Artykuł 6 najczęstszych naruszeń ochrony danych w Polsce pochodzi z serwisu CRN.
]]>Większość najczęściej występujących naruszeń, które wystawiają organizację na ryzyko kar za RODO albo roszczenia poszkodowanych, nie jest trudna do usunięcia. Warto pamiętać, że w zasadzie w każdym przypadku ważne jest szkolenie pracowników z zakresu ochrony danych.
Oto najczęstsze naruszenia ochrony danych i rady, jak ich uniknąć – według ODO24.
Jedno z typowych naruszeń. Także wprowadzenie w polu odbiorcy wiadomości wielu adresów mailowych zdradzających tożsamość innych osób może prowadzić do problemów, np. możemy zdradzić listę klientów firmy. Taki błędy można wyeliminować przez szkolenia pracowników z zakresu ochrony danych.
Zdarza się, że e-sklepy dołączają do wysyłki towaru rachunki czy faktury zawierających dane innego klienta, a nie tego, który nie jest adresatem dostawy. W tym przypadku ważne jest stworzenie szczegółowej procedury przygotowywania wysyłki towaru.
Warto zadbać o szkolenia pracowników z zakresu bezpieczeństwa cyfrowego, aby np. unikali ryzykownych zachowań (jak otwieranie załączników w mailach niewiadomego pochodzenia). Trzeba wdrażać także aktualizacje oprogramowania i zabezpieczenia adekwatne do zagrożeń. Warto rozważyć stworzenie procedury postępowania z hasłami dostępu. Inne sposoby to szyfrowanie pamięci urządzeń/plików z danymi osobowymi, dodatkowe mechanizmy weryfikacji użytkownika jak hasło czy PIN.
Najczęściej zdarza się to w sytuacjach, kiedy firmowe materiały są zabierane poza biuro.
„Jeżeli jest taka możliwość, najlepiej przewozić dokumentację w formie elektronicznej. Elektroniczne nośniki oczywiście też można zgubić, dlatego oprócz ich szyfrowania warto prowadzić również ich ewidencję, zawierającą informacje komu i kiedy nośnik został wydany oraz numer seryjny sprzętu” – radzi Katarzyna Szczypińska, specjalista ds. ochrony danych, ODO 24.
Dane, którym minął okres zgodnego z prawem przechowywania, trzeba usunąć lub co najmniej zanonimizować. Naruszenie w tym obszarze może polegać przykładowo na przekazaniu telefonów służbowych firmie utylizującej sprzęt o wątpliwej renomie na rynku, bądź też przekazanie ich bez odpowiednich zapisów umownych. Tutaj zalecane jest wprowadzenie szczegółowych instrukcji postępowania z dokumentami i nośnikami zawierającymi dane (w tym metod anonimizacji), które nie są już potrzebne.
Częstym naruszeniem w sieciach handlowych jest niefrasobliwość personelu sklepu w zakresie nie tylko przekazywania nagrań z monitoringu, ale także jego okazywania, bez refleksji nad celowością oraz podstawą prawną takiego działania.
„Bardzo ważne jest, żeby udostępnienie/okazanie nagrań było szczegółowo uregulowane w procedurach sieci handlowej (np. na czyje polecenie ochroniarz może udostępnić nagranie, czy ma to być kierownik sklepu, czy osoba z centrali wyznaczona do koordynowania działań związanych z ochroną danych osobowych). Najlepiej, gdyby takie procedury były wydrukowane i wywieszone tuż przy stanowiskach, na których następuje okazywanie/udostępnianie nagrania” – wskazuje Katarzyna Szczypińska.
Artykuł 6 najczęstszych naruszeń ochrony danych w Polsce pochodzi z serwisu CRN.
]]>Artykuł 88 proc. firm przeszło na pracę zdalną pochodzi z serwisu CRN.
]]>Zmiana trybu pracy oznacza konieczność zadbania przez działy IT przedsiębiorstw albo partnerów obsługujących biznes na zasadzie outsourcingu o odpowiednie zabezpieczenia i infrastrukturę, jak bezpieczny sprzęt, monitorowanie ruchu sieciowego i in. Oto checklista dla działów IT wg Odo24pl.
|
Jak zorganizować pracę zdalną w firmie – checklista dla działów IT |
|
Przypomnij pracownikom obowiązujące w Twojej firmie procedury odnoszące się do pracy zdalnej. |
|
Wydaj pracownikom sprzęt, na którym mają pracować (m.in. laptopy, telefony komórkowe), pamiętając w szczególności o:
|
|
Przekaż pracownikom informacje, w jaki sposób mogą kontaktować się z Tobą w przypadku problemów technicznych (podaj adres e-mail lub/i numer telefonu). |
|
Poproś pracowników, aby zobowiązali się do korzystania z internetu służbowego (np. hotspot Wi-Fi z telefonu służbowego), a jeżeli nie jest to możliwe poproś ich o potwierdzenie, że zmienili domyślne hasło do domowego routera, i że odpowiada ono zasadom bezpieczeństwa ustanowionym w Twojej organizacji. |
|
Zobowiąż pracowników, aby przed zalogowaniem się do systemów firmowych połączyli się z VPN. |
|
Poproś pracowników, aby przeznaczyli wybraną część swojego mieszkania do wykonywania pracy zdalnej oraz ograniczyli dostęp do niej osobom postronnym (członkowie rodziny, znajomi, dostawcy żywności). |
|
Zobowiąż pracowników do ochrony drukowanych przez nich dokumentów przed nieautoryzowanym dostępem osób postronnych. |
|
Zobowiąż pracowników do przechowywania wszystkich wytworzonych informacji na firmowych serwerach. Jeśli nie jest to możliwe, czasowe przechowywanie informacji firmowych na urządzeniach mobilnych chronionych hasłem i zaszyfrowanych (np. laptopie, dysku przenośnym) jest dozwolone za uprzednią zgodą działu IT. |
|
Przygotuj i przeszkól pracowników na zagrożenia związane z pracą zdalną (np. pishing, malware, USB killer). |
|
Monitoruj ruch sieciowy pod kątem możliwych anomalii. |
|
Przeskanuj urządzenia pracowników pod kątem szkodliwego oprogramowania przed ponownym podłączeniem ich do sieci służbowej. Niezależnie od powyższego możesz wykonać ponowną instalację systemu operacyjnego, co będzie dobrym pretekstem do usunięcia niepotrzebnych plików i przeniesienia plików zapisanych dotychczas lokalnie na Twój serwer firmowy. |
|
Wskaż z kim pracownicy powinni się kontaktować w przypadku incydentów związanych z bezpieczeństwem informacji. |
Źródło: Odo24.pl
Artykuł 88 proc. firm przeszło na pracę zdalną pochodzi z serwisu CRN.
]]>Artykuł Błędy popełniane przy RODO pochodzi z serwisu CRN.
]]>Niewłaściwa analiza ryzyka
Dyrektywa RODO pozwala firmom dobierać rozwiązania do ochrony danych w oparciu o prawidłowo przeprowadzoną analizę ryzyka. Gdy została ona wykonana niewłaściwie, prawdopodobnie doprowadzi do błędnego zidentyfikowania zagrożenia, a w konsekwencji do złego zabezpieczenia danych.
Jak zauważa ODO24, normą stało się stosowanie prowizorycznych narzędzi do analizy ryzyka. Dysponują nimi firmy zajmujące się ochroną danych „z doskoku”. Złą praktyką jest również brak współpracy z właścicielami procesów przy określaniu związanego z nimi ryzyka i przez to jego nieuwzględnienie. Błędem jest także prowadzenie analizy w sposób wygodny dla administratora, tak by nie było potrzebne wiele działań czy wydatków.
Niedostosowanie systemu IT
Zgodnie z art. 32 RODO w oparciu o ustalenia analizy ryzyka organizacje przetwarzające dane osobowe muszą wdrożyć „odpowiednie” środki techniczne i organizacyjne.
Najwięcej wątpliwości może budzić konieczność zagwarantowania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b). Firmy nie wiedzą, jakie środki mają wdrożyć, by spełnić to oczekiwanie.
"Nawet dogłębne zapoznanie się z przepisami i poradnikami opublikowanymi przez prezesa UODO czy wytycznymi grupy roboczej art. 29, nie dają jednoznacznej odpowiedzi na pytanie" – zaznacza Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.
"Mówiąc o dostosowaniu obszaru IT do nowych regulacji prawnych, nie sposób pominąć odpowiedniej dokumentacji. Mimo iż RODO nie narzuca administratorom danych dokładnego zakresu wewnętrznych polityk, to wyraźnie naciska na ich obecność w organizacji" – wskazuje Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24.
Kolejnym bardzo ważnym elementem jest dostosowanie infrastruktury do realizacji praw osób, których dane dotyczą.
Ignorowanie zewnętrznych podmiotów
Część administratorów ignoruje kwestię udziału zewnętrznych podmiotów w przetwarzaniu danych (np. gdy w ramach outsourcingu zajmują się nimi kontrahenci przedsiębiorstwa, np. w zakresie wsparcia IT, hostingu, księgowości). Inni z kolei masowo zawierają umowy powierzenia danych osobowych ze wszystkimi zewnętrznymi podmiotami, bez głębszej analizy i wchodzenia w szczegóły licząc, że w razie kontroli docenione zostanie ich, nawet błędne, podejście.
Trzeba pamiętać, by weryfikować podmiot zewnętrzny w zakresie spełniania przez niego wymogów RODO. Jako administrator firma ma więc obowiązek upewnić się, czy zapewnia on odpowiednie środki techniczne i organizacyjne, gwarantujące zgodność przetwarzania danych z RODO. W praktyce jednak mało kto zaprząta sobie głowę taką weryfikacją.
Artykuł Błędy popełniane przy RODO pochodzi z serwisu CRN.
]]>Artykuł Czy RODO unieważni stare zgody marketingowe? pochodzi z serwisu CRN.
]]>– Obecnie niezbędne informacje o ochronie danych osobowych są umieszczane w regulaminach stron czy sklepów internetowych, z których korzystamy lub w ich politykach prywatności. Aktualne przepisy narzucają jedynie obowiązek poinformowania w nich, kto jest administratorem danych osobowych, w jakim celu dane są przetwarzane oraz gdzie należy się zwrócić, jeżeli użytkownik chce dokonać ich usunięcia – twierdzi Paweł Mielniczek z ODO 24.
– Przedsiębiorcy mogą odetchnąć z ulgą jeżeli do tej pory gromadzili je zgodnie z wymaganiami ustawy o ochronie danych osobowych oraz uwzględniając stanowiska GIODO. Nie będą musieli także zbierać nowych zgód – zapewnia ekspert.
Ale nie znaczy to, że nie trzeba już nic zmieniać w tym obszarze.
Nowe zapisy w regulaminach
Podmioty zarządzające stronami www muszą zmodyfikować regulaminy i zamieścić odpowiednie zapisy w poszczególnych dokumentach.
W dokumencie dotyczącym ochrony danych osobowych – oprócz szczegółów, które są obecnie podawane – powinny znaleźć się m.in. następujące informacje:
• jak długo dane będą przechowywane przez firmę;
• o prawie do bycia zapomnianym, czyli o tym, że w każdej chwili można poprosić o zaprzestanie wykorzystywania danych osobowych;
• gdzie należy złożyć skargę, jeżeli przedsiębiorca narusza przepisy;
• odnośnie zautomatyzowanego przetwarzania w formie tzw. profilowania twardego. W tym przypadku należy pamiętać, że będzie to możliwe wyłącznie po wcześniejszym wyrażeniu osobnej zgody np. w formie checkboxa.
Zmiany w zgodach
RODO wprowadza również zmiany w zgodach wyrażanych przez użytkowników. Pierwsza modyfikacja dotyczy formy.
– Zgoda nie musi być jedynie oświadczeniem. Może być również potwierdzeniem, co jest niedopuszczalne. Według RODO okienka domyślnie zaznaczone lub niepodjęcie działania nie powinno być interpretowane jako zgoda – informuje Paweł Mielniczek. Ponadto w rozporządzeniu zawarty został minimalny zakres informacji o procesie przetwarzania danych: kto jest ich administratorem oraz w jakim celu mogą zostać wykorzystane.
Zgodnie z RODO wyrażenie zgody powinno być:
• możliwe do wycofania, art. 7 ust. 3 wprowadza wymóg poinformowania o tym fakcie jeszcze przed jej wyrażeniem;
• dobrowolne, wg. art. 7 ust. 4 „w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy”;
• jasno sformułowane, art. 7 ust. 2 wskazuje, że „zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”;
Przedsiębiorcy, którzy nie dostosują się do wymogów RODO, narażają się na wysokie kary – do 4 proc. obrotów rocznych firmy lub 20 mln euro.
Artykuł Czy RODO unieważni stare zgody marketingowe? pochodzi z serwisu CRN.
]]>Artykuł Projekt ustawy o ochronie danych osobowych pochodzi z serwisu CRN.
]]>– Ministerstwo Cyfryzacji odpowiedzialne za wdrożenie rozporządzenia o ochronie danych osobowych w polskim systemie prawnym przedstawiło roboczy, tzn. niekompletny projekt polskiej ustawy o ochronie danych osobowych – podkreśla w rozmowie z Newserią Biznes Maciej Kaczmarski, prezes ODO24, firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji. – Ma on dużo braków.
Projekt zawiera też kilka kontrowersyjnych przepisów, uważa szef ODO24. Wątpliwości może budzić zastąpienie Generalnego Inspektora Ochrony Danych Osobowych przez prezesa Urzędu Ochrony Danych Osobowych (UODO). Wiąże się to z zapisem w unijnej dyrektywie, że inspektor ochrony danych ma być osobą fizyczną wyznaczaną przez administratora lub podmiot przetwarzający i zobowiązaną do szeroko rozumianego monitorowania przestrzegania przepisów RODO.
– Niestety, nie jest wskazane, kto tego prezesa będzie wybierał. To niepokojący element, pojawia się pytanie, czy urząd będzie niezależny – zaznacza prezes ODO24. – Urząd zawsze w pewnym sensie był upolityczniony, do tej pory GIODO wybierał parlament.
Nowością w przepisach unijnych jest możliwość uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od dziecka, które ukończyło 16 rok życia. Polska chce skorzystać jednak z uprawnienia, jakie przysługiwało ustawodawcy krajowemu, i obniżyć tę barierę do 13 lat. Zgodnie z Kodeksem cywilnym osoba, która ukończyła 13 lat, ma ograniczoną zdolność do czynności prawnych, może więc wyrazić zgodę na przetwarzanie danych, zwłaszcza że zawsze będzie można ją cofnąć.
Parlament Europejski do decyzji państw członkowskich zostawił też kwestię kar administracyjnych nakładanych na instytucje publiczne. Zgodnie z rozporządzeniem może sięgnąć 20 mln euro lub 4 proc. ubiegłorocznego globalnego przychodu.
– W projekcie polskiej ustawy o ochronie danych osobowych pojawiła się informacja, że instytucje publiczne będą mogły zostać ukarane karą pieniężną do wysokości 100 tys. zł, znacznie niższą niż przedsiębiorstwa państwowe – mówi Maciej Kaczmarski. – Zgodnie z przytaczaną argumentacją niższa kara ma służyć temu, żeby urząd przypadkiem nie został doprowadzony do sytuacji, kiedy nie może wypełniać swoich statutowych obowiązków, co byłoby ze szkodą dla społeczeństwa.
Jego zdaniem projekt ustawy jest fragmentaryczny. Część istotnych kwestii pomija, np. kwestii nowelizacji innych ustaw, a jak przypomina ekspert, rozporządzenie wymusza zmianę nawet 200 przepisów w ustawach.
– Rozporządzenie wprowadza naprawdę dużo zmian – zaznacza prezes ODO24. – Skoro zmienia od kilkudziesięciu do setek polskich ustaw, to uzgodnienie takich szczegółowych kwestii, wypracowanie wspólnego stanowiska, później zapisania go w takiej formie, żeby prawo było jednoznaczne, na pewno nie będzie proste.
Jak podkreśla, istotne jednak, że taki projekt w ogóle się pojawił.
– Pracodawcy odbierają nową regulację jako groźną dla siebie nie tylko z uwagi na wysokie kary, lecz także z uwagi na pojawiający się obowiązek autodonosu, czyli konieczności poinformowania UODO o wycieku danych osobowych, który u nich wystąpił – tłumaczy Maciej Kaczmarski. – Jeśli pracodawca poinformuje organ, to będzie miał u siebie kontrolę i wcale go to nie zwolni z odpowiedzialności. Jeśli zaś tego nie zrobi, jest zagrożony karą do 10 mln euro. Jak na polskie warunki są to sumy astronomiczne, więc to ogniskuje bardzo uwagę przedsiębiorców na szczegółowych regulacjach dotyczących rozporządzenia
Jak informuje resort, projekt ustawy o ochronie danych osobowych może trafić do Sejmu na jesieni tego roku, aby proces legislacyjny zakończył się na początku 2018 roku. Zostanie wówczas kilka miesięcy na przygotowanie się do wejścia w życie nowych przepisów.
Źródło: Newseria
Artykuł Projekt ustawy o ochronie danych osobowych pochodzi z serwisu CRN.
]]>