Szkolenia to podstawa.

szkolenia wyciek danych osobowych RODO IOD

Rozważania na szybko: Coraz częściej mają miejsce wycieki danych osobowych i nasuwa się pytanie – co jest ich najczęstszą przyczyną i jak możemy temu zapobiec? Jedna z odpowiedzi to pracownicy i współpracownicy są najsłabszymi ogniwami w ochronie danych osobowych. A szkolenia dla nich to podstawa.

Dlaczego człowiek jest najsłabszym ogniwem w procesie ochrony danych osobowych?

Brak odpowiedniego finansowania procesów związanych z bezpieczeństwem przetwarzanych danych osobowych jest najczęstszą, pośrednią przyczyną występowania naruszeń danych osobowych. Od oszczędności na szkoleniach (ich jakości, długości/programie, cykliczności, doświadczeniu prowadzącego), oprogramowaniu, sprzęcie poprzez zatrudnianie niewykwalifikowanych pracowników na stanowiskach, które mają bezpośredni wpływ na bezpieczeństwo danych osobowych (administratorzy systemów informatycznych, pracownicy działu IT). Organizacje, ograniczając swoje wydatki na bezpieczeństwo danych osobowych, ryzykują zwiększenie szansy powstania wycieków danych osobowych, poprzez błędy ludzkie lub słabo zabezpieczone systemy.

Oszczędności….

Organizacje szukając oszczędności często delegują lub łączą stanowisko odpowiedzialne za ochronę danych osobowych (np.: ABI) z innymi już istniejącymi stanowiskami (pracownicy kadr, kierownicy czy informatycy). W takiej sytuacji napotykamy na często powtarzający się problem, kiedy pracownik wykonujący swoje główne obowiązki (np.: informatyka) nie ma już czasu na zajmowanie się kwestiami związanymi z ochroną danych osobowych tj. śledzenie zmian w prawie, szkolenie nowych pracowników, przeprowadzenie audytów, aktualizowanie dokumentacji przetwarzania danych osobowych itp.

Kwestia oszczędności na szkoleniach to złożony temat. W zależności od „wielkości” firm podejście do szkoleń może być trochę inne. Szkolenie dla małych firm (mała liczba pracowników – kilka/kilkanaście osób) wiąże się z przeszkoleniem np.: wszystkich osób na raz – co powoduje „paraliż firmy” w czasie szkolenia, a rozbicie szkoleń na małe grupki może podnieść koszt takiej usługi. Aby obniżyć koszt szkolenia, firmy nie dobierają szkolenia pod kątem merytorycznym, ale „aby tylko jakieś było i najtaniej”, co oczywiście wpływa negatywnie na jakość takich szkoleń a co za tym idzie na wiedzę uczestników czyli osób które później będą w danej firmie będą przetwarzały dane osobowe.

Szkolenia w dużych firmach (duża ilość pracowników – powyżej kilkuset) mogą powodować czasowe obniżenie wydajności poszczególnych działów ze względu na brak osób, odpowiedzialnych za konkretne działania lub procesy. Dodatkowo dochodzi często konieczność ściągnięcia pracowników z różnych rejonów kraju czy nawet zagranicy co dodatkowo wydłuża czas potrzebny na odbycie szkolenia, a co za tym idzie podnosi koszty. Z tego powodu większe organizacje sięgają po szkolenia e-learnigowe, gdzie pracownik sam zapoznaje się z materiałami szkoleniowymi i później rozwiązuje test weryfikujący wiedzę. To rozwiązanie jest odpowiednie przy szkoleniu pracowników, którzy dopiero zaczynają pracę jednak nie jest ono w stanie w pełni zastąpić szkoleń warsztatowych i wykładowych, które prowadzi doświadczony wykładowca. Szkolenia dla kadry zarządzającej i pracowników którzy na co dzień przetwarzają dane osobowe powinny zostać przeprowadzone w formie wykładowej lub warsztatowej – gdzie pracownicy mogą na bieżąco się zadawać pytania i wyjaśniać wątpliwości.

Czemu szkolenia?

Szkolenia mają na celu przekazanie wiedzy dotyczącej ochrony danych osobowych oraz uświadomienie pracowników jaka w związku z tym spoczywa na nich odpowiedzialność. Informacje przekazywane w ramach szkoleń dotyczą przede wszystkich sposobów zapewnienia bezpieczeństwa przetwarzanych danych i uczą pracowników prawidłowych zachowań (np.: prawidłowego zabezpieczania maili z wysyłanymi danymi osobowymi, niszczenia dokumentów, archiwizowania dokumentów, odpowiedniej ochrony laptopów czy telefonów, sprawdzenie adresatów podczas wysyłki maili, sprawdzenie przed wyjściem z pracy czy komputer jest wyłączony i drzwi pozamykane).

Dlaczego szkolenie pracowników z zakresu ochrony danych osobowych jest takie ważne? Błąd pracownika może spowodować wyciek danych, co z kolei może skutkować kontrolą organu nadzorczego, grzywną (karą finansową w przyszłości), koniecznością zapłaty odszkodowań lub zadośćuczynień dla osób których dane zostały ujawnione, utratą zaufania klientów i kontrahentów. Im więcej danych osobowych jest wykorzystywanych w działalności firmy, tym wyższe jest ryzyko ludzkiego błędu, który może spowodować ujawnienie danych osobowych osobom nieupoważnionym. Dodatkowo warto podkreślić, że szkolenie jest to jedyny sposób przed zabezpieczeniem się na bardzo niebezpieczne ataki socjotechniczne poprzez wytworzenie świadomości potencjalnego zagrożenia u pracowników.

Decyzje z konsekwencjami.

Kluczowe znaczenie dla bezpieczeństwa danych osobowych ma świadomość osób decyzyjnych w firmie. To one decydują o budżecie firmy. Wprowadzenie rozwiązań z zakresu ochrony danych osobowych stanowić może istotny wydatek (szczególnie jeżeli firma przygotowuje się do spełnienia warunków z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w skrócie RODO), dlatego tak ważne jest aby wydatki na ochronę danych osobowych (szkolenia, audyt, konieczność zmian w systemach informatycznych itp.) zostały uwzględnione już na etapie planowania budżetu firmy na przyszły rok.

Szkodliwe dla bezpieczeństwa danych w firmie, jest podejście polegające na bagatelizowaniu ryzyka wystąpienia naruszenia danych osobowych, w tym wycieku danych, bazujące na przeświadczeniu, że do tej pory naruszenie nie miało miejsca. Żadne działania nie cofną (mogą jedynie zminimalizować skutki) i nie naprawią wycieku już ujawnionych danych – a co za tym idzie nie uchronią przed konsekwencjami wycieku. Niezbędne dla minimalizowania ryzyka związanego z wyciekiem danych są działania prewencyjne.

Brak profesjonalizmu.

Niewykwalifikowani pracownicy działów informatycznych, niezależnie czy zatrudnieni w firmie czy działający na ramach usług outsourcingowych, mogą stanowić duże zagrożenie dla bezpieczeństwa danych osobowych. Błędy popełnione przy zabezpieczaniu baz z danymi osobowymi stanowią najgłośniejsze sprawy opisywane i nagłaśniane przez media, a wycieki takich danych często dotykają dziesiątek lub setek tysięcy osób. Wiąże się to najczęściej z umożliwieniem dostępu do bazy klientów poprzez stronę firmową. W zależności od tego jakie dane firma przetwarza, najbardziej groźne są informacje, które umożliwiają zaciągnięcie zobowiązań finansowych podszywając się pod osoby których dane były pomyłkowo udostępnione lub dane wrażliwe dotyczące stanu zdrowa, poglądów politycznych czy wyznania. Dużymi uchybieniami ze strony działów IT są również niedostateczne zabezpieczenia komputerów i systemów informatycznych przed szkodliwym oprogramowaniem czy atakami hackerów.

Pracownik odpowiedzialny za wyciek danych osobowych, niezależnie czy był to błąd, zaniedbanie lub działanie umyślne – może zostać pociągnięty do odpowiedzialności dyscyplinarnej wynikającej z przepisów kodeksu pracy i odpowiedzialności przewidzianej przez przepisy ustawy o ochronie danych osobowych.

Zapewnianie pracownikom szkoleń z ochrony danych osobowych jest koniecznym elementem budowania ich świadomości w zakresie bezpieczeństwa danych osobowych i niezbędnym krokiem do przeciwdziałania wyciekom danych osobowych.

 

Uwaga na fałszywe wiadomości o kontroli GIODO!

Uwaga na fałszywe wiadomości o kontroli GIODO!

Na stronie GIODO: http://www.giodo.gov.pl/pl/259/10050 została umieszczona informacja o podejrzanych fałszywych wiadomościach/mailach:

„Dzisiaj wiele kancelarii prawnych otrzymało informację o planowanej kontroli Generalnego Inspektora Ochrony Danych Osobowych. UWAGA – wiadomość nie pochodzi od GIODO! Maile nie zostały wysłane z serwera GIODO. Ostrzegamy przed otwieraniem podejrzanej korespondencji podszywającej się pod GIODO. Niebezpieczna wiadomość zawiera złośliwe oprogramowanie szyfrujące dane na komputerze i żądające opłaty za klucz pozwalający na ich odkodowanie (ransomware). Prosimy więc o zachowanie szczególnej ostrożności w sytuacji, kiedy otrzymacie Państwo taką podejrzaną wiadomość wysłaną z adresu przypominającego adres kancelarii GIODO – nadawcą wiadomości jest bowiem adres kanelaria@giodo.gov.pl. Jednocześnie zaleca się zwiększenie ostrożności w trakcie korzystania z poczty elektronicznej oraz otwierania przesłanych załączników np. z dokumentami MS Office, które mogą zawierać makra JavaScript lub PowerShell, za pomocą których złośliwe oprogramowanie może zostać pobrane.”

w dniu 26-06-2017:

Pragniemy poinformować, że nie tylko kancelarie prawne ale i inne firmy otrzymały takie maile. Chcemy przypomnieć o środkach bezpieczeństwa i o zachowaniu szczególnej ostrożności przy otwieraniu wszelakich załączników oraz przy uruchamiani linków zawartych w mailach z „podejrzanego pochodzenia” nie tylko w wiadomościach służbowych, ale i w prywatnej korespondencji też.

Niepotwierdzone źródła podają, że po uruchomieniu złośliwego oprogramowania z maila, dane na komputerze zostają zaszyfrowane. Sprawcy żądają za kod/hasło do odszyfrowania 200 $.

Reforma ochrony danych osobowych – najważniejsze zagadnienia

Reforma ochrony danych osobowych staje się coraz bardziej aktualnym tematem. W dniu 18 września bieżącego roku odbyła się konferencja pod patronatem Generalnego Inspektora Ochrony Danych Osobowych „Nowe ramy ochrony danych w UE. Wyzwania dla Polski”. Podczas spotkania debatowano nad wpływem nowego unijnego rozporządzenia na porządek prawny funkcjonujący w Polsce. Wiele czynników wpłynęło na konieczność stworzenia nowej regulacji w zakresie ochrony danych osobowych. Przed szereg wysuwa się postulat dostosowania przepisów do obecnych sposobów przetwarzania danych, a w szczególności nowych technologii i ujednolicenia norm prawnych w krajach członkowskich Unii Europejskiej.

Przedsiębiorcy, przedstawiciele nauki, instytucji publicznych zastanawiali się czy Polska jest gotowa na przyjęcie tak istotnych zmian. Jakie działania musi podjąć aby reforma ochrony danych osobowych została wprowadzona. Kluczowe zagadnienia jakie poruszono podczas debaty to:

  1. Możliwość nakładania kar finansowych przez organy ds. ochrony danych osobowych
  2. Kompetencje nowego organu jakim będzie Europejska Rada Ochrony Danych
  3. Koncepcja zgody na gruncie nowego rozporządzenia :
  • Zgoda w dalszym ciągu będzie równorzędną przesłanką przetwarzania danych w odniesieniu do innych podstaw przetwarzania,
  • Zgoda na gruncie nowego rozporządzenia dla swojej ważności powinna być wyrażona w sposób swobodny, świadomy i wyraźny
  • Nie jest jednoznaczne czy zgoda będzie mogła obejmować wiele celów
  • Zgoda w każdej chwili może być odwołana
  • Zgoda nie może być uznana za swobodnie wyrażoną, jeśli pomiędzy stronami istniała znacząca nierównowaga
  1. Mechanizm one-stop-shop. Procedura one-stop-shop stosowana przez państwa członkowskie wskazywana była i jest jako możliwość przedstawiania wniosków/skarg do lokalnych organów ds. ochrony danych osobowych przez obywateli w ojczystym języku.
  2. Kwestia profilowania. Z profilowaniem wiąże się poważne zagrożenie – ryzyko związane z marginesem błędu tzn. przygotowany profil określonej osoby w oparciu o pozyskane informacje może być niezgodny ze stanem faktycznym. Jako przykład takiej sytuacji można wskazać sytuacje kiedy zamieścimy w Internecie zdjęcie z papierosem to może powstać już profil naszej osoby jako palacza, co oczywiście nie zawsze będzie zgodne z prawdą. Próbą zdefiniowania pojęcia profilowania zajął się Parlament Europejski. Wskazał on, że profilowanie to automatyczny proces, który ma na celu ochronę, analizę lub przewidzenie zachowania lub cechy danej osoby.
  3. Rola Inspektora Ochrony Danych – odpowiednik Administratora Bezpieczeństwa Informacji, zwany także oficerem ochrony danych. W pewnych okolicznościach organizacja będzie miało obowiązek wyznaczenia takiej osoby np. w sytuacji jeżeli będzie zatrudniała określoną ilość osób. Dodatkowo, rozporządzenie zakłada między innymi niezależność takiej osoby oraz kadencyjność.
  4. Pozycja GIODO w świetle nowego rozporządzenia – GIODO powinien mieć zapewnioną możliwość selekcji skarg. Powinien efektywnie kontrolować stosowanie nowych przepisów w zakresie ochrony danych osobowych. Nie jest jednak jednoznaczne czy rozporządzenie wprowadzi kadencyjność inspektora ochrony danych. Obecnie są jeszcze negocjowane inne obowiązki inspektora ochrony danych np. możliwość wykonywania dodatkowych obowiązków, takich jak aktywnie uczestniczenie w dokonywaniu Privacy Impact Assesment (ocena skutków przedsięwzięcia dla prywatności).
  5. Risk Based Approach – to zasada przetwarzania danych związana dokonaniem samooceny w zakresie ochrony danych osobowych. Administrator danych dokonuje każdorazowo samodzielnie oceny, jakie dane przetwarza. Klasyfikacje są różne. Podstawowa klasyfikacja odnosi się do tego czy przetwarzane są dane zwykłe czy wrażliwe. Art. 33 projektu rozporządzenia dookreśla, jakiego rodzaju przetwarzanie danych może nieść duże zagrożenie (np. dyskryminacja, kradzież tożsamości). Administrator danych powinien każdorazowo ocenić, jak duże jest zagrożenie przy przetwarzaniu danych.
  6. Kwestia egzekwowania prawa opiera się na trzech kluczowych elementach:
  • Możliwości nakładania kar finansowych
  • Wzmożonej współpracy między organami kontrolnymi
  • Zwiększenia odpowiedzialności administratorów danych

Fundacje i organizacje pozarządowe również przedstawiły swoje opinie w kontekście nowego unijnego rozporządzenia. Fundacja Panoptykon we współpracy z European Digital Rights, Access Now i Privacy International przygotowała zestawienie najważniejszych zagadnień, które powinny znaleźć się w nowym europejskim prawie.

W pierwszych słowach czytamy, że ochrona danych osobowych jest fundamentalną zasadą, która powinna być respektowana przez każdego. Co więcej, każda osoba ma prawo do ochrony danych osobowych oraz powinna mieć zapewnioną możliwość uzyskania informacji kto zbiera dane osobowe, gdzie są gromadzone, dla jakich celów i w jakim czasie. W grