W przypadku kontaktów z instytucjami finansowymi i publicznymi większość problemów z reguły udaje się zakończyć w sposób pozytywny dla osób pokrzywdzonych. Jednak wszystkie procedury są zawsze czasochłonne i bardzo stresujące. Dlatego najlepiej zapobiegać utracie kontroli nad własnymi danymi osobowymi. Wiele osób, które stały się ofiarami kradzieży tożsamości otwarcie przyznaje się do tego, że nie miało świadomości zagrożenia. Tymczasem można się przed nim uchronić stosując się do kilku prostych zasad.

Chronić powinniśmy zarówno dokumenty w formie fizycznej, jak i nasze dane w sieci.

Należy dbać o bezpieczne przechowywanie dokumentów takich jak paszport, prawo jazdy czy dowód osobisty. Nie należy nigdy zostawiać dokumentów w zastaw oraz zezwalać na ich kopiowanie. Ponadto, należy pamiętać o tym, że zgodnie z prawem zatrzymywanie dowodu osobistego jako zabezpieczenie świadczenia jest zakazane. Dane osobowe często znajdują się też w papierowej korespondencji wyrzuconej na śmietnik lub pozostawionej w nieodpowiednim miejscu. Należy dbać o niszczenie tego rodzaju dokumentów. Niebezpieczne może być również podawanie danych osobowych nieznanym osobom podczas rozmowy telefonicznej.  

Przestępcy mają również bardzo wiele sposobów na wyłudzanie danych osobowych w internecie. Dlatego, podczas każdej operacji wymagającej podania danych najlepiej jest korzystać ze stron zabezpieczonych protokołem https. Szczególnie istotne jest to w przypadku logowania się do bankowych serwisów transakcyjnych i sklepów internetowych. Przestępcy często wykorzystują strony internetowe łudząco podobne do stron instytucji finansowych aby zdobyć dane logowania. Popularne jest również wyłudzanie danych poprzez umieszczanie w sieci niezwykle atrakcyjnych cenowo ofert sprzedaży produktów. W przypadku podejrzanie atrakcyjnych ofert, należy dokonywać transakcji tylko i wyłącznie z zaufanymi dostawcami, przy użyciu bezpiecznych stron internetowych.

Uwaga na wycieki haseł z popularnych serwisów

Wielu internautów traci kontrolę nad danymi osobowymi w skutek utraty haseł dostępowych. Coraz częstsze są przypadki wyciekania baz danych loginów i haseł do popularnych serwisów. Dlatego szczególnie niebezpieczne jest posługiwanie się tymi samymi loginami i hasłami dla wielu serwisów jednocześnie. W przypadku wycieku danych z pojedynczego serwisu, przestępcy mogą próbować logować się przy użyciu tych samych danych do innych serwisów, w tym do systemów instytucji finansowych.

Hasła dostępowe powinny być trudne do odgadnięcia, należy je również często zmieniać. Jeżeli istnieje potrzeba zapisania ich, należy to zrobić w taki sposób aby niemożliwe było ich odczytanie przez osoby postronne.

Celem przypomnienia – RODO wyróżnia dwa przedziały kar pieniężnych:

– do 10 mln euro, a w przypadku przedsiębiorstwa do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,

– do 20 mln euro, a w przypadku przedsiębiorstwa do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Ustawa o ochronie danych osobowych przewiduje jednak mniejsze kary dla podmiotów sektora finansów publicznych:

– jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 Ustawy o finansach publicznych, instytuty badawcze i Narodowy Bank Polski – w wysokości do 100 000 złotych (tj. np. szkoły, uczelnie, szpitale, ZUS, gminy, NFZ, sądy),

– jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 Ustawy o finansach publicznych – w wysokości do 10 000 złotych (tj. np. teatry, opery, filharmonie, kina, muzea, biblioteki, domy kultury, galerie sztuki).

Śląski Uniwersytet Medyczny

Wysokość kary: 5 500 EURO

Śląski Uniwersytet Medyczny został ukarany za naruszenie ochrony danych, o którym administrator powinien powiadomić nie tylko organ nadzoru, ale i osoby, których dotyczył ten incydent.

Nieznana

Wysokość kary: 19 000 EURO

Pierwsza kara za nieprzestrzeganie nakazu decyzji administracyjnej. Urząd Ochrony Danych Osobowych (UODO) nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu. Administrator tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy nałożone w decyzji UODO obowiązki zostały zrealizowane.

Enea S.A.           

Wysokość kary: 30 000 EURO

Do (UODO) wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem danych osobowych. Naruszenie to polegało na wysłaniu e-maila z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa.

Anwara Sp. z.o.o.          

Wysokość kary: 4 600 EURO

Kara wymierzona została za niewywiązanie się z obowiązku współpracy z organem nadzorczym i niedostarczenie wszelkich informacji potrzebnych do realizacji zadań UODO w toku postępowania.

Krajowa Szkoła Sądownictwa i Prokuratury      

Wysokość kary: 22 200 EURO    

Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych.

Cyfrowy Polsat S.A.      

Wysokość kary: 245 000 EURO 

Cyfrowy Polsat S.A. nie wdrożył odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską. Efektem tego były liczne naruszenia identyfikowane z dużym opóźnieniem.

PNP SA

Wysokość kary: 5 100 EURO

Powodem nałożenia kary pieniężnej jest brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań.

Spółka Funeda Sp. z o.o. 

Wysokość kary:  5100 EURO

Spółka Funeda Sp. z o.o. naruszyła przepisy ogólnego rozporządzenia o ochronie danych (RODO), polegające na braku współpracy z Urzędu Ochrony Danych Osobowych w ramach wykonywania przez organ nadzorczy zadań.  Brak współpracy polegał na tym, że ukarana spółka nie zapewniła dostępu do wszelkich danych osobowych i informacji niezbędnych UODO do rozpatrzenia skargi na nieprawidłowości w procesie przetwarzania danych osobowych skarżącego.

P4

Wysokość kary: 22 222 EURO

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę administracyjną karę pieniężną za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych.

Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. 

Wysokość kary: 35 555  EURO

Spółka nie zgłosiła naruszenia ochrony danych osobowych od UODO. Ponadto Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. ukarano za niezawiadomienie osoby, której dane dotyczą o naruszeniu, do czego zobowiązał ją także organ nadzorczy. 

Analizując wydane przez Prezesa UODO decyzje nakładające kary pieniężne należy uznać, iż najczęściej naruszanymi przepisami RODO były te dotyczące zasad zgodności z prawem, rzetelności, przejrzystości, a także współpracy z organem nadzorczym w toku kontroli. Powtarzającym się błędem popełnianym przez administratorów było także niespełnienie obowiązku informacyjnego wobec podmiotów danych czy niewdrożenie odpowiednich środków technicznych i organizacyjnych.

Według raportu, w działalności firm dotyczącej cyberbezpieczeństwa dominuje obecnie kilka trendów. Przede wszystkim przedsiębiorstwa chcą działać proaktywnie – przewidywać zagrożenia zamiast koncentrować się na naprawie szkód i nadrabianiu zaległości. Dzięki temu pracownicy mogą skupić się na pracy merytorycznej zamiast myśleć nieustannie o bezpieczeństwie. Ponadto okres pandemii zmusił wiele przedsiębiorstw do reorganizacji systemów informatycznych oraz zwiększenia zasobów sprzętu i oprogramowania. Te procesy nie zawsze odbywały się w bezpieczny sposób. Szczególnie istotnym zagadnieniem stało się zapewnienie możliwości bezpiecznej pracy zdalnej, ale równie ważna pozostaje koncentracja na zapobieganiu atakom typu phishing, dokonywanym dzięki wyłudzeniu danych uwierzytelniających. Wyraźnie widocznym trendem jest też zwiększenie zaawansowania technicznego ataków. Są one obecnie przeprowadzane z użyciem coraz nowszej technologii, w tym sztucznej inteligencji i uczenia maszynowego.

Wśród największych wyzwań związanych z cyberbezpieczeństwem, ankietowane firmy wskazują na: przeciwdziałanie złośliwemu oprogramowaniu typu ransomware (38%), przestarzałe procesy i systemy zabezpieczeń (30%), stosowanie wspólnych zasad kontroli bezpieczeństwa lokalnie i w chmurze (27%) oraz koszty zabezpieczeń (25%). Okazało się też, że 58% firm nie posiada kompleksowej strategii w zakresie cyberbezpieczeństwa, a aż 86% z nich jest ogólnie zadowolonych z poziomu bezpieczeństwa swoich systemów informatycznych. Mimo że najważniejszym źródłem zagrożeń pozostają świadome bądź nieświadome nieprawidłowe zachowania użytkowników systemów, cały czas niewiele firm przywiązuje odpowiednią wagę do szkolenia pracowników. Często kładzie się zbyt duży nacisk na wdrażanie technologii. Według wyników badania, w ramach projektów związanych z poprawą cyberbezpieczeństwa, 61% ankietowanych przedsiębiorstw planuje inwestować w nowe technologie a tylko 38% chce przeprowadzić szkolenia pracowników. Kolejnym, niezwykle istotnym problemem jest brak właściwego wsparcia ze strony najwyższej kadry zarządzającej. Cyberbezpieczeństwo jest traktowane jako zadanie działu IT, a takie podejście może utrudniać odpowiednie finansowanie projektów. Tymczasem bezpieczeństwo cyfrowe staje się kluczowym elementem mającym wpływ na przewagę konkurencyjną całego przedsiębiorstwa, wpływając między innymi na jego wartość.

Obecnie najważniejszymi celami przedsiębiorstw są: zapewnienie bezpiecznego zdalnego dostępu, skuteczne zarządzanie dostępem do sieci oraz ochrona punktów końcowych. Złożoność problemów powoduje, że wiele firm decyduje się na korzystanie z rozwiązań chmurowych, takich jak na przykład Microsoft 365. Najczęściej jest to związane z chęcią skorzystania z globalnej wiedzy specjalistycznej, szerokim doświadczeniem dostawców usług oraz łatwą dostępnością funkcji związanych z bezpieczeństwem.

Nowoczesny plan zabezpieczeń cyfrowych powinien uwzględniać między innymi: korzystanie z wieloskładnikowego uwierzytelnienia w przypadku pracy zdalnej, zabezpieczanie posiadanych danych poprzez ich szyfrowanie oraz przechowywanie kopii zapasowych, stosowanie automatyzacji przy analizie podejrzanej aktywności, regularną ocenę procedur oraz efektywności polityki bezpieczeństwa oraz regularną ocenę świadomości pracowników.

Według autorów raportu bezpieczeństwo nie jest kwestią techniczną, a czynnikiem sprawczym wartości biznesowej. Jest bezpośrednio związane z efektywnością pracy firmy. Dodatkowo, w przypadku stosowania nowoczesnych narzędzi chmurowych można ograniczyć koszty zapewnienia właściwego poziomu bezpieczeństwa, gdyż ich użycie najczęściej nie wymaga  zatrudniania wewnętrznych specjalistów.

Dodatkowo, zmiana modelu pracy nastąpiła w sposób nagły, uniemożliwiający spokojne testowanie rozwiązań służących pracy zdalnej, takich jak na przykład oprogramowanie do wideokonferencji. Ogólny bałagan związany ze zmianą stylu pracy a także związany z nim stres sprzyjał spadkowi koncentracji i zwiększał podatność na ataki phishingowe – czyli wyłudzenia danych dokonywanych za pomocą załączników do poczty elektronicznej. Złośliwe oprogramowanie często było przesyłane w formie, która sugerowała, że zawartość załącznika jest związana z rządową pomoc dla przedsiębiorstw.   

W wielu przedsiębiorstwach kolejnym problemem stał się wzrost kosztów obsługi systemów informatycznych. Pandemia wiązała się często ze spadkiem przychodów, a wzrost cen przenośnego sprzętu komputerowego i kosztów zapewnienia bezpieczeństwa pracowników działających zdalnie zaczął stanowić dodatkowe obciążenie, szczególnie gdy wiązał się z koniecznością wzrostu zatrudnienia w działach IT.

Jednak dla wielu firm pandemia stała się okazją dla optymalizacji systemów, czasami było to efektem planowego działania a czasami wynikało z konieczności. Często okazywało się, że wprowadzenie nowoczesnych systemów chmurowych nie tylko jest w stanie ograniczyć koszty ale również zwiększa bezpieczeństwo. Systemy chmurowe standardowo wymuszają właściwą politykę haseł czy oferują szyfrowanie przesyłanych danych. Ponadto posiadają wbudowane narzędzia analityczne służące do skutecznego wykrywania i neutralizowania zagrożeń, również z użyciem sztucznej inteligencji i uczenia maszynowego. Ich zaletą często jest też automatyzacja funkcji związanych z administracją systemów oraz ułatwienie kontaktu pracowników z działami IT.

Obecnie, najpoważniejszymi zagrożeniami wynikającymi z pracy zdalnej pozostają: możliwość ujawnienia treści rozmów prowadzonych za pomocą platform typu Zoom czy Microsoft Teams, trudności z identyfikacją niebezpiecznych załączników email oraz użytkowanie prywatnego, słabo zabezpieczonego sprzętu w celach służbowych.

Przedsiębiorstwa powinny zaktualizować swoją politykę bezpieczeństwa informacji w celu uwzględnienia zagrożeń wynikających z pracy zdalnej. Użyteczny może być zakaz poruszania poufnych zagadnień podczas sesji online, spotkania należy również zabezpieczać hasłami lub używać funkcji „lock meeting”. Odpowiedzią na ataki przeprowadzane metodami socjotechnicznymi powinny być regularne szkolenia pracowników. Z kolei dzięki systemom chmurowym bezpieczniejsze staje się używanie przez pracowników prywatnego sprzętu czy urządzeń mobilnych.

System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO 27001:2017 oparty jest na podejściu procesowym i zgodnie z cyklem modelu PDCA zwraca uwagę na:

-zrozumienie biznesowych wymagań bezpieczeństwa informacji oraz potrzebę ustanowienia polityki i celów bezpieczeństwa informacji;

-wdrażanie i eksploatowanie zabezpieczeń,  w tym organizacyjnych i technicznych w kontekście kompleksowego zarządzania ryzykiem;

-monitorowanie oraz weryfikację wydajności i skuteczności wdrożonego systemu;

-ciągłe doskonalenie w oparciu o wyniki obiektywnych pomiarów;

co zostało dokładnie zawarte w poszczególnych punktach normy odniesienia.

Norma krok po kroku określa czynności jakie organizacja powinna wykonać w celu określenia metodyki szacowania ryzyka wchodzącej w proces szacowania ryzyka powiązany z kontekstem biznesowym, w jakim funkcjonuje organizacja. Dokumentem podsumowującym proces szacowania ryzyka jest deklaracja stosowania SoA – Statement of Applicability, która dokumentuje ustalone przez organizację cele stosowania zabezpieczeń oraz zakładane zabezpieczenia, co zawarto w załączniku A normy odniesienia. Deklaracja stosowania jest w systemie dokumentem obowiązkowym, w tym zastosowanie zabezpieczeń, jak i ich brak wymagany uzasadnieniem.

Algorytm postępowania przy wdrożeniu i uzyskaniu systemu zgodnego z wymaganiami normy ISO 27001:2017:

1. zapoznanie organizacji z systemem zarządzania bezpieczeństwem informacji
2. zainicjowanie przez kierownictwo prac związanych z opracowaniem systemu zarządzania bezpieczeństwem informacji
3. opracowanie diagnozy stanu istniejącego w organizacji
4. opracowanie projektu systemu zarządzania bezpieczeństwem informacji
5. szkolenie kadry w zakresie systemu zarządzania bezpieczeństwem informacji
6. opracowanie dokumentacji systemowej
7. realizacja planu audytów wewnętrznych
8. dokonanie przeglądów systemowych
9. przeprowadzenie procedury certyfikacyjnej
10. utrzymanie certyfikatu

Poziom wiedzy polskich przedsiębiorców na tematy związane z zagrożeniami czekającymi na nich w cyberprzestrzeni cały czas nie jest satysfakcjonujący. Z raportu międzynarodowej firmy doradczej KPMG zatytułowanego „Barometr bezpieczeństwa – w kierunku rozwiązań chmurowych” wynika, że aż 57% polskich przedsiębiorstw nie korzysta z rozwiązań chmurowych poprawiających bezpieczeństwo przechowywanych i przetwarzanych danych. W dodatku aż 40% przedsiębiorców w najbliższym czasie nie zamierza zmieniać tego stanu rzeczy a zaledwie 17% z nich planuje w niedalekiej przyszłości przenieść część swoich zasobów do chmury. Zaledwie 38% firm przetwarza swoje dane jednocześnie lokalnie i w chmurze a 5% deklaruje, że korzysta wyłącznie z rozwiązań chmurowych.

Najważniejsze motywacje dla korzystania z usług chmurowych to zapewnienie ciągłości procesów biznesowych oraz zwiększenie poziomu bezpieczeństwa przetwarzanych danych. Najpopularniejsze usługi chmurowe to: hosting witryn internetowych (73%), poczta elektroniczna (72%), przestrzeń dyskowa (62%) systemy ERP (18%) i systemy CRM (15%).

Za najważniejsze źródła zagrożeń w 2020 roku uważano cyberprzestępczość, niezadowolonych lub przekupionych pracowników oraz grupy przestępcze wspierane przez obce państwa. Szczególnie groźne zjawiska to wycieki danych wskutek działania złośliwego oprogramowania (malware), wyłudzanie danych uwierzytelniających (phishing), ransomware oraz kradzież danych przez pracowników. Według raportu w 2020 roku aż 54% polskich firm doświadczyło różnych form cyberprzestępczości. Dodatkowo 21% ankietowanych przedsiębiorstw zauważyło wzrost zagrożenia a tylko 5% zanotowało jego spadek w porównaniu z rokiem 2019.

Przy zapewnieniu cyberbezpieczeństwa firmy coraz chętniej korzystają z outsourcingu. Z zewnętrznych dostawców korzysta aż 76% polskich firm. Wśród najważniejszych usług dostarczanych przez nich są: analiza złośliwego oprogramowania (41%), monitorowanie bezpieczeństwa (37%), wsparcie reakcji na cyberataki (36%), programy podnoszenia świadomości (28%), testy podatności infrastruktury (26%), testy penetracyjne aplikacji (19%) oraz przeglądy kodu źródłowego (19%). Wśród obszarów, w które planują inwestować polskie firmy są ochrona przed złośliwym oprogramowaniem, bezpieczeństwo styku z siecią internet, zapewnienie ciągłości działania oraz bezpieczeństwo wewnętrzne i kontrola dostępu.

Za najważniejsze przeszkody, jakie ograniczają możliwość budowania skutecznych bezpieczniejszych systemów komputerowych przedsiębiorcy wskazują: ograniczony budżet 64%, trudności w zatrudnieniu i utrzymaniu kompetentnych pracowników 43% oraz brak wsparcia kierownictwa 32%.

Bardzo ciekawych danych na temat cyberbezpieczeństwa w 2020 i 2021 roku dostarcza również raport firmy Acronis zatytułowany „Acronis Cyberthreats Report 2020 – Cybersecurity trends in 2021 – The Year of Extortion”.

Według raportu w 2020 roku aż 31% globalnych przedsiębiorstw doświadczało przynajmniej jednego cyberataku dziennie. Dodatkowo cyberprzestępcy bardzo dobrze rozumieją zmiany modeli funkcjonowania przedsiębiorstw, jakie zaszły w wyniku pandemii. Ogromnym wyzwaniem dla firmowych komórek zajmujących się cyberbezpieczeństwem jest przejście przez pracowników na model pracy zdalnej. Popularne stały się również wyłudzenia danych dokonywane pod pretekstem zapewnienia darmowych badań pod kątem COVID lub fikcyjnych propozycji wsparcia finansowego dla przedsiębiorstw.

W wyniku wdrożenia procedur pracy zdalnej aż 92% globalnych firm musiało wprowadzić nowe technologie a 72% z nich musiało z tego powodu zwiększyć swoje budżety przeznaczone na cyberbezpieczeństwo. Tymczasem błędy w konfiguracji nowego oprogramowania często stanowią furtkę dla cyberprzestępców. Ich celem w ubiegłym roku było między innymi oprogramowanie firmy Zoom oraz pakiet Microsoft 365.

Największym zagrożeniem dla przedsiębiorców pozostaje ransomware. Wśród ofiar cyberprzestępców znalazły się między innymi: Garmin, właściciel marki Jack Daniels – firma Brown-Forman czy Canon. Szczególnie skuteczne okazało się oprogramowanie Maze ransomware. W zgodnej opinii specjalistów w 2021 r. z należy spodziewać się coraz większej ilości ataków na pracowników zdalnych, również przeprowadzonych przy pomocy zautomatyzowanego oprogramowania z użyciem sztucznej inteligencji. Celami, oprócz międzynarodowych korporacji, stają się również coraz częściej małe i średnie przedsiębiorstwa.

Środki zaradcze od lat pozostają te same: regularne aktualizowanie oprogramowania, unikanie instalowania go z podejrzanych źródeł oraz unikanie klikania w podejrzane linki przesyłane pocztą elektroniczną. Pomocne może być również korzystanie z rozwiązań typu VPN, które szyfrują wszystkie dane przesyłane przez użytkownika.

„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)”.

Z powyższego tekstu wynika, że ustawodawca nie narzuca rodzaju środków technicznych, jakie należy zastosować dla ochrony zgromadzonych i przetwarzanych danych osobowych, oraz to, że administrator i podmiot przetwarzający powinien dokonać samodzielnej oceny ryzyka związanego z prowadzonymi operacjami przetwarzania oraz samodzielnie dobrać adekwatne środki ochronne.

Przy dobieraniu tych środków z jednej strony należy brać pod uwagę wielkość i zakres potencjalnych strat związanych z ewentualnymi naruszeniami, a z drugiej aktualną wiedzę techniczną i koszt wdrożenia rozwiązań zabezpieczających. 

Nie określając szczegółowych środków technicznych, jakie należy zastosować w każdym konkretnym przypadku, ustawodawca dość szczegółowo określa oczekiwania względem podmiotów przetwarzających. Są to:

–  pseudonimizacja i szyfrowanie danych osobowych;

–  zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów  i usług przetwarzania;

–  zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

–  regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Zgodnie z art. 32, ust. 2 RODO, przeprowadzana przez administratora ocena ryzyka musi uwzględniać w szczególności ryzyko wiążące się z:

–  przypadkowym lub niezgodnym z prawem zniszczeniem;

–  utratą;

–  modyfikacją;

–  nieuprawnionym dostępem.

Widać więc wyraźnie, że ustawodawca oczekuje od administratora i podmiotu przetwarzającego zabezpieczenia danych zarówno przez nieautoryzowanym działaniem osób trzecich, jak i przed różnego rodzaju działaniami losowymi.

Jeśli chodzi o drugą możliwość, należy wziąć pod uwagę takie czynniki jak lokalizacja przedsiębiorstwa, podatność na czynniki atmosferyczne, jakość infrastruktury elektrycznej i wodnej oraz poziom ochrony przeciwpożarowej. Każde z powyższych zagrożeń może być minimalizowane przy użyciu odpowiednich środków technicznych.

Jednak absolutnie kluczowym zagadnieniem jest ochrona danych osobowych przed nieautoryzowanym dostępem osób trzecich. Wymaga to dwóch rodzajów zabezpieczeń. Po pierwsze są to środki elektroniczne, takie jak hasła dostępu, oprogramowanie antywirusowe i szkolenia pracowników w zakresie cyber-bezpieczeństwa. Po drugie, konieczne jest zastosowanie zabezpieczeń fizycznych. Fizyczny dostęp do siedziby administratora jest niebezpieczny z dwóch powodów. Po pierwsze umożliwia kontakt ze zgromadzonymi w firmie dokumentami, po drugie ułatwia zdobycie haseł dostępu i penetrację systemów komputerowych.   

Planując ograniczenie dostępu do pomieszczeń należy rozważyć możliwość zastosowania: ogrodzeń zewnętrznych, właściwych zabezpieczeń drzwi i okien, kontroli dostępu przy pomocy środków elektronicznych i wyspecjalizowanego personelu. Zastosowane zabezpieczenia powinny być zaprojektowane w ten sposób aby opóźnić dostęp do ochronionych pomieszczeń na czas niezbędny do przybycia policji lub personelu agencji ochrony.

W interesie administratora jest wykazanie zarówno przed organem nadzorczym, jak i przed innymi zainteresowanymi podmiotami wywiązywania się z obowiązków związanych z art. 32 RODO. Rozporządzenie podpowiada w tym zakresie dwie metody postępowania, którymi są: zatwierdzony kodeks postępowania oraz zatwierdzony mechanizm certyfikacji. Szczegóły określają art. 40 i 42 RODO.

„Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wykonywania zadań, o których mowa w art. 39.”

Z powyższego wynika, że sprawowanie funkcji inspektora danych osobowych nie jest uwarunkowane ukończeniem żadnych kursów ani zdaniem egzaminów. Wystarczają umiejętności określone przez art. 39 RODO a podmiotem oceniającym wiedzę kandydata w tym zakresie jest jedynie administrator bądź podmiot przetwarzający dane osobowe i zatrudniający inspektora.

Art. 39 RODO definiuje zadania inspektora danych osobowych. Są to:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Oznacza to, że inspektor ochrony danych osobowych przede wszystkim musi posiadać rozległą wiedzę na temat obowiązujących regulacji oraz praktycznych aspektów stosowania przepisów RODO. Powinna ona dotyczyć między innymi umiejętności sporządzenia stosownej dokumentacji, podziału obowiązków związanych z ochroną danych osobowych, działań zwiększających świadomość personelu oraz przeprowadzania audytów.

Funkcja inspektora danych osobowych rzadko jest zajęciem na pełen etat. W związku z tym przedsiębiorcy decydują się na wyznaczenie pracownika, który pełni funkcję inspektora jednocześnie wykonując inne obowiązki.

Wyznaczony inspektor ochrony danych powinien mieć odpowiednie kwalifikacje zawodowe i fachową wiedzę na styku prawa i IT oraz praktykę w dziedzinie ochrony danych osobowych, dlatego często firmy korzystają z usługi outsourcingu Inspektora Ochrony Danych.

Zalety outsourcingu funkcji  IOD:

• – najwyższa jakość świadczonych usług;
• – szeroka wiedza z zakresu ochrony danych osobowych;
• – niezwłoczna reakcja w przypadku naruszenia ochrony danych osobowych;
• – optymalizacja kosztów.

Zapraszamy do zapoznania się z naszą ofertą: Outsourcing IOD

Jednak istnieją również liczne sytuacje, w których ochrona poufnych danych jest wymagana przez prawo. Zgodnie z przepisami rozporządzenia RODO jest tak zawsze wtedy, gdy dotyczą one osób fizycznych. A więc chodzi o wszelkiego rodzaju akta personalne, ewidencje wynagrodzeń a nawet umowy czy faktury, jeżeli kontrahentami są osoby fizyczne. W takim przypadku w grę wchodzą nie tylko biznesowe skutki utraty kontroli nad danymi ale również odpowiedzialność odszkodowawcza i administracyjna. Dlatego forma przesyłania danych musi gwarantować ich poufność, integralność i autentyczność.

Najważniejsze zagrożenia to możliwość ujawnienia, zniszczenia lub modyfikacji zbiorów danych. Rozporządzenie RODO nie określa ściśle, jakie zabezpieczenia należy stosować. Wybór środków należy do administratora, a najważniejsze jest to, żeby były one skuteczne i właściwie dobrane pod kątem spodziewanych zagrożeń. Tak naprawdę oznacza to, że w przypadku gdy mamy do czynienia z danymi poufnymi, przesyłane pliki muszą być w odpowiedni sposób zaszyfrowane. Jedną z najważniejszych zasad powinien być też zakaz przesyłania poufnych danych za pomocą prywatnej poczty elektronicznej. 

W przypadku przesyłania zaszyfrowanych plików powstaje problem związany z koniecznością przekazania odbiorcy hasła. Hasło musi być dostarczone w bezpieczny sposób, z oczywistych względów inną metodą niż sam zaszyfrowany plik. Wbrew obiegowej opinii, przesłanie hasła osobno sms-em niekoniecznie musi być bezpieczną metodą, tym bardziej że wiele aplikacji biznesowych jest obecnie dostępnych poprzez smartfony. Pomocne może być jednak przesłanie hasła np.za pomocą szyfrowanego czatu. Dobrą praktyką jest też żądanie zmiany hasła przez użytkownika podczas pierwszego logowania.  

W celu zabezpieczenia przesyłanej poczty rekomenduje się stosowanie protokołu szyfrującego np. S/MIME. Jego włączenie spowoduje, że wysyłane wiadomości będą automatycznie szyfrowane zawsze, gdy to będzie możliwe. Zabezpieczenie przesyłanych wiadomości zawsze zależy od poziomu szyfrowania obsługiwanego przez usługi pocztowe poszczególnych adresatów. Jednak w przypadku przesyłania korespondencji wewnątrz firmy lub do stałych kontrahentów, można tym poziomem dość łatwo zarządzać.

Do zaszyfrowania poufnych danych należy wykorzystywać silne hasła. Najlepiej aby składały się z kilkunastu znaków, wielkich i małych liter, liczb i znaków specjalnych. Użytkownicy nie powinni używać tych samych loginów i haseł w celu logowania się do różnych aplikacji.  Należy też pamiętać o tym aby w przypadku jednoczesnego przesyłania wiadomości do wielu odbiorców wpisywać ich adresy email jako „ukryta kopia”. W przeciwnym wypadku każdy odbiorca będzie widział adresy email wszystkich pozostałych odbiorców, co może naruszać przepisy z zakresu ochrony danych osobowych.

Przedsiębiorcy powinni pamiętać, że w związku w przetwarzaniem danych osobowych ciąży na nich szczególna odpowiedzialność. Dlatego konieczne jest też systematyczne szkolenie pracowników z zakresu bezpieczeństwa IT.