RODO. Czy firmom łatwo będzie naruszyć nowe przepisy?

15-03-2018, 13:21

Wyróżniamy dwie grupy naruszeń bezpieczeństwa danych osobowych - umyślne i losowe. Bez względu jednak na ich rodzaj większość “incydentów” bezpieczeństwa można przewidzieć i warto nad ich eliminacją popracować, bo po 25 maja 2018 roku na przedsiębiorców spada szczególna odpowiedzialność.

RODO w art. 4 ust.12 definiuje naruszenie bezpieczeństwa przetwarzanych danych osobowych, określając je jako prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Mamy więc jasno określony szeroki katalog incydentów dotyczących przetwarzanych danych, które powodują automatycznie powstanie naruszenia. Jak wynika z doświadczenia administratorów danych, najtrudniejsze do przewidzenia są te incydenty, które wynikają z ludzkich pomyłek i braku świadomości.

Najczęstsze incydenty

Aby w banalny sposób doszło do incydentu w ochronie danych osobowych, wystarczy źle zaadresowana korespondencja elektroniczna. Używane w skrzynkach poczty elektronicznej adresy mogą być zapisywane w pamięci podręcznej, dzięki czemu aplikacja podpowiada adres mailowy. Nie zawsze jest on weryfikowany przez wysyłających maile. W efekcie braku weryfikacji adresu korespondencja może trafić do nieuprawnionego odbiorcy. Ponadto wysyłka korespondencji masowej (np. newsletter) do wielu adresatów wymaga ukrycia adresów odbiorców, poza głównym. W przeciwnym wypadku wszyscy odbiorcy będą widzieli adresy mailowe pozostałych, a to jest już masowe upublicznienie danych osobowych. Korzystanie z opcji „UDW” – ukrytej kopii – zapobiega incydentom.

Smartfony, laptopy, pamięć mobilna, smartwatche, wydruki z życiorysami zawodowymi czy teczki z dokumentami – nośniki danych można zgubić lub też stracić w wyniku kradzieży. Są to również incydenty w ochronie danych osobowych. Jak poważny jest to problem, wystarczy przeanalizować wykorzystanie pamięci USB w firmach. Nawet 90% pracowników używa w większości pendrive’ów bez szyfru zabezpieczającego dane do zapisywania, przechowywania, kopiowania i przenoszenia między innymi danych osobowych. Aż 87% pracowników zdarzyło się przynajmniej raz zgubić pamięć flash, na której zapisane były dane firmowe! Chcąc zminimalizować ryzyko dostania się informacji w niepowołane ręce, warto je szyfrować.

Przedarcie kartki i wrzucenie jej do kosza pod biurkiem jest najczęstszą formą usunięcia danych. Jednak jeżeli dane z tej kartki, po jej „zniszczeniu” przy niewielkim wysiłku można odczytać, to mamy do czynienia z incydentem bezpieczeństwa. Dopiero użycie niszczarki do dokumentów jest procedurą prawidłową: szanse na odzyskanie danych z tak zniszczonych kartek są bardzo niewielkie. Ponadto w przypadku usuwania danych z nośników elektronicznych, nie wystarczy tylko ich skasowanie. Kopie zapasowe oraz stare typy systemów wspierających biznes przechowują dane w różnych miejscach na dyskach oraz pozwalają na kopiowanie przez użytkowników bez pozostawiania śladów. Dla prawidłowego usunięcia danych najskuteczniejsze będą przewidziane do tego specjalne aplikacje albo fizyczne zniszczenie nośnika (np. starego, nieużywanego dysku twardego).

Odpowiedzialność zarządów i właścicieli

Wdrożenie zasad ochrony danych wynikających z RODO i zapobieganie incydentom bezpieczeństwa ciąży na podmiotach przetwarzających dane. Każda firma, która dokonuje czynności na jakichkolwiek danych osobowych, jest ich administratorem. Z kolei osobami odpowiedzialnymi za podmiot są reprezentanci zarządu – jeśli takowy funkcjonuje – albo właściciele. Odpowiednie przygotowanie firmy do stosowania zasad zawartych w RODO wpływa na ograniczenie ryzyka nałożenia administracyjnych kar pieniężnych i odszkodowań dla osób fizycznych. Odpowiedzialnością finansową mogą ostatecznie zostać obciążeni członkowie zarządu, ponieważ dopuszczają to obowiązujące przepisy. Wydaje się przy tym, że stosunkowo łatwo spełnić przesłanki odpowiedzialności wobec spółki. Delegowanie obowiązków w zakresie ochrony danych osobowych na pracowników nie zwalnia członka zarządu z ponoszenia odpowiedzialności za szkodę wyrządzoną wobec spółki. Za funkcjonowanie spółki zgodnie z zasadami prawa odpowiada bowiem zarząd. Należy tu dodać, że zgodnie z regulacjami zawartymi w RODO inspektor ochrony danych pełni wyłącznie funkcję doradczą.

Autor: Tomasz Mamys, Project Manager RODO w Sage Polska


Źródło: materiał nadesłany do redakcji
To warto przeczytać






fot. HoliHo


Komentarze
comments powered by Disqus
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.