REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Prawo » RODO w firmie » Naruszenia ochrony danych: jakie są zgłaszane najczęściej i w jaki sposób można im zapobiegać

Naruszenia ochrony danych: jakie są zgłaszane najczęściej i w jaki sposób można im zapobiegać

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
28 lipca 2020, 15:29
ODO 24
ODO 24
Jak dbać o ochronę danych osobowych?
Jak dbać o ochronę danych osobowych?

REKLAMA

REKLAMA

Zgodnie z RODO naruszenie ochrony danych osobowych należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Naruszenie może być skutkiem nieprzestrzegania obowiązujących w organizacji procedur, wynikać z umyślnego celowego działania osób trzecich (lub nawet pracowników) czy też zwykłej ludzkiej pomyłki.

REKLAMA

Polecamy: Oferta specjalna: Pakiet książek – Nowa matryca stawek VAT Towary i Usługi z programem INFORLEX PKWiU + CN, stawki VAT i WIS na 2 m-ce

Mail (lub pismo) wysłane na niewłaściwy adres

REKLAMA

To tzw. „klasyka gatunku”. Błąd najczęściej polega na omyłkowym wysłaniu wiadomości zawierającej dane osobowe do osoby, która nie miała być docelowym adresatem. Innym, związanym z wysyłką maili naruszeniem, jest wprowadzenie w polu odbiorcy wiadomości wielu adresów mailowych zdradzających tożsamość innych, podczas gdy taka informacja powinna pozostać poufna, bo np. zdradza listę klientów firmy będącej nadawcą wiadomości. Tych błędów łatwo uniknąć. Wystarczy wysyłać wiadomości z należytą uwagą (w szczególności zwracać ją na historię korespondencji, która „idzie” wraz z główną wiadomością), a także – w razie wysyłki maila o tej samej treści do wielu odbiorców – umieszczać ich adresy w polu „UDW” (a w polu odbiorcy jedynie samego siebie). Dla przykładu, podczas wysyłki maila z Outlooka można to zrobić w następujący sposób: link.

Co, jeśli to „system” automatycznie wysyła maile, np. z fakturami? W tym przypadku nie pozostaje nic innego jak upewnić się, że wprowadzona do niego baza wysyłkowa zawiera poprawne adresy mailowe, tak żeby dane zawarte w wiadomości nie trafiły w niepowołane ręce. Najczęściej wprowadzanie danych kontrahentów do systemu odbywa się przy nawiązywaniu z nimi współpracy, stąd podczas wprowadzania wymagana jest duża ostrożność. Warto też wprowadzić rozwiązanie polegające na potwierdzeniu prawidłowości maila poprzez np. kliknięcie przez odbiorcę linka w pierwszej, weryfikującej wiadomości.

Nierzadkie są również naruszenia związane z wysyłką korespondencji w formie papierowej do niewłaściwego adresata, np. poprzez omyłkowe włożenie świadectwa pracy do niewłaściwej koperty czy też wrzucenie koperty do niewłaściwej skrzynki na listy (przez listonosza albo przez osobę wyznaczoną ze wspólnoty mieszkaniowej). Omyłkowa wysyłka najczęściej wynika z błędu ludzkiego, który można wyeliminować poprzez np. regularne szkolenia pracowników z zakresu ochrony danych.

Dalszy ciąg materiału pod wideo
Zobacz również:

Pomylone dokumenty w wysyłanych paczkach

Nagminnym naruszeniem w przypadku sklepów internetowych jest też dołączanie do przesyłek z zamówionym przez klienta produktem rachunków, faktur czy gotowych formularzy odstąpienia od umowy, zawierających dane innego klienta. W tym przypadku niemniej ważne niż szkolenie pracowników w zakresie ochrony danych jest stworzenie szczegółowej procedury przygotowywania wysyłki towaru (najlepiej w formie double-check, gdzie jedna osoba pakuje produkt i dokumenty, a inna to dodatkowo sprawdza - zarówno zgodność przesyłki z zamówieniem, jak i dołączane dokumenty).

Naruszenia związane z niewłaściwym zabezpieczeń od strony IT, w tym ataki hackerskie

REKLAMA

Jednym z najbardziej głośnych naruszeń spowodowanych takimi atakami jest przypadek sklepu ze sprzętem elektronicznym ukaranego przez Prezesa UODO kwotą 2 830 410 zł za m.in. niedochowanie należytej staranności przy doborze środków technicznych i organizacyjnych, zapewniających bezpieczeństwo i poufność danych (choć w ocenie samej ukaranej spółki stosowane środki bezpieczeństwa były adekwatne do zagrożeń). W ramach postępowania UODO nie zgodziło się jednak na powołanie niezależnego biegłego dla oceny czy środki techniczne i organizacyjne stosowane przez Morele.net odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do działalności ukaranej spółki.

Innym, bardziej „pikantnym” przykładem naruszenia związanego z atakiem hackerskim, jest wyciek danych z portalu randkowego Ashley Madison, stworzonego dla osób pozostających w związkach. Choć miało to miejsce jeszcze przed wejściem w życie RODO, wyciek skończył koniecznością zapłaty przez właściciela portalu dużego odszkodowania.

Jaki wniosek płynie z kary nałożonej na Morele.net? Nie wystarczy stosować jakichkolwiek środków bezpieczeństwa IT. Muszą być one odpowiednie do zagrożeń. Co oznacza słowo „odpowiednie” w konkretnym przypadku, zależy od szeroko pojętego kontekstu przetwarzania danych przez konkretną organizację. Innych zabezpieczeń będzie potrzebować zakład blacharsko-lakierniczy, który wprowadza do swojej bazy CRM imię, nazwisko, numer telefonu klienta oraz nazwę i koszt wykonanej usługi, a innych duży podmiot leczniczy zapewniający opiekę medyczną tysiącom pacjentów. O dobranie odpowiednich zabezpieczeń IT warto zwrócić się do profesjonalisty, natomiast to co może zrobić mała firma jak wspomniany warsztat, to na przykład stosowanie (aktualizowanego) oprogramowania antywirusowego czy stworzenie (faktycznie funkcjonującej) procedury postępowania z hasłami dostępu (przede wszystkim ich regularnej zmiany).

Inne sposoby zapobiegania naruszeniom (niekoniecznie wynikającym ze złośliwych ataków z zewnątrz) to szyfrowanie pamięci urządzeń/plików z danymi osobowymi, dodatkowe mechanizmy weryfikacji użytkownika jak hasło czy PIN czy aktualizowane na bieżąco oprogramowanie kontrolujące dostęp do komputera z zewnątrz (firewall). Administratorzy powinni zapewnić odpowiednie procedury, aby ich personel zachował szczególną ostrożność podczas użytkowania nieznanych urządzeń USB oraz zachował wzmożoną czujność przy otwieraniu załączników poczty elektronicznej.

Zobacz również:

Zagubienie przez pracowników dokumentów

Najczęściej zdarza się to w sytuacjach, kiedy dokumenty są zabierane poza organizację, np. przy okazji wyjazdów do klienta. Pozostawienie dokumentów może mieć miejsce np. w komunikacji miejskiej albo u samego klienta. Stąd, jeżeli jest taka możliwość, najlepiej przewozić dokumentację w formie elektronicznej, tym bardziej, że jest to wygodniejsze. Zagubienie dokumentów wiąże się nie tylko z niebezpieczeństwem dostępu osób postronnych do danych osobowych w nich się znajdujących, ale także z utratą dostępu do tych danych, jeśli nie mamy utworzonej kopii.

Zagubione mogą być oczywiście także elektroniczne nośniki danych, zarówno poza organizacją, jaki i wewnątrz niej (np. pendrive). Oprócz wspomnianego szyfrowania nośników warto więc prowadzić również ich ewidencję, gdzie będzie zawarta informacja komu i kiedy nośnik został wydany oraz numer seryjny sprzętu. Podobnie jak w przypadku wysyłki korespondencji/maila na niewłaściwy adres, również w tym przypadku szkolenie pracowników z ochrony danych zwiększy ich świadomość i ostrożność przy „obchodzeniu się” z danymi, co walnie przyczyni się do wyeliminowania niebezpieczeństw związanych z zagubieniem dokumentów w firmie papierowej czy elektronicznej.

Zablokowanie dostępności do danych osobowych

Naruszenia to nie tylko wycieki danych. Gorsza od niewiążącego się z dużym niebezpieczeństwem wycieku może być utrata dostępności danych, uniemożliwiająca normalne funkcjonowanie organizacji. Dla przykładu, wyciek do Internetu imion, nazwisk oraz adresów mailowych klientów operatora telekomunikacyjnego będzie zdecydowanie mniej dla niego odczuwalny niż utrata dostępu do danych o usługach, z których klienci skorzystali, a tym samym niemożliwość wystawienia faktur.

Jak można zapobiec tego typu naruszeniom? Oprócz stosowania sprawdzonych, godnych zaufania rozwiązań informatycznych najlepiej po prostu regularnie wykonywać kopie zapasowe danych.

Niewłaściwa anonimizacja danych osobowych oraz niewłaściwe niszczenie archiwalnej dokumentacji

Kwestia właściwego przetwarzania danych osobowych bywa spychana na jeszcze dalszy plan, kiedy w grę wchodzą dane osobowe już „niepotrzebne”, czyli dane byłych pracowników czy byłych klientów. Dane, co do których minął już okres zgodnego z prawem przechowywania trzeba usunąć lub (kiedy są potrzebne np. do celów statystycznych) co najmniej zanonimizować. Naruszenie w tym obszarze może polegać przykładowo na przekazaniu telefonów służbowych (w których przed przekazaniem nawet nie przywrócono ustawień fabrycznych) firmie utylizującej sprzęt o wątpliwej renomie na rynku, bądź też przekazanie ich bez odpowiednich zapisów umownych (umowy powierzenia). Może się okazać, że takie telefony dostają potem „drugie życie”, co oznacza dostęp nowego właściciela do służbowego konta mailowego pracownika firmy, która jest przekonana, że telefon został zniszczony.

Jak temu zapobiec? Szkolić, szkolić i jeszcze raz szkolić. Podstawowa wiedza z zakresu bezpieczeństwa informacji mogłaby wspomnianej wyżej sytuacji zapobiec. Skuteczne może być też wprowadzenie szczegółowych instrukcji postępowania z dokumentami i nośnikami zawierającymi dane (w tym metod anonimizacji danych), które nie są już potrzebne.

Udostępnianie nagrań z monitoringu „bez żadnego trybu”

Częstym naruszeniem w dużych sieciach handlowych jest niefrasobliwość personelu sklepu w zakresie nie tylko przekazywania nagrań z monitoringu, ale także jego okazywania, bez głębszej refleksji nad celowością oraz podstawą prawną takiego działania. W sytuacji, kiedy zgłasza się klient sklepu z prośbą o przekazanie lub pokazanie nagrania, pracownik sklepu/ochroniarz powinien bezwzględnie najpierw sam (nie w obecności klienta) zweryfikować, czy opisywana przez klienta sytuacja została zarejestrowana, a dopiero potem udostępnić/okazać nagranie. Przy czym bardzo ważne jest, żeby udostępnienie/okazanie było szczegółowo uregulowane w procedurach sieci handlowej (np. na czyje polecenie ochroniarz może udostępnić nagranie, czy ma to być kierownik sklepu, czy osoba z centrali wyznaczona do koordynowania działań związanych z ochroną danych osobowych). Najlepiej, gdyby takie procedury były wydrukowane i wywieszone tuż przy stanowiskach, na których następuje okazywanie/udostępnianie nagrania.

Nauka na czyichś błędach, czyli Polak mądry przed szkodą

Prowadzisz małą firmę i zwyczajnie nie stać cię na drogie zabezpieczenia? Zastanów się, czy w twoim przypadku są one na pewno potrzebne. Być może wystarczy rzetelne przeszkolenie pracowników, stałe kładzenie nacisku na ochronę danych w firmie oraz znajomość najczęściej występujących i zgłaszanych naruszeń, aby im zapobiec na własnym poletku.

R.pr. Katarzyna Szczypińska, Specjalista ds. ochrony danych ODO 24

Powiązane
Firmy apelują o wydłużenie godzin pracy sądów
Firmy apelują o wydłużenie godzin pracy sądów
Czy inwestycje w nieruchomości podczas pandemii są opłacalne? [PODCAST]
Czy inwestycje w nieruchomości podczas pandemii są opłacalne? [PODCAST]
Dotacje na innowacje dla małych firm. Nadal są pieniądze do rozdania
Dotacje na innowacje dla małych firm. Nadal są pieniądze do rozdania
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Nie uczą się i nie pracują. Polscy NEET często są niewidzialni dla systemu
07 lip 2025

Jak pokazuje najnowszy raport Polskiej Agencji Rozwoju Przedsiębiorczości, około 10% młodych Polaków nie uczy się ani nie pracuje. Kim są polscy NEET i dlaczego jest to realny problem społeczny?
Polska inwestycyjna zapaść – co hamuje rozwój i jak to zmienić?
03 lip 2025

Od 2015 roku stopa inwestycji w Polsce systematycznie spada. Choć może się to wydawać abstrakcyjnym wskaźnikiem makroekonomicznym, jego skutki odczuwamy wszyscy – wolniejsze tempo wzrostu gospodarczego, mniejszy przyrost zamożności, trudniejsza pogoń za Zachodem. Dlaczego tak się dzieje i czy można to odwrócić? O tym rozmawiali Szymon Glonek oraz dr Anna Szymańska z Polskiego Instytutu Ekonomicznego.
Firma za granicą jako narzędzie legalnej optymalizacji podatkowej. Fakty i mity
02 lip 2025

