LexDigital

Wyciek danych osobowych z firmy. Jak się zabezpieczyć?

Przepisy RODO zobowiązują wszystkie firmy przetwarzające dane osobowe do zapewnienia należytych standardów bezpieczeństwa. Przedsiębiorcy przetwarzający dane muszą podjąć szereg środków mających zapewnić odpowiednie zabezpieczenie danych przed ich wyciekiem - zwłaszcza przypadkowym lub celowym zniszczeniem czy nieuprawnionym dostępem osób postronnych.

Wyciek danych osobowych z firmy. Jak się zabezpieczyć?

Wyciek danych osobowych

Normy prawne RODO nie zawierają definicji pojęcia „wyciek danych”. Jednocześnie przez „naruszenie ochrony danych osobowych” nakazują rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Należy więc tutaj zaliczyć wszelkie przypadki stanowiące zagrożenie dla osób, których przetwarzane dane dotyczą, np. zgubienie przez księgową niezaszyfrowanego pendrive’a, na którym znajduje się lista prac pracowników, czy też przypadkową utylizację przy pomocy niszczarki dokumentacji medycznej pacjenta kliniki. Jak widać, wyciek danych na gruncie RODO musimy rozumieć znacznie szerzej niż tylko jako skutek ataku hakerskiego, są to bowiem wszelkie sytuacje powodujące poważne zagrożenie dla osób, których dane dotyczą.

Kradzież tożsamości i inne skutki wycieku danych

Zapewnienie przez każdego przedsiębiorcę ochrony przetwarzanym danym osobowym jest o tyle istotne, że wiąże się z poważnymi konsekwencjami w przypadku wycieku danych. W trakcie prac nad RODO dostrzeżono ten problem i wskazano, że przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub innymi znacznymi szkodami gospodarczymi lub społecznymi.

W wyniku wycieku danych może więc dojść np. do wyłudzenia kredytu w imieniu osoby, której dane skradziono czy w inny sposób bezprawnie uzyskano, wynajęcia mieszkania czy pokoju w hotelu, dokonania zakupów w Internecie, zawarcia niekorzystnych umów, ale również zamieszczenia w Internecie bezprawnych i obraźliwych treści. W konsekwencji osoba, której dane dotyczą, może popaść w znaczne zadłużenie, a różne inne podmioty mogą wysuwać względem niej roszczenia finansowe, czy też zarzucać popełnienie przestępstwa.

Data Leak Prevention

Z uwagi na wyżej opisane zagrożenia, przedsiębiorca powinien wdrożyć w swoim przedsiębiorstwie odpowiednie środki bezpieczeństwa, które ochronić go będą przed wyciekiem danych. W tym aspekcie warto zwrócić uwagę na istniejące na rynku szczególne rozwiązania i technologie informatyczne, których wdrożenie ma zabezpieczać przed kradzieżą lub wyciekiem danych osobowych, czyli tzw. Data Leak Prevention (także Data Loss Prevention – DLP).  Zapewniają one ochronę przed utratą danych, zagrożeniami takimi jak przykładowo złośliwe oprogramowanie do kradzieży danych, hakerami, czy przypadkową utratą danych.

Szyfrowanie i pseudonimizacja

Z przepisów RODO wprost wynika obowiązek administratora (lub podmiotu przetwarzającego) oszacowania ryzyka właściwego dla przetwarzania oraz wdrożenia środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Działania te są podejmowane przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu kontekstu i celów przetwarzania, jak również ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Do podstawowych zabezpieczeń minimalizujących ryzyko naruszenia ochrony danych należą szyfrowanie i pseudonimizacja. Szyfrowanie danych to sposób zabezpieczenia danych, który polega na tym, że przekazana informacja jest zrozumiała wyłącznie dla osoby uprawnionej do dostępu do tej informacji, z uwagi na zastosowanie mechanizmu kodowania informacji. W rezultacie osoba postronna, która nie posiada tzw. kluczu dekodującego, nie ma możliwości dostępu do treści tej informacji. Z kolei pseudonimizacja jest swego rodzaju nowością na gruncie przepisów i oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Odróżnia więc ją to od anonimizacji, która w sposób nieodwracalny uniemożliwia identyfikację osoby (np. poprzez zamazanie czarnym markerem danych osobowych w tekście).

Inne środki minimalizujące ryzyko

RODO zawiera ponadto wyliczenie innych przykładowych środków technicznych i organizacyjnych, które mogą służyć zapewnieniu stopnia bezpieczeństwa odpowiadającego ryzyku. Zgodnie z nowymi przepisami, administrator (lub podmiot przetwarzający) jest zobowiązany zapewnić także:

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, administrator (lub podmiot przetwarzający) uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, zwłaszcza wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Klauzula poufności

Każdy z administratorów danych (czy podmiotów przetwarzających) powinien pamiętać o tym, że jedną z możliwych przyczyn wycieku danych jest przypadkowe lub celowe działanie pracowników mających dostęp do tych danych. W związku z tym zasadne na gruncie RODO staje się, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy (chyba że podlegają już odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy).

Powinno to mieć miejsce jeszcze przed rozpoczęciem świadczenia pracy i zostać udokumentowane w formie pisemnej. W tym celu warto podpisać osobną umowę lub w zawrzeć klauzulę poufności w umowie o współpracy. Jednocześnie warto zastrzec, że dotyczy to nie tylko pracowników w rozumieniu kodeksu pracy, ale również współpracowników, zleceniobiorców, jak również osoby wykonujące umowy o dzieło, jeżeli tylko mogą mieć dostęp do przetwarzanych przez administratora danych osobowych.

Cyberbezpieczeństwo 

Na podstawie powyższych regulacji należy dojść do wniosku, że obowiązkiem każdego administratora danych jest m.in. zapewnienie cyberbezpieczeństwa, które polega na zagwarantowaniu bezpieczeństwa danych elektronicznych oraz procesów ich przetwarzania w systemach informatycznych. Ważne jest więc posiadanie programów antywirusowych czy firewall, ale również wyeliminowanie niewłaściwych praktyk, jak np. przyklejanie przez pracowników na monitorach od komputerów haseł dostępu czy też włączenie opcji zapamiętywania haseł przez poszczególne programy/przeglądarki. Standardem powinno być również szyfrowanie dysków, na których przechowywane są dane osobowe. Wszystkie te działania mogą bowiem znacząco obniżyć prawdopodobieństwo naruszenia ochrony danych.

Kara administracyjna

Naruszenie przepisów dotyczących wdrożenia odpowiednich środków technicznych i organizacyjnych stanowi przesłankę do nałożenia administracyjnej kary pieniężnej w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jeżeli 2% tego obrotu przewyższy kwotę 10 000 000 euro, górną granicę stanowi wyższa z kwot. Dlatego też nie warto zwlekać z działaniami mającymi na celu zapewnienie przetwarzanym danym odpowiednich zabezpieczeń przed wyciekiem – może bowiem to spowodować nie tylko konieczność uiszczenia wysokiej kary, ale przede wszystkim utratę renomy i dobrego wizerunku firmy.


Sprawdź również:


Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.