiązku upoważnienia do przetwarzania danych osobowych. Nie oznacza to jednak, że administrator jest z niego zwolniony! Zasada rozliczalności zakłada, że administrator danych ma obowiązek wykazać przestrzeganie zasad ochrony danych osobowych wymienionych w art. 5 ust. 1 tj. zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu przetwarzania danych, minimalizacja danych, prawidłowość danych, ograniczenie przechowywania danych oraz integralność i poufność.
Jeśli do danych osobowych klientów będą mieć dostęp również Twoi pracownicy czy inne osoby współpracujące, koniecznie nadaj im odpowiednie upoważnienia do przetwarzania danych. Niezbędne będzie zawarcie umów powierzenia danych z ich odbiorcami, na przykład firmą informatyczną czy biurem księgowym (podmiot przetwarzający dane osobowe), które mają wgląd do danych klientów lub pracowników.
Techniczne i organizacyjne środki bezpieczeństwa
Możliwości jest wiele, można je nawet podzielić na podkategorie. W celu zabezpieczenia przetwarzania danych osobowych możesz wprowadzić:
- środki ochrony fizycznej
- środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej
- środki ochrony w ramach narzędzi programowych i baz danych
- środki organizacyjne
Środki ochrony fizycznej
Środki bezpieczeństwa fizycznego stosuje się w pomieszczeniach i obszarach, w których są przetwarzane dane. Przykładowe zabezpieczenia:
- wstawienie drzwi antywłamaniowych
- wstawienie krat w oknach, rolet, folii antywłamaniowej
- założenie systemu antywłamaniowego
- zastosowanie monitoringu
- manualne przechowywanie kopii zapasowych w sejfie
Środki organizacyjne
Zabezpieczenia, które można zastosować w Twojej firmie, to:
- do przetworzonych danych mają dostęp wyłącznie osoby do tego upoważnione
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych
- opracowanie oraz wdrożenie polityki bezpieczeństwa
- osoby zatrudnione przy przetwarzaniu danych będą posiadały znajomość przepisów prawa dotyczących ochrony danych osobowych
- polityka czystego biurka i ekranu
Zabezpieczenie sprzętu elektronicznego
Niestety z każdym rokiem liczba ataków hakerskich rośnie i nie są one tak łatwo wykrywalne jak na przykład kradzież fizyczna. Zgodnie z RODO to do przedsiębiorców należy obowiązek zabezpieczeń środowiska informatycznego w jak najlepszy sposób. Rozporządzenie to obowiązuje praktycznie wszystkich przedsiębiorców. W przypadku zabezpieczenia sprzętu elektronicznego firmy warto wprowadzić:
Oprogramowanie antywirusowe – jego zadaniem jest wykrywanie i zwalczanie wirusów komputerowych. Uchroni to Twoją firmę przed wirusami spowodowanymi np. przed ściągnięciem nieodpowiedniego oprogramowania przez Twojego pracownika.
Dostęp po wpisaniu danych logowania – wprowadzenie możliwości dostępu do danych osobowych tylko po wpisaniu identyfikatora użytkownika i hasła.
Hasła dostępu – zgodnie z obecnym stanowiskiem specjalistów ds. bezpieczeństwa z firmy Microsoft wynika, że typowe hasło nie jest już skuteczną metodą zabezpieczenia dostępu, a ich regularne zmienianie niewiele daje. Ma na to wpływ fakt, że użytkownicy sami tworzą hasła i są one często proste do odgadnięcia. Częsta zmiana hasła może sprawić, że pracownik będzie zapisywał nowe hasła i mogą być one odczytane przez innych. Jest na to rozwiązanie – można zainstalować specjalną aplikację do zarządzania wieloma hasłami (np. G DATA Password Manager). Taka aplikacja zapamiętuje hasła m.in. do sklepów internetowych, forów dyskusyjnych i kont e-mail. Dane są szyfrowane i przechowywane na dysku twardym, a dostęp do nich możesz uzyskać po wpisaniu hasła głównego do oprogramowania.
Inteligentna zapora sieciowa – zabezpieczy sieć wewnętrzną firmy. Może zatrzymać spam i zapewnić filtrowanie treści oraz zablokuje niepożądane kategorie witryn sieciowych. Oprócz tego może wytworzyć prywatną sieć VPN, która stworzy bezpieczną przestrzeń do pracy poza biurem.
Szyfrowanie danych osobowych – należy do podstawowych zabezpieczeń informatycznych, serwerów, komputerów, laptopów, telefonów, tabletów.
Kopia danych – można do tego zastosować dwa zewnętrzne dyski USB. Ważne, żeby pamiętać o weryfikacji tych kopii. Oprócz tego są też oprogramowania, które automatycznie tworzą kopię zapasową.
Szkolenia, żeby nie zawalić systemu
Pewne małżeństwo, gdy wróciło z zakupów do domu, zastało niepokojący widok – z ich mieszkania znikły wszystkie wartościowe rzeczy. Zgłosili zaistniałą sytuację na policję. Kobieta podczas relacjonowania wydarzeń w pewnym momencie westchnęła i powiedziała do policjanta: „Tydzień temu wymieniłam okna na antywłamaniowe. Szkoda tylko, że przed wyjściem ich nie zamknęłam”.
Na podstawie tego zdarzenia zapamiętaj: możesz bardzo dobrze zabezpieczyć swoją firmę, skorzystać z najlepszych usług do ochrony informacji, jednak to wszystko na nic, jeśli przez własną lub swoich współpracowników nieuwagę zostanie zaniedbana jakaś procedura. Dlatego, żeby kompleksowo zadbać o bezpieczeństwo swojej firmy, zadbaj o szkolenia z bezpieczeństwa.
[1] Źródło: gov.pl/web/baza-wiedzy/czym-jest-phishing-i-jak-nie-dac-sie-nabrac-na-podejrzane-widomosci-e-mail-oraz-sms-y stan na dzień 11.04.2022 r.
[2] Źródło: ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_pl stan na dzień 11.04.2022 r.