Kategorie

Naruszenia ochrony danych: jakie są zgłaszane najczęściej i w jaki sposób można im zapobiegać

ODO 24
ODO 24 – to firma, która od 2012 roku oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Stawia na merytorykę, praktyczne rozwiązania oraz trwałe relacje z klientami budowane w oparciu o partnerstwo, uczciwość i zaufanie. Swoim klientom pomaga chronić dane, minimalizując ryzyko związane z kontrolą, wyciekiem lub ich utratą.
Jak dbać o ochronę danych osobowych?
Jak dbać o ochronę danych osobowych?
Zgodnie z RODO naruszenie ochrony danych osobowych należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Naruszenie może być skutkiem nieprzestrzegania obowiązujących w organizacji procedur, wynikać z umyślnego celowego działania osób trzecich (lub nawet pracowników) czy też zwykłej ludzkiej pomyłki.

Polecamy: Oferta specjalna: Pakiet książek – Nowa matryca stawek VAT Towary i Usługi z programem INFORLEX PKWiU + CN, stawki VAT i WIS na 2 m-ce

Mail (lub pismo) wysłane na niewłaściwy adres

Reklama

To tzw. „klasyka gatunku”. Błąd najczęściej polega na omyłkowym wysłaniu wiadomości zawierającej dane osobowe do osoby, która nie miała być docelowym adresatem. Innym, związanym z wysyłką maili naruszeniem, jest wprowadzenie w polu odbiorcy wiadomości wielu adresów mailowych zdradzających tożsamość innych, podczas gdy taka informacja powinna pozostać poufna, bo np. zdradza listę klientów firmy będącej nadawcą wiadomości. Tych błędów łatwo uniknąć. Wystarczy wysyłać wiadomości z należytą uwagą (w szczególności zwracać ją na historię korespondencji, która „idzie” wraz z główną wiadomością), a także – w razie wysyłki maila o tej samej treści do wielu odbiorców – umieszczać ich adresy w polu „UDW” (a w polu odbiorcy jedynie samego siebie). Dla przykładu, podczas wysyłki maila z Outlooka można to zrobić w następujący sposób: link.

Co, jeśli to „system” automatycznie wysyła maile, np. z fakturami? W tym przypadku nie pozostaje nic innego jak upewnić się, że wprowadzona do niego baza wysyłkowa zawiera poprawne adresy mailowe, tak żeby dane zawarte w wiadomości nie trafiły w niepowołane ręce. Najczęściej wprowadzanie danych kontrahentów do systemu odbywa się przy nawiązywaniu z nimi współpracy, stąd podczas wprowadzania wymagana jest duża ostrożność. Warto też wprowadzić rozwiązanie polegające na potwierdzeniu prawidłowości maila poprzez np. kliknięcie przez odbiorcę linka w pierwszej, weryfikującej wiadomości.

Nierzadkie są również naruszenia związane z wysyłką korespondencji w formie papierowej do niewłaściwego adresata, np. poprzez omyłkowe włożenie świadectwa pracy do niewłaściwej koperty czy też wrzucenie koperty do niewłaściwej skrzynki na listy (przez listonosza albo przez osobę wyznaczoną ze wspólnoty mieszkaniowej). Omyłkowa wysyłka najczęściej wynika z błędu ludzkiego, który można wyeliminować poprzez np. regularne szkolenia pracowników z zakresu ochrony danych.

Pomylone dokumenty w wysyłanych paczkach

Nagminnym naruszeniem w przypadku sklepów internetowych jest też dołączanie do przesyłek z zamówionym przez klienta produktem rachunków, faktur czy gotowych formularzy odstąpienia od umowy, zawierających dane innego klienta. W tym przypadku niemniej ważne niż szkolenie pracowników w zakresie ochrony danych jest stworzenie szczegółowej procedury przygotowywania wysyłki towaru (najlepiej w formie double-check, gdzie jedna osoba pakuje produkt i dokumenty, a inna to dodatkowo sprawdza - zarówno zgodność przesyłki z zamówieniem, jak i dołączane dokumenty).

