Szkolenia to podstawa.

szkolenia wyciek danych osobowych RODO IOD

Rozważania na szybko: Coraz częściej mają miejsce wycieki danych osobowych i nasuwa się pytanie – co jest ich najczęstszą przyczyną i jak możemy temu zapobiec? Jedna z odpowiedzi to pracownicy i współpracownicy są najsłabszymi ogniwami w ochronie danych osobowych. A szkolenia dla nich to podstawa.

Dlaczego człowiek jest najsłabszym ogniwem w procesie ochrony danych osobowych?

Brak odpowiedniego finansowania procesów związanych z bezpieczeństwem przetwarzanych danych osobowych jest najczęstszą, pośrednią przyczyną występowania naruszeń danych osobowych. Od oszczędności na szkoleniach (ich jakości, długości/programie, cykliczności, doświadczeniu prowadzącego), oprogramowaniu, sprzęcie poprzez zatrudnianie niewykwalifikowanych pracowników na stanowiskach, które mają bezpośredni wpływ na bezpieczeństwo danych osobowych (administratorzy systemów informatycznych, pracownicy działu IT). Organizacje, ograniczając swoje wydatki na bezpieczeństwo danych osobowych, ryzykują zwiększenie szansy powstania wycieków danych osobowych, poprzez błędy ludzkie lub słabo zabezpieczone systemy.

Oszczędności….

Organizacje szukając oszczędności często delegują lub łączą stanowisko odpowiedzialne za ochronę danych osobowych (np.: ABI) z innymi już istniejącymi stanowiskami (pracownicy kadr, kierownicy czy informatycy). W takiej sytuacji napotykamy na często powtarzający się problem, kiedy pracownik wykonujący swoje główne obowiązki (np.: informatyka) nie ma już czasu na zajmowanie się kwestiami związanymi z ochroną danych osobowych tj. śledzenie zmian w prawie, szkolenie nowych pracowników, przeprowadzenie audytów, aktualizowanie dokumentacji przetwarzania danych osobowych itp.

Kwestia oszczędności na szkoleniach to złożony temat. W zależności od „wielkości” firm podejście do szkoleń może być trochę inne. Szkolenie dla małych firm (mała liczba pracowników – kilka/kilkanaście osób) wiąże się z przeszkoleniem np.: wszystkich osób na raz – co powoduje „paraliż firmy” w czasie szkolenia, a rozbicie szkoleń na małe grupki może podnieść koszt takiej usługi. Aby obniżyć koszt szkolenia, firmy nie dobierają szkolenia pod kątem merytorycznym, ale „aby tylko jakieś było i najtaniej”, co oczywiście wpływa negatywnie na jakość takich szkoleń a co za tym idzie na wiedzę uczestników czyli osób które później będą w danej firmie będą przetwarzały dane osobowe.

Szkolenia w dużych firmach (duża ilość pracowników – powyżej kilkuset) mogą powodować czasowe obniżenie wydajności poszczególnych działów ze względu na brak osób, odpowiedzialnych za konkretne działania lub procesy. Dodatkowo dochodzi często konieczność ściągnięcia pracowników z różnych rejonów kraju czy nawet zagranicy co dodatkowo wydłuża czas potrzebny na odbycie szkolenia, a co za tym idzie podnosi koszty. Z tego powodu większe organizacje sięgają po szkolenia e-learnigowe, gdzie pracownik sam zapoznaje się z materiałami szkoleniowymi i później rozwiązuje test weryfikujący wiedzę. To rozwiązanie jest odpowiednie przy szkoleniu pracowników, którzy dopiero zaczynają pracę jednak nie jest ono w stanie w pełni zastąpić szkoleń warsztatowych i wykładowych, które prowadzi doświadczony wykładowca. Szkolenia dla kadry zarządzającej i pracowników którzy na co dzień przetwarzają dane osobowe powinny zostać przeprowadzone w formie wykładowej lub warsztatowej – gdzie pracownicy mogą na bieżąco się zadawać pytania i wyjaśniać wątpliwości.

Czemu szkolenia?

Szkolenia mają na celu przekazanie wiedzy dotyczącej ochrony danych osobowych oraz uświadomienie pracowników jaka w związku z tym spoczywa na nich odpowiedzialność. Informacje przekazywane w ramach szkoleń dotyczą przede wszystkich sposobów zapewnienia bezpieczeństwa przetwarzanych danych i uczą pracowników prawidłowych zachowań (np.: prawidłowego zabezpieczania maili z wysyłanymi danymi osobowymi, niszczenia dokumentów, archiwizowania dokumentów, odpowiedniej ochrony laptopów czy telefonów, sprawdzenie adresatów podczas wysyłki maili, sprawdzenie przed wyjściem z pracy czy komputer jest wyłączony i drzwi pozamykane).

Dlaczego szkolenie pracowników z zakresu ochrony danych osobowych jest takie ważne? Błąd pracownika może spowodować wyciek danych, co z kolei może skutkować kontrolą organu nadzorczego, grzywną (karą finansową w przyszłości), koniecznością zapłaty odszkodowań lub zadośćuczynień dla osób których dane zostały ujawnione, utratą zaufania klientów i kontrahentów. Im więcej danych osobowych jest wykorzystywanych w działalności firmy, tym wyższe jest ryzyko ludzkiego błędu, który może spowodować ujawnienie danych osobowych osobom nieupoważnionym. Dodatkowo warto podkreślić, że szkolenie jest to jedyny sposób przed zabezpieczeniem się na bardzo niebezpieczne ataki socjotechniczne poprzez wytworzenie świadomości potencjalnego zagrożenia u pracowników.

Decyzje z konsekwencjami.

Kluczowe znaczenie dla bezpieczeństwa danych osobowych ma świadomość osób decyzyjnych w firmie. To one decydują o budżecie firmy. Wprowadzenie rozwiązań z zakresu ochrony danych osobowych stanowić może istotny wydatek (szczególnie jeżeli firma przygotowuje się do spełnienia warunków z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w skrócie RODO), dlatego tak ważne jest aby wydatki na ochronę danych osobowych (szkolenia, audyt, konieczność zmian w systemach informatycznych itp.) zostały uwzględnione już na etapie planowania budżetu firmy na przyszły rok.

Szkodliwe dla bezpieczeństwa danych w firmie, jest podejście polegające na bagatelizowaniu ryzyka wystąpienia naruszenia danych osobowych, w tym wycieku danych, bazujące na przeświadczeniu, że do tej pory naruszenie nie miało miejsca. Żadne działania nie cofną (mogą jedynie zminimalizować skutki) i nie naprawią wycieku już ujawnionych danych – a co za tym idzie nie uchronią przed konsekwencjami wycieku. Niezbędne dla minimalizowania ryzyka związanego z wyciekiem danych są działania prewencyjne.

Brak profesjonalizmu.

Niewykwalifikowani pracownicy działów informatycznych, niezależnie czy zatrudnieni w firmie czy działający na ramach usług outsourcingowych, mogą stanowić duże zagrożenie dla bezpieczeństwa danych osobowych. Błędy popełnione przy zabezpieczaniu baz z danymi osobowymi stanowią najgłośniejsze sprawy opisywane i nagłaśniane przez media, a wycieki takich danych często dotykają dziesiątek lub setek tysięcy osób. Wiąże się to najczęściej z umożliwieniem dostępu do bazy klientów poprzez stronę firmową. W zależności od tego jakie dane firma przetwarza, najbardziej groźne są informacje, które umożliwiają zaciągnięcie zobowiązań finansowych podszywając się pod osoby których dane były pomyłkowo udostępnione lub dane wrażliwe dotyczące stanu zdrowa, poglądów politycznych czy wyznania. Dużymi uchybieniami ze strony działów IT są również niedostateczne zabezpieczenia komputerów i systemów informatycznych przed szkodliwym oprogramowaniem czy atakami hackerów.

Pracownik odpowiedzialny za wyciek danych osobowych, niezależnie czy był to błąd, zaniedbanie lub działanie umyślne – może zostać pociągnięty do odpowiedzialności dyscyplinarnej wynikającej z przepisów kodeksu pracy i odpowiedzialności przewidzianej przez przepisy ustawy o ochronie danych osobowych.

Zapewnianie pracownikom szkoleń z ochrony danych osobowych jest koniecznym elementem budowania ich świadomości w zakresie bezpieczeństwa danych osobowych i niezbędnym krokiem do przeciwdziałania wyciekom danych osobowych.

 

(RODO) – oświadczenie dotyczące ochrony danych

rodo reforma ochrony danych

Komisja Europejska – Oświadczenie

Oświadczenie wiceprzewodniczącego Andrusa Ansipa i komisarz Věry Jourovej na rok przed rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych

Bruksela, 24 maja 2017 r.

W ubiegłym roku zostały przyjęte przez UE nowe unijne standardy ochrony danych. Ich powodzenie zależy nie tylko od dostosowania przez państwa członkowskie przepisów krajowych do nowych zasad, ale również od wiedzy obywateli na temat ich nowych praw i od gotowości przedsiębiorstw w UE do stosowania nowych przepisów, kiedy te wejdą w życie.

Mamy rok na przeprowadzenie we współpracy ze wszystkimi państwami członkowskimi i z przedsiębiorstwami działań niezbędnych do skutecznego wdrożenia nowych standardów. Działania te powinny zostać zintensyfikowane i wzmocnione w celu zapewnienia harmonizacji i uniknięcia rozdrobnienia w realizacji planu. W ciągu najbliższego roku zainicjujemy też ogólnounijną kampanię mającą na celu podnoszenie świadomości Europejczyków w zakresie przysługujących im praw.

Dokładnie za rok Unia Europejska zacznie odnosić korzyści dzięki nowym normom w zakresie ochrony danych. W maju 2018 r. rozpocznie się stosowanie nowych przepisów ogólnego rozporządzenia o ochronie danych. Staną się one solidną podstawą dla rozwoju jednolitego rynku cyfrowego.

Nowe przepisy będą chronić podstawowe prawo obywateli UE do ochrony danych osobowych. Nowe, lepiej zrozumiałe przepisy przyniosą korzyści nam wszystkim. Przykładowo osoba, której dane wpadną w ręce hakerów lub zostaną ujawnione, będzie miała prawo dowiedzieć się o tym możliwie najszybciej.

Nowe przepisy ułatwią również obywatelom składanie skarg i dochodzenie odszkodowań, jeśli uznają oni, że ich prawa nie są przestrzegane. Niezależnie od tego, gdzie przechowywane są dane, konieczne będzie jedynie skontaktowanie się z najbliższym organem ochrony danych. Dzięki karom wynoszącym nawet 4% rocznych obrotów, władze będą w stanie wyegzekwować przestrzeganie nowych przepisów.

Przedsiębiorstwa skorzystają natomiast z większej pewności prawa, gdyż w całej UE wprowadzony zostanie jednolity zbiór przepisów. Przedsiębiorstwa będą miały do czynienia tylko z jednym organem nadzoru – a nie z 28. Nie tylko uprości to procedury, ale wpłynie również na zmniejszenie kosztów. Małe i średnie przedsiębiorstwa korzystać będą z wyłączeń, co ma zapewnić dostosowanie przepisów do potrzeb i możliwości małych firm. Mówiąc bardziej ogólnie, gospodarka oparta na danych może

umożliwić wzrost przedsiębiorstw, modernizację usług publicznych oraz wzmocnienie pozycji obywateli. Gospodarka oparta na danych wspiera wzrost gospodarczy, ułatwia modernizację usług publicznych oraz umacnia pozycję obywateli. Jako że dane nieosobowe nie wchodzą w zakres rozporządzenia o ochronie danych, swobodny przepływ tych danych może być regulowany na szczeblu krajowym lub regionalnym. Jeszcze w 2017 r. Komisja przedstawi wniosek ustawodawczy w celu zagwarantowania swobodnego przepływu danych oraz inny wniosek promujący dostęp do danych i ich wielokrotne wykorzystywanie.

W 2018 roku wysokie normy europejskie w zakresie ochrony danych staną się wreszcie faktem. Nadzwyczaj ważne jest, abyśmy zapewnili ich funkcjonowanie w praktyce.

Kontekst:

Pakiet reform dotyczących ochrony danych osobowych wszedł w życie w maju 2016 r. i będzie miał zastosowanie od maja 2018 r. Obejmuje on ogólne rozporządzenie o ochronie danych i dyrektywę o ochronie danych sektora policji i wymiaru sprawiedliwości w sprawach karnych.

STATEMENT/17/1436

http://europa.eu/rapid/press-release_STATEMENT-17-1436_pl.pdf

Czarne listy – w świetle uodo oraz RODO

W mediach można coraz częściej usłyszeć o praktyce części firm rekrutacyjnych polegającej na tworzeniu tzw. „czarnych list”. Czarne listy to zbiory danych zawierające informację o osobach, które z jakiegoś powodu nie „podobają się” firmom rekrutacyjnym. Tego typu działania są niezgodne z ustawą o ochronie danych osobowych i w przyszłości z RODO. Niezgodności tej praktyki z przepisami prawa jest kilka, a do najistotniejszych można zaliczyć:

  1. Osoby, które dane są na takich czarnych listach umieszczone nie są o tym informowane.
  2. Brak podstawy prawnej na tworzenia czarnych list tj. nie są pozyskiwane zgody na przetwarzanie danych osobowych.
  3. Udostępnianie czarnych list innym podmiotom bez pozyskiwania właściwych zgód na przekazywanie danych osobowych.
  4. Niezarejestrowanie zbioru danych w GIODO.

W jaki sposób można trafić na czarną listę?

Jedną z możliwości trafienia na taką listę jest proces weryfikacji kandydata na różnego rodzaju portalach społecznościowych, gdzie zamieszczane są przecież wpisy, zdjęcia oraz można prześledzić z kim dana osoba utrzymuje znajomości. Innym sposobem, aby trafić na taką czarną listę jest rozmowa kwalifikacyjna z rekruterem. W trakcie rozmowy mogą zostać pozyskane informacje, które z jednej strony dyskwalifikują pracownika a z drugiej są pozyskiwane nielegalnie (informację o poglądach, stanie zdrowia czy wyznaniu).

Czarne listy a wymogi wynikające z RODO i nie tylko…

Tworzenie czarnych list narusza w szczególności dwie zasady z RODO tj. zasadę celowości oraz adekwatności. Zasada celowości polega na przetwarzaniu danych osobowych w jasno określonym celu, czyli jeżeli kandydat do pracy wysyła CV aplikując na wybrane stanowisko, to te dane nie mogą być wykorzystane do utworzenia czarnej listy lub baz danych marketingowych (chyba, że administrator uzyska zgodę na tego typu działanie).

Zasada adekwatności, wymusza by podczas zbierania danych osobowych w procesie rekrutacji, pozyskiwać tylko te dane od kandydatów, które są niezbędne do realizacji tego celu (słowo niezbędne nie jest tożsame np. ze słowem przydatne). Dlatego należy zwrócić uwagę na przepisy prawa, które regulują jakie informacje pracodawca ma prawo pozyskiwać od kandydata czy już pracownika (przygotowując jego teczkę osobową).

Dzięki zachowaniu tych dwóch zasad administrator danych zmniejszy ryzyko kontroli GIODO czy Państwowej Inspekcji Pracy (która może mieć podejrzenia o dyskryminowanie kandydatów do pracy podczas rekrutacji, jeżeli pracodawca będzie zadawać niedozwolone pytania, a szczególnie gdy będą one dotyczyły danych wrażliwych jak np. wyznanie).

Żywot czarnych list w przyszłości …

Wejście w życie RODO efektywniej zamknie furtki dla podmiotów, które łamią prawo lub obecnie poruszają się na jego granicy (działając na niekorzyść obywateli) i w odróżnieniu od przepisów obowiązujących obecnie, będzie umożliwiało surowsze karanie za przewinienia czy niedostosowanie się do prawa. RODO, które zacznie obowiązywać w przyszłym roku będzie na pewno efektywniejszym narzędziem dla organów kontrolujących i pilnujących przestrzegania prawa w zakresie ochrony danych osobowych. Aby lista niechcianych pracowników była legalna wymagana jest dobrowolnie wyrażona zgoda na przetwarzanie danych osobowych. Jednocześnie warto pamiętać, że prosząc o wyrażenie takiej zgodę informujemy o tym, że takie listy tworzymy, co może mieć negatywny wpływ na wizerunek firmy jako podmiotu, który dość „agresywnie” podchodzi do standardów przetwarzania danych osobowych.