Mówiąc o naruszeniach bezpieczeństwa danych osobowych możemy wyróżnić dwie grupy incydentów: umyślne i losowe. W pierwszej grupie znajdziemy działania podejmowane przez ludzi świadomie, wbrew prawu. Z kolei zdarzenia losowe, wewnętrzne czy zewnętrzne, nie zawsze zależą od ludzi. Jakie są konsekwencje takich zdarzeń wyjaśnia Tomasz Mamys, Project Manager RODO w Sage Polska.
Po 25 maja 2018 roku – kiedy przepisy z Rozporządzenia o ochronie danych osobowych zaczną być egzekwowane – na przedsiębiorców spadnie szczególna odpowiedzialność.
RODO w art. 4 ust.12 definiuje naruszenie bezpieczeństwa przetwarzanych danych osobowych, określając je jako „prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Mamy więc jasno określony szeroki katalog incydentów dotyczących przetwarzanych danych, które powodują automatycznie powstanie naruszenia. Jak wynika z doświadczenia administratorów danych, najtrudniejsze do przewidzenia są te incydenty, które wynikają z ludzkich pomyłek i braku świadomości.
Aby w banalny sposób doszło do incydentu w ochronie danych osobowych, wystarczy niewiele.
Źle zaadresowana korespondencja elektroniczna
Używane w skrzynkach poczty elektronicznej adresy mogą być zapisywane w pamięci podręcznej, dzięki czemu aplikacja podpowiada adres mailowy. Nie zawsze jest on weryfikowany przez wysyłających maile. W efekcie braku weryfikacji adresu korespondencja może trafić do nieuprawnionego odbiorcy.
Nieukrywanie adresów mailowych przy wysyłce masowej
Wysyłka korespondencji masowej (np. newsletter) do wielu adresatów wymaga ukrycia adresów odbiorców, poza głównym. W przeciwnym wypadku wszyscy odbiorcy będą widzieli adresy mailowe pozostałych, a to jest już masowe upublicznienie danych osobowych. To, co dziś uchodzi za faux pas, niebawem będzie karalnym wykroczeniem. Należy zatem trzy razy sprawdzić, czy korzystamy z opcji „UDW” – ukrytej kopii.
Utrata nośników danych
Smartfony, laptopy, pamięć mobilna, smartwatche, wydruki z życiorysami zawodowymi czy teczki z dokumentami – nośniki danych można zgubić lub też stracić w wyniku kradzieży. Są to incydenty w ochronie danych osobowych.
Jak poważny jest to problem, wystarczy przeanalizować wykorzystanie pamięci USB w firmach. Nawet 90 proc. pracowników używa w większości otwartych, niezaszyfrowanych pendrive’ów do zapisywania, przechowywania, kopiowania i przenoszenia danych, w tym także osobowych.
Aż 87 proc. pracowników zdarzyło się przynajmniej raz zgubić pamięć flash, na której zapisane były firmowe dane! Chcąc zminimalizować ryzyko dostania się danych w niepowołane ręce, warto na przykład szyfrować dane.
Nieprawidłowe usunięcie danych
Przedarcie kartki i wrzucenie jej do kosza pod biurkiem jest najczęstszą formą usunięcia danych. Jednak jeżeli dane z tej kartki, po jej „zniszczeniu” przy niewielkim wysiłku można odczytać, to mamy do czynienia z incydentem bezpieczeństwa. Dopiero użycie niszczarki do dokumentów jest procedurą prawidłową: szanse na odzyskanie danych z tak zniszczonych kartek są bardzo niewielkie.
Dodaj komentarz
Jeśli nie masz jeszcze konta w Interaktywnie.com - możesz się zarejestrować albo zalogować przez Facebooka