Naruszenia związane z niewłaściwym zabezpieczeń od strony IT, w tym ataki hackerskie

Reklama

Jednym z najbardziej głośnych naruszeń spowodowanych takimi atakami jest przypadek sklepu ze sprzętem elektronicznym ukaranego przez Prezesa UODO kwotą 2 830 410 zł za m.in. niedochowanie należytej staranności przy doborze środków technicznych i organizacyjnych, zapewniających bezpieczeństwo i poufność danych (choć w ocenie samej ukaranej spółki stosowane środki bezpieczeństwa były adekwatne do zagrożeń). W ramach postępowania UODO nie zgodziło się jednak na powołanie niezależnego biegłego dla oceny czy środki techniczne i organizacyjne stosowane przez Morele.net odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do działalności ukaranej spółki.

Innym, bardziej „pikantnym” przykładem naruszenia związanego z atakiem hackerskim, jest wyciek danych z portalu randkowego Ashley Madison, stworzonego dla osób pozostających w związkach. Choć miało to miejsce jeszcze przed wejściem w życie RODO, wyciek skończył koniecznością zapłaty przez właściciela portalu dużego odszkodowania.

Jaki wniosek płynie z kary nałożonej na Morele.net? Nie wystarczy stosować jakichkolwiek środków bezpieczeństwa IT. Muszą być one odpowiednie do zagrożeń. Co oznacza słowo „odpowiednie” w konkretnym przypadku, zależy od szeroko pojętego kontekstu przetwarzania danych przez konkretną organizację. Innych zabezpieczeń będzie potrzebować zakład blacharsko-lakierniczy, który wprowadza do swojej bazy CRM imię, nazwisko, numer telefonu klienta oraz nazwę i koszt wykonanej usługi, a innych duży podmiot leczniczy zapewniający opiekę medyczną tysiącom pacjentów. O dobranie odpowiednich zabezpieczeń IT warto zwrócić się do profesjonalisty, natomiast to co może zrobić mała firma jak wspomniany warsztat, to na przykład stosowanie (aktualizowanego) oprogramowania antywirusowego czy stworzenie (faktycznie funkcjonującej) procedury postępowania z hasłami dostępu (przede wszystkim ich regularnej zmiany).

Inne sposoby zapobiegania naruszeniom (niekoniecznie wynikającym ze złośliwych ataków z zewnątrz) to szyfrowanie pamięci urządzeń/plików z danymi osobowymi, dodatkowe mechanizmy weryfikacji użytkownika jak hasło czy PIN czy aktualizowane na bieżąco oprogramowanie kontrolujące dostęp do komputera z zewnątrz (firewall). Administratorzy powinni zapewnić odpowiednie procedury, aby ich personel zachował szczególną ostrożność podczas użytkowania nieznanych urządzeń USB oraz zachował wzmożoną czujność przy otwieraniu załączników poczty elektronicznej.

Zagubienie przez pracowników dokumentów

Najczęściej zdarza się to w sytuacjach, kiedy dokumenty są zabierane poza organizację, np. przy okazji wyjazdów do klienta. Pozostawienie dokumentów może mieć miejsce np. w komunikacji miejskiej albo u samego klienta. Stąd, jeżeli jest taka możliwość, najlepiej przewozić dokumentację w formie elektronicznej, tym bardziej, że jest to wygodniejsze. Zagubienie dokumentów wiąże się nie tylko z niebezpieczeństwem dostępu osób postronnych do danych osobowych w nich się znajdujących, ale także z utratą dostępu do tych danych, jeśli nie mamy utworzonej kopii.

Zagubione mogą być oczywiście także elektroniczne nośniki danych, zarówno poza organizacją, jaki i wewnątrz niej (np. pendrive). Oprócz wspomnianego szyfrowania nośników warto więc prowadzić również ich ewidencję, gdzie będzie zawarta informacja komu i kiedy nośnik został wydany oraz numer seryjny sprzętu. Podobnie jak w przypadku wysyłki korespondencji/maila na niewłaściwy adres, również w tym przypadku szkolenie pracowników z ochrony danych zwiększy ich świadomość i ostrożność przy „obchodzeniu się” z danymi, co walnie przyczyni się do wyeliminowania niebezpieczeństw związanych z zagubieniem dokumentów w firmie papierowej czy elektronicznej.

Zablokowanie dostępności do danych osobowych

Naruszenia to nie tylko wycieki danych. Gorsza od niewiążącego się z dużym niebezpieczeństwem wycieku może być utrata dostępności danych, uniemożliwiająca normalne funkcjonowanie organizacji. Dla przykładu, wyciek do Internetu imion, nazwisk oraz adresów mailowych klientów operatora telekomunikacyjnego będzie zdecydowanie mniej dla niego odczuwalny niż utrata dostępu do danych o usługach, z których klienci skorzystali, a tym samym niemożliwość wystawienia faktur.

Jak można zapobiec tego typu naruszeniom? Oprócz stosowania sprawdzonych, godnych zaufania rozwiązań informatycznych najlepiej po prostu regularnie wykonywać kopie zapasowe danych.

Niewłaściwa anonimizacja danych osobowych oraz niewłaściwe niszczenie archiwalnej dokumentacji

Kwestia właściwego przetwarzania danych osobowych bywa spychana na jeszcze dalszy plan, kiedy w grę wchodzą dane osobowe już „niepotrzebne”, czyli dane byłych pracowników czy byłych klientów. Dane, co do których minął już okres zgodnego z prawem przechowywania trzeba usunąć lub (kiedy są potrzebne np. do celów statystycznych) co najmniej zanonimizować. Naruszenie w tym obszarze może polegać przykładowo na przekazaniu telefonów służbowych (w których przed przekazaniem nawet nie przywrócono ustawień fabrycznych) firmie utylizującej sprzęt o wątpliwej renomie na rynku, bądź też przekazanie ich bez odpowiednich zapisów umownych (umowy powierzenia). Może się okazać, że takie telefony dostają potem „drugie życie”, co oznacza dostęp nowego właściciela do służbowego konta mailowego pracownika firmy, która jest przekonana, że telefon został zniszczony.

Jak temu zapobiec? Szkolić, szkolić i jeszcze raz szkolić. Podstawowa wiedza z zakresu bezpieczeństwa informacji mogłaby wspomnianej wyżej sytuacji zapobiec. Skuteczne może być też wprowadzenie szczegółowych instrukcji postępowania z dokumentami i nośnikami zawierającymi dane (w tym metod anonimizacji danych), które nie są już potrzebne.

Udostępnianie nagrań z monitoringu „bez żadnego trybu”

Częstym naruszeniem w dużych sieciach handlowych jest niefrasobliwość personelu sklepu w zakresie nie tylko przekazywania nagrań z monitoringu, ale także jego okazywania, bez głębszej refleksji nad celowością oraz podstawą prawną takiego działania. W sytuacji, kiedy zgłasza się klient sklepu z prośbą o przekazanie lub pokazanie nagrania, pracownik sklepu/ochroniarz powinien bezwzględnie najpierw sam (nie w obecności klienta) zweryfikować, czy opisywana przez klienta sytuacja została zarejestrowana, a dopiero potem udostępnić/okazać nagranie. Przy czym bardzo ważne jest, żeby udostępnienie/okazanie było szczegółowo uregulowane w procedurach sieci handlowej (np. na czyje polecenie ochroniarz może udostępnić nagranie, czy ma to być kierownik sklepu, czy osoba z centrali wyznaczona do koordynowania działań związanych z ochroną danych osobowych). Najlepiej, gdyby takie procedury były wydrukowane i wywieszone tuż przy stanowiskach, na których następuje okazywanie/udostępnianie nagrania.

Nauka na czyichś błędach, czyli Polak mądry przed szkodą

Prowadzisz małą firmę i zwyczajnie nie stać cię na drogie zabezpieczenia? Zastanów się, czy w twoim przypadku są one na pewno potrzebne. Być może wystarczy rzetelne przeszkolenie pracowników, stałe kładzenie nacisku na ochronę danych w firmie oraz znajomość najczęściej występujących i zgłaszanych naruszeń, aby im zapobiec na własnym poletku.

R.pr. Katarzyna Szczypińska, Specjalista ds. ochrony danych ODO 24

Dowiedz się więcej z naszej publikacji
Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu. Obowiązki biur rachunkowych
Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu. Obowiązki biur rachunkowych
Tylko teraz
89,00 zł
99,00
Przejdź do sklepu
Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Moja firma
    1 sty 2000
    4 sie 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Pre-pack – korzyść dla dłużnika, ale czy dla wierzycieli?

    Pre-pack, czyli przygotowana likwidacja polega na ogłoszeniu upadłości dłużnika z równoległym wskazaniem przez sąd nabywcy, ceny i innych warunków sprzedaży majątku dłużnika.

    Jakość rozliczeń MŚP [BADANIE]

    Z cyklicznego badania wśród MŚP realizowanego dla Rejestru Dłużników BIG InfoMonitor wynika, iż jakość rozliczeń B2B utrzymała się na podobnym poziomie jak w drugim kwartale.

    Ile m2 mają nasze mieszkania?

    Ile m2 mają nasze mieszkania? Trochę ponad 29 metrów kwadratowych – taka powierzchnia przypada w Polsce na statystycznego obywatela. W Europie standard jest wyższy, czasami nawet ponad dwa razy wyższy – sugerują dane Eurostatu.

    Polski Ład. Zmiany zasad opodatkowania nieruchomości

    Opodatkowanie wynajmu nieruchomości. Zmiany zasad opodatkowania nieruchomości zawarte w programie Polski Ład doprowadzą do wzrostu czynszu za wynajmowane mieszkania. Uderzą również w przedsiębiorców, którzy rejestrują swoje biura czy gabinety w lokalach mieszkalnych.

    Coraz mniej gruntów do zagospodarowania

    Zasoby gruntów państwowych. Tylko ok. 165 tys. hektarów państwowej ziemi nie zostało dotychczas zagospodarowane. Część tych gruntów może być jeszcze sprzedana lub wydzierżawiona na cele rolne, ale większość z nich cechuje niska przydatność rolnicza oraz znaczne rozdrobnienie - informuje Krajowy Ośrodek Wsparcia Rolnictwa (KOWR).

    Check engine: czy można jeździć?

    Check engine: czy można jeździć? Czasami tak, a czasami nie. To wszystko zależy od tego czy pojawieniu się kontrolki towarzyszą dodatkowe objawy.

    Polski Ład. Zmiany w uldze mieszkaniowej

    Ulga mieszkaniowa. Polski Ład zakłada modyfikację przepisów w zakresie ulgi mieszkaniowej. Zmiany dotyczą wydatków na spłatę kredytu (pożyczki) oraz odsetek od tego kredytu (pożyczki) zaciągniętego na zbywaną nieruchomość. Co ulegnie zmianie?

    Kontrolka silnika: co oznacza?

    Kontrolka silnika: co oznacza? Jej zaświecenie się w czasie jazdy bez wątpienia stanowi ważny sygnał. Ale czy zawsze dalszą podróż należy przerwać?

    Wibracje w samochodzie: skąd się biorą?

    Wibracje w samochodzie, czyli dziś opowiemy o tym, skąd się biorą drgania w kabinie w czasie jazdy. A najczęstszym ich powodem są... opony!

    Ile kosztuje metr kwadratowy mieszkania w Warszawie?

    Ceny mieszkań w Warszawie. Na koniec połowy 2021 roku po raz pierwszy w historii cena metra kwadratowego mieszkania pozostającego w ofercie w Warszawie przekroczyła 12 tys. zł i była o 7,8 proc. wyższa niż w końcówce 2020 roku.

    Ostatnie 4 dni na wycofanie się z oferty przedłużenia umowy najmu lokalu w centrum handlowym

    Najemcom lokali w centrach handlowych pozostały ostatnie 4 dni na wycofanie się z oferty przedłużenia umów najmu – termin mija 6 sierpnia 2021 roku.

    Bezpieczeństwo danych w chmurze - certyfikaty bezpieczeństwa

    Pro dostawca usług w chmurze powinien posiadać niezbędne certyfikaty, które są potwierdzeniem, że nasze dane będą całkowicie bezpieczne. Na praktyki bezpieczeństwa składają się również inne czynności, prowadzone przez dostawcę, na przykład kontrole ryzyka czy audyty wewnętrzne oraz zewnętrzne. W jaki sposób zapewnić bezpieczeństwo danych w chmurze? Którzy z usługodawców działających na polskim rynku są godni zaufania? I czy w ogóle chmura może być bezpieczna?

    Przyczyny wypadków na autostradzie. Co mówią statystyki?

    Przyczyny wypadków na autostradzie? Dziś przyjrzymy się statystykom z polskich dróg. Na jakie nieprawidłowe zachowania kierowców wskazują?

    Zaległości branży fitness rosną [BADANIE]

    Wraz ze zniesieniem części ograniczeń, przyrost długów branży sportowej przyhamował. Nie dotyczy to klubów fitness i siłowni, które mają niemal 23 mln zł zaległości.

    Tańsza energia elektryczna. Umowy z cenami dynamicznymi

    Energia elektryczna - ceny. Możliwość uzyskania niższych cen za energię, jako efekt dostosowywania swojego zużycia energii w odpowiedzi na sygnały rynkowe, to najważniejszy dla odbiorców skutek zmian proponowanych przez Ministerstwo Klimatu i Środowiska w projekcie nowelizacji ustawy – Prawo energetyczne oraz ustawy o odnawialnych źródłach energii, wprowadzającym umowy z tzw. cenami dynamicznymi.

    Nowy Peugeot 308 SW w Polsce. Znamy cennik francuskiego kombi!

    Nowy Peugeot 308 SW oficjalnie pojawił się w Polsce. Znamy cennik auta. Za francuskie kombi trzeba zapłacić co najmniej 91 800 zł.

    Volkswagen Passat GTE: test niemieckiej hybrydy plug-in

    Volkswagen Passat GTE ma przestronną kabinę i duży bagażnik. Czy rodzinne nadwozie uzupełnione hybrydą plug-in sprawdza się w praktyce?

    Content marketing w biznesie – jak to robić dobrze

    Content marketing w biznesie. Gdy na marketingowym horyzoncie pojawia się hasło “content”, naturalnym skojarzeniem jest produkcja, dystrybucja i zarządzanie treścią, która z jednej strony dawałaby wymierną wartość dla odbiorcy, a z drugiej – kreowała pożądany wizerunek danej marki. Tyle i aż tyle? W praktyce działania contentowe to o wiele bardziej złożone przedsięwzięcia, a potencjalni twórcy pożądanych materiałów powinni dwa razy się zastanowić przed postawieniem pierwszego przecinka lub kropki.

    Kredyt na samochód. Jaki wybrać i czym się różnią?

    Kredyt na samochód, czyli kredyt gotówkowy, kredyt samochodowy i leasing konsumencki. Która forma jest najlepsza?

    Wydatki na mieszkanie w budżecie domowym

    Wydatki na mieszkanie. Wydatki na utrzymanie i wyposażenie mieszkania lub domu w Polsce stanowią prawie 25% wydawanych przez nas pieniędzy – wynika z danych Eurostatu. To jeden z najgorszych wyników w Europie. Co ciekawe, jeszcze gorzej jest w Niemczech.

    Rolniczy handel detaliczny - co się zmieni

    Rolniczy handel detaliczny. 30 lipca Rada Ministrów przyjęła projekt ustawy o zmianie niektórych ustaw w celu ułatwienia prowadzenia przez rolników rolniczego handlu detalicznego, przedłożony przez ministra rolnictwa i rozwoju wsi. Wejście w życie nowych rozwiązań uzależnione jest od przebiegu procesu notyfikacji projektu ustawy w Komisji Europejskiej i w państwach członkowskich UE.

    Bezpieczne wakacje 2021: o czym pamiętać?

    Bezpieczne wakacje 2021 to pojęcie, o którym w tym roku Policja powtarza do znudzenia. Te zasady naprawdę warto jednak przyswoić. Jak brzmią?

    e-Bilety Morskie Oko. Rezerwacja lub nie zaparkujesz!

    e-Bilety Morskie Oko - to jedyny sposób, aby w najbliższych dniach zostawić auto w Palenicy Białczańskiej. Muszą o tym wiedzieć odwiedzający TPN.

    Rynek nieruchomości biurowych w Polsce

    Rynek nieruchomości biurowych. Sytuacja związana z pandemią istotnie wpłynęła na rynek biurowy. Inwestorzy w sektorze biurowym jeszcze mocniej stawiają obecnie, zarówno na rozwiązania energooszczędne, jak również ekologię i udogodnienia z zakresu wellbeingu.

    Trudniej o kredyt hipoteczny - nowa Rekomendacja S

    Kredyty hipoteczne - Rekomendacja S. Od lipca bieżącego roku obowiązują nowe zasady udzielania kredytów mieszkaniowych. Co o „nowej” Rekomendacji S przyszły kredytobiorca wiedzieć powinien?