W ochronie danych osobowych szczególnie ważne są dwie kwestie - występowanie zagrożeń bezpieczeństwa danych osobowych oraz incydenty związane z ich ochroną. Każda z osób zatrudnionych w firmie ma obowiązek poinformowania ABI-ego o stwierdzeniu zagrożenia lub naruszenia ochrony danych osobowych. Na czym polega incydent w ochronie danych osobowych oraz jak mu przeciwdziałać? Wyjaśniamy poniżej.
Zagrożenia bezpieczeństwa danych osobowych
Do podstawowych zagrożeń związanych z bezpieczeństwem danych osobowych należy zaliczyć:
-
nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł itd.),
-
niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
-
nieodpowiednie zabezpieczenie sprzętu IT czy oprogramowania przed wyciekiem lub utratą danych osobowych.
Walka z zagrożeniami bezpieczeństwa danych osobowych
W przypadku, gdy w firmie zostaną stwierdzone zagrożenia bezpieczeństwa danych osobowych, ABI (Administrator Bezpieczeństwa Informacji) ma obowiązek przeprowadzenia postępowania wyjaśniającego, w trakcie którego należy:
-
ustalić zakres i przyczyny zagrożenia oraz jego ewentualne skutki,
-
zainicjować ewentualne działania dyscyplinarne,
-
zarekomendować działania zmierzające do eliminacji podobnych zagrożeń w przyszłości,
-
udokumentować prowadzone postępowania.
Incydent w ochronie danych osobowych - definicja
Ustawa o ochronie danych osobowych nie definiuje wprost, czym jest incydent w ochronie danych osobowych. Szczegółowe wyjaśnienie tego pojęcia można odnaleźć w normie PN-ISO/ IEC 27001. Zgodnie z jej treścią przez incydent związany z bezpieczeństwem informacji należy rozumieć pojedyncze zdarzenie lub serię niepożądanych albo niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.
Można wyróżnić trzy zasadnicze grupy incydentów w ochronie danych osobowych:
-
umyślne incydenty (np. kradzież danych i sprzętu, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie danych, włamanie do systemu informatycznego lub pomieszczeń),
-
zdarzenia losowe wewnętrzne (np. awaria komputera/serwera/dysku twardego/oprogramowania, pomyłki informatyków, utrata danych),
-
zdarzenia losowe zewnętrzne (np. pożar, zalanie wodą, utrata zasilania, utrata łączności).
Incydent w ochronie danych osobowych - praktyczne przykłady
Nieprawidłowe zaadresowanie korespondencji elektronicznej
Skrzynki mailowe obecnie są wyposażone w możliwość zapisywania adresów. Jest to bardzo przydatna funkcjonalność, która jednak może spowodować, że powstanie incydent w ochronie danych osobowych. Bowiem podczas przygotowywania maila do wysyłki korzysta się z funkcji podpowiadania adresów mailowych, co często usypia czujność nadawcy, który nie weryfikuje ich poprawności.
Nieukrywanie adresów mailowych przy wysyłce masowej
Podczas masowej wysyłki elektronicznych listów (maili) należy pamiętać, by korzystać z funkcji ukrywania poszczególnych odbiorców (poza głównym). Bowiem ich upublicznienie może się wiązać się z przykrymi konsekwencjami i z naruszeniem wizerunku firmy, która te dane udostępniła.
Utrata nośników danych
Telefony, smartfony, laptopy, przenośne dyski czy chociażby zwykłe teczki z papierowymi dokumentami są nośnikami danych osobowych. Ich utrata, czyli kradzież lub zgubienie należy zakwalifikować jako incydent w ochronie danych osobowych. Na tego typu nośnikach znajduje się wiele wrażliwych informacji, które o ile nie są dobrze zaszyfrowane, mogą trafić w niepowołane ręce. Najdoskonalszym tego przykładem może być prywatny smartfon pracownika, skonfigurowany z jego firmową pocztą, na której znajdują się adresy mailowe, dane kontrahentów itp.
Każdą utratę nośników danych osobowych należy zgłosić Administratorowi Bezpieczeństwa Informacji.
Nieprawidłowe usunięcie danych
Często w firmach pracownicy niszczą dokumenty w wersji papierowej poprzez ich przedarcie i wyrzucenie do kosza na śmieci, znajdującego się pod biurkiem. Nie jest to dobre rozwiązanie, bowiem wbrew pozorom tego typu dokumenty można odzyskać. W celu prawidłowego usunięcia danych osobowych, mających postać wersji papierowej, należy skorzystać z niszczarki.
Natomiast w przypadku elektronicznych nośników należałoby skorzystać ze specjalistycznego oprogramowania do usuwania danych.
Co zrobić gdy wykryto incydent w ochronie danych osobowych?
W przypadku stwierdzenia incydentu w ochronie danych osobowych ABI przeprowadza postępowanie wyjaśniające, w toku którego musi:
-
ustalić czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,
-
zabezpieczyć ewentualne dowody,
-
ustalić osoby odpowiedzialne za naruszenie,
-
podjąć działania naprawcze (usunięcie skutków incydentu i ograniczenie szkody),
-
zainicjować działania dyscyplinarne,
-
wyciągnąć wnioski i rekomendować działania korygujące, które będą zmierzać do wyeliminowania prawdopodobieństwa, że w przyszłości wystąpi podobny incydent w ochronie danych osobowych,
-
udokumentować prowadzone postępowanie.
Reasumując, każda firma (lub inny podmiot) przetwarzająca dane osobowe powinna wyczulić swoich pracowników na kwestie związane z ochroną danych osobowych tak, by w razie wystąpienia zagrożeń lub incydentów związanych z ochroną danych osobowych, byli w stanie prawidłowo je zidentyfikować i zgłosić swojemu przełożonemu lub ABI-emu.