W dzisiejszych czasach, gdy przedsiębiorcy coraz częściej stają przed koniecznością konkurowania na globalnym rynku, pojęcie optymalizacji podatkowej staje się jednym z kluczowych elementów strategii biznesowej. Wiele osób kojarzy jednak przenoszenie firmy za granicę głównie z próbą unikania podatków lub wręcz z działaniami nielegalnymi. Tymczasem, właściwie zaplanowana firma za granicą może być w pełni legalnym i etycznym narzędziem zarządzania obciążeniami fiskalnymi. W tym artykule obalimy popularne mity, przedstawimy fakty, wyjaśnimy, które rozwiązania są legalne, a które mogą być uznane za agresywną optymalizację. Odpowiemy też na kluczowe pytanie: czy polski przedsiębiorca faktycznie zyskuje, przenosząc działalność poza Polskę?
5 sprawdzonych metod pozyskiwania klientów B2B, które działają w 2025 roku
30 cze 2025

Pozyskiwanie klientów biznesowych w 2025 roku wymaga elastyczności, innowacyjności i umiejętnego łączenia tradycyjnych oraz nowoczesnych metod sprzedaży. Zmieniające się preferencje klientów, rozwój technologii i rosnące znaczenie relacji międzyludzkich sprawiają, że firmy muszą dostosować swoje strategie, aby skutecznie docierać do nowych odbiorców. Dobry prawnik zadba o zgodność strategii z przepisami prawa oraz zapewni ochronę interesów firmy. Oto pięć sprawdzonych metod, które pomogą w pozyskiwaniu klientów w obecnym roku.

REKLAMA

Family Business Future Summit - podsumowanie po konferencji
26 cze 2025

Pod koniec kwietnia niniejszego roku, odbyła się druga edycja wydarzenia Family Business Future Summit, które dedykowane jest przedsiębiorczości rodzinnej. Stolica Warmii i Mazur przez dwa dni gościła firmy rodzinne z całej Polski, aby esencjonalnie, inspirująco i innowacyjne opowiadać i rozmawiać o sukcesach oraz wyzwaniach stojących przed pionierami polskiej przedsiębiorczości.
Fundacja rodzinna po dwóch latach – jak zmienia się myślenie o sukcesji?
26 cze 2025

Jeszcze kilka lat temu o sukcesji w firmach mówiło się niewiele. Przedsiębiorcy odsuwali tę kwestię na później, często z uwagi na brak gotowości, aby się z nią zmierzyć. Mówienie o śmierci właściciela, przekazaniu firmy i zabezpieczeniu rodziny wciąż należało do tematów „na później”.
Potencjał 33 GW z wiatraków na polskim morzu. To 57% zapotrzebowania kraju na energię. Co dalej z farmami wiatrowymi w 2026 i 2027 r.
25 cze 2025

Polski potencjał na wytwarzanie energii elektrycznej z wiatraków na morzu (offshore) wynosi 33 GW. To aż 57% rocznego zapotrzebowania kraju na energię. W 2026 i 2027 r. powstaną nowe farmy wiatrowe Baltic Power i Baltica 2. Jak zmieniają się przepisy? Co dalej?
Jak zwiększyć rentowność biura rachunkowego bez dodatkowych wydatków?
24 cze 2025

Branża księgowa to jedna z dziedzin, w których wynagrodzenie za świadczone usługi często jest mocno niedoszacowane, mimo tego, że błędy w księgowości mogą skutkować bardzo poważnymi konsekwencjami dla przedsiębiorców. W związku z tak doniosłą rolą biur rachunkowych powinny one dbać o poziom rentowności, który pozwoli właścicielom skupić się na podnoszeniu jakości świadczonych usług oraz większego spokoju, co niewątpliwie pozytywnie wpływa na dobrostan właścicieli biur oraz ich pracowników.

REKLAMA

Samozatrudnieni i małe firmy w odwrocie? wzrasta liczba likwidowanych i zawieszanych działalności gospodarczych, co się dzieje
24 cze 2025

Według znawców tematu, czynniki decydujące ostatnio o likwidacji takich firm nie różnią się od tych sprzed roku. Znaczenie mają m.in. koszty prowadzenia biznesu, w tym składki zusowskie, a także oczekiwania finansowe pracowników.

Szybki wzrost e-commerce mocno zależny od rozwoju nowych technologii: co pozwoli na zwiększenie zainteresowania zakupami online ze strony klientów
24 cze 2025

E-commerce czyli zakupy internetowe przestają być jedynie wygodną alternatywą dla handlu tradycyjnego – stają się doświadczeniem, którego jakość wyznaczają nie tylko oferta i cena, lecz także szybkość, elastyczność i przewidywalność dostawy oraz prostota ewentualnego zwrotu.

REKLAMA