LexDigital

Wyciek danych osobowych z firmy. Jak się zabezpieczyć?

Przepisy RODO zobowiązują wszystkie firmy przetwarzające dane osobowe do zapewnienia należytych standardów bezpieczeństwa. Przedsiębiorcy przetwarzający dane muszą podjąć szereg środków mających zapewnić odpowiednie zabezpieczenie danych przed ich wyciekiem - zwłaszcza przypadkowym lub celowym zniszczeniem czy nieuprawnionym dostępem osób postronnych.

Wyciek danych osobowych z firmy. Jak się zabezpieczyć?

Wyciek danych osobowych

Normy prawne RODO nie zawierają definicji pojęcia „wyciek danych”. Jednocześnie przez „naruszenie ochrony danych osobowych” nakazują rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Należy więc tutaj zaliczyć wszelkie przypadki stanowiące zagrożenie dla osób, których przetwarzane dane dotyczą, np. zgubienie przez księgową niezaszyfrowanego pendrive’a, na którym znajduje się lista prac pracowników, czy też przypadkową utylizację przy pomocy niszczarki dokumentacji medycznej pacjenta kliniki. Jak widać, wyciek danych na gruncie RODO musimy rozumieć znacznie szerzej niż tylko jako skutek ataku hakerskiego, są to bowiem wszelkie sytuacje powodujące poważne zagrożenie dla osób, których dane dotyczą.

Kradzież tożsamości i inne skutki wycieku danych

Zapewnienie przez każdego przedsiębiorcę ochrony przetwarzanym danym osobowym jest o tyle istotne, że wiąże się z poważnymi konsekwencjami w przypadku wycieku danych. W trakcie prac nad RODO dostrzeżono ten problem i wskazano, że przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub innymi znacznymi szkodami gospodarczymi lub społecznymi.

W wyniku wycieku danych może więc dojść np. do wyłudzenia kredytu w imieniu osoby, której dane skradziono czy w inny sposób bezprawnie uzyskano, wynajęcia mieszkania czy pokoju w hotelu, dokonania zakupów w Internecie, zawarcia niekorzystnych umów, ale również zamieszczenia w Internecie bezprawnych i obraźliwych treści. W konsekwencji osoba, której dane dotyczą, może popaść w znaczne zadłużenie, a różne inne podmioty mogą wysuwać względem niej roszczenia finansowe, czy też zarzucać popełnienie przestępstwa.

Data Leak Prevention

Z uwagi na wyżej opisane zagrożenia, przedsiębiorca powinien wdrożyć w swoim przedsiębiorstwie odpowiednie środki bezpieczeństwa, które ochronić go będą przed wyciekiem danych. W tym aspekcie warto zwrócić uwagę na istniejące na rynku szczególne rozwiązania i technologie informatyczne, których wdrożenie ma zabezpieczać przed kradzieżą lub wyciekiem danych osobowych, czyli tzw. Data Leak Prevention (także Data Loss Prevention – DLP).  Zapewniają one ochronę przed utratą danych, zagrożeniami takimi jak przykładowo złośliwe oprogramowanie do kradzieży danych, hakerami, czy przypadkową utratą danych.

Szyfrowanie i pseudonimizacja

Z przepisów RODO wprost wynika obowiązek administratora (lub podmiotu przetwarzającego) oszacowania ryzyka właściwego dla przetwarzania oraz wdrożenia środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Działania te są podejmowane przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu kontekstu i celów przetwarzania, jak również ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Do podstawowych zabezpieczeń minimalizujących ryzyko naruszenia ochrony danych należą szyfrowanie i pseudonimizacja. Szyfrowanie danych to sposób zabezpieczenia danych, który polega na tym, że przekazana informacja jest zrozumiała wyłącznie dla osoby uprawnionej do dostępu do tej informacji, z uwagi na zastosowanie mechanizmu kodowania informacji. W rezultacie osoba postronna, która nie posiada tzw. kluczu dekodującego, nie ma możliwości dostępu do treści tej informacji. Z kolei pseudonimizacja jest swego rodzaju nowością na gruncie przepisów i oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Odróżnia więc ją to od anonimizacji, która w sposób nieodwracalny uniemożliwia identyfikację osoby (np. poprzez zamazanie czarnym markerem danych osobowych w tekście).

Inne środki minimalizujące ryzyko

RODO zawiera ponadto wyliczenie innych przykładowych środków technicznych i organizacyjnych, które mogą służyć zapewnieniu stopnia bezpieczeństwa odpowiadającego ryzyku. Zgodnie z nowymi przepisami, administrator (lub podmiot przetwarzający) jest zobowiązany zapewnić także:

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, administrator (lub podmiot przetwarzający) uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, zwłaszcza wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Klauzula poufności

Każdy z administratorów danych (czy podmiotów przetwarzających) powinien pamiętać o tym, że jedną z możliwych przyczyn wycieku danych jest przypadkowe lub celowe działanie pracowników mających dostęp do tych danych. W związku z tym zasadne na gruncie RODO staje się, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy (chyba że podlegają już odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy).

Powinno to mieć miejsce jeszcze przed rozpoczęciem świadczenia pracy i zostać udokumentowane w formie pisemnej. W tym celu warto podpisać osobną umowę lub w zawrzeć klauzulę poufności w umowie o współpracy. Jednocześnie warto zastrzec, że dotyczy to nie tylko pracowników w rozumieniu kodeksu pracy, ale również współpracowników, zleceniobiorców, jak również osoby wykonujące umowy o dzieło, jeżeli tylko mogą mieć dostęp do przetwarzanych przez administratora danych osobowych.

Cyberbezpieczeństwo 

Na podstawie powyższych regulacji należy dojść do wniosku, że obowiązkiem każdego administratora danych jest m.in. zapewnienie cyberbezpieczeństwa, które polega na zagwarantowaniu bezpieczeństwa danych elektronicznych oraz procesów ich przetwarzania w systemach informatycznych. Ważne jest więc posiadanie programów antywirusowych czy firewall, ale również wyeliminowanie niewłaściwych praktyk, jak np. przyklejanie przez pracowników na monitorach od komputerów haseł dostępu czy też włączenie opcji zapamiętywania haseł przez poszczególne programy/przeglądarki. Standardem powinno być również szyfrowanie dysków, na których przechowywane są dane osobowe. Wszystkie te działania mogą bowiem znacząco obniżyć prawdopodobieństwo naruszenia ochrony danych.

Kara administracyjna

Naruszenie przepisów dotyczących wdrożenia odpowiednich środków technicznych i organizacyjnych stanowi przesłankę do nałożenia administracyjnej kary pieniężnej w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jeżeli 2% tego obrotu przewyższy kwotę 10 000 000 euro, górną granicę stanowi wyższa z kwot. Dlatego też nie warto zwlekać z działaniami mającymi na celu zapewnienie przetwarzanym danym odpowiednich zabezpieczeń przed wyciekiem – może bowiem to spowodować nie tylko konieczność uiszczenia wysokiej kary, ale przede wszystkim utratę renomy i dobrego wizerunku firmy.


Sprawdź również:


Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.