LexDigital

Wyciek danych osobowych z firmy. Jak się zabezpieczyć?

Przepisy RODO zobowiązują wszystkie firmy przetwarzające dane osobowe do zapewnienia należytych standardów bezpieczeństwa. Przedsiębiorcy przetwarzający dane muszą podjąć szereg środków mających zapewnić odpowiednie zabezpieczenie danych przed ich wyciekiem - zwłaszcza przypadkowym lub celowym zniszczeniem czy nieuprawnionym dostępem osób postronnych.

Wyciek danych osobowych z firmy. Jak się zabezpieczyć?

Wyciek danych osobowych

Normy prawne RODO nie zawierają definicji pojęcia „wyciek danych”. Jednocześnie przez „naruszenie ochrony danych osobowych” nakazują rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Należy więc tutaj zaliczyć wszelkie przypadki stanowiące zagrożenie dla osób, których przetwarzane dane dotyczą, np. zgubienie przez księgową niezaszyfrowanego pendrive’a, na którym znajduje się lista prac pracowników, czy też przypadkową utylizację przy pomocy niszczarki dokumentacji medycznej pacjenta kliniki. Jak widać, wyciek danych na gruncie RODO musimy rozumieć znacznie szerzej niż tylko jako skutek ataku hakerskiego, są to bowiem wszelkie sytuacje powodujące poważne zagrożenie dla osób, których dane dotyczą.

wyciek danych, bezpieczeństwo danych osobowych, RODO

Sprawdź nasz artykuł: Wyciek danych osobowych – jakie działania powinien podjąć Administrator danych w celu minimalizacji skutków wycieku danych


Kradzież tożsamości i inne skutki wycieku danych

Zapewnienie przez każdego przedsiębiorcę ochrony przetwarzanym danym osobowym jest o tyle istotne, że wiąże się z poważnymi konsekwencjami w przypadku wycieku danych. W trakcie prac nad RODO dostrzeżono ten problem i wskazano, że przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub innymi znacznymi szkodami gospodarczymi lub społecznymi.

W wyniku wycieku danych może więc dojść np. do wyłudzenia kredytu w imieniu osoby, której dane skradziono czy w inny sposób bezprawnie uzyskano, wynajęcia mieszkania czy pokoju w hotelu, dokonania zakupów w Internecie, zawarcia niekorzystnych umów, ale również zamieszczenia w Internecie bezprawnych i obraźliwych treści. W konsekwencji osoba, której dane dotyczą, może popaść w znaczne zadłużenie, a różne inne podmioty mogą wysuwać względem niej roszczenia finansowe, czy też zarzucać popełnienie przestępstwa.

Data Leak Prevention

Z uwagi na wyżej opisane zagrożenia, przedsiębiorca powinien wdrożyć w swoim przedsiębiorstwie odpowiednie środki bezpieczeństwa, które ochronić go będą przed wyciekiem danych. W tym aspekcie warto zwrócić uwagę na istniejące na rynku szczególne rozwiązania i technologie informatyczne, których wdrożenie ma zabezpieczać przed kradzieżą lub wyciekiem danych osobowych, czyli tzw. Data Leak Prevention (także Data Loss Prevention – DLP).  Zapewniają one ochronę przed utratą danych, zagrożeniami takimi jak przykładowo złośliwe oprogramowanie do kradzieży danych, hakerami, czy przypadkową utratą danych.

Sprawdź nasz artykuł: Udostępnianie danych osobowych bez zgody


Szyfrowanie i pseudonimizacja

Z przepisów RODO wprost wynika obowiązek administratora (lub podmiotu przetwarzającego) oszacowania ryzyka właściwego dla przetwarzania oraz wdrożenia środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Działania te są podejmowane przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu kontekstu i celów przetwarzania, jak również ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Do podstawowych zabezpieczeń minimalizujących ryzyko naruszenia ochrony danych należą szyfrowanie i pseudonimizacja. Szyfrowanie danych to sposób zabezpieczenia danych, który polega na tym, że przekazana informacja jest zrozumiała wyłącznie dla osoby uprawnionej do dostępu do tej informacji, z uwagi na zastosowanie mechanizmu kodowania informacji. W rezultacie osoba postronna, która nie posiada tzw. kluczu dekodującego, nie ma możliwości dostępu do treści tej informacji. Z kolei pseudonimizacja jest swego rodzaju nowością na gruncie przepisów i oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Odróżnia więc ją to od anonimizacji, która w sposób nieodwracalny uniemożliwia identyfikację osoby (np. poprzez zamazanie czarnym markerem danych osobowych w tekście).

Sprawdź nasz artykuł: Kradzież danych osobowych w internecie


Inne środki minimalizujące ryzyko

RODO zawiera ponadto wyliczenie innych przykładowych środków technicznych i organizacyjnych, które mogą służyć zapewnieniu stopnia bezpieczeństwa odpowiadającego ryzyku. Zgodnie z nowymi przepisami, administrator (lub podmiot przetwarzający) jest zobowiązany zapewnić także:

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, administrator (lub podmiot przetwarzający) uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, zwłaszcza wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Klauzula poufności

Każdy z administratorów danych (czy podmiotów przetwarzających) powinien pamiętać o tym, że jedną z możliwych przyczyn wycieku danych jest przypadkowe lub celowe działanie pracowników mających dostęp do tych danych. W związku z tym zasadne na gruncie RODO staje się, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy (chyba że podlegają już odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy).

Powinno to mieć miejsce jeszcze przed rozpoczęciem świadczenia pracy i zostać udokumentowane w formie pisemnej. W tym celu warto podpisać osobną umowę lub w zawrzeć klauzulę poufności w umowie o współpracy. Jednocześnie warto zastrzec, że dotyczy to nie tylko pracowników w rozumieniu kodeksu pracy, ale również współpracowników, zleceniobiorców, jak również osoby wykonujące umowy o dzieło, jeżeli tylko mogą mieć dostęp do przetwarzanych przez administratora danych osobowych.

Cyberbezpieczeństwo 

Na podstawie powyższych regulacji należy dojść do wniosku, że obowiązkiem każdego administratora danych jest m.in. zapewnienie cyberbezpieczeństwa, które polega na zagwarantowaniu bezpieczeństwa danych elektronicznych oraz procesów ich przetwarzania w systemach informatycznych. Ważne jest więc posiadanie programów antywirusowych czy firewall, ale również wyeliminowanie niewłaściwych praktyk, jak np. przyklejanie przez pracowników na monitorach od komputerów haseł dostępu czy też włączenie opcji zapamiętywania haseł przez poszczególne programy/przeglądarki. Standardem powinno być również szyfrowanie dysków, na których przechowywane są dane osobowe. Wszystkie te działania mogą bowiem znacząco obniżyć prawdopodobieństwo naruszenia ochrony danych.

Przeczytaj także: Zgoda na wykorzystanie wizerunku

Kara administracyjna

Naruszenie przepisów dotyczących wdrożenia odpowiednich środków technicznych i organizacyjnych stanowi przesłankę do nałożenia administracyjnej kary pieniężnej w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jeżeli 2% tego obrotu przewyższy kwotę 10 000 000 euro, górną granicę stanowi wyższa z kwot. Dlatego też nie warto zwlekać z działaniami mającymi na celu zapewnienie przetwarzanym danym odpowiednich zabezpieczeń przed wyciekiem – może bowiem to spowodować nie tylko konieczność uiszczenia wysokiej kary, ale przede wszystkim utratę renomy i dobrego wizerunku firmy.


Sprawdź również:


Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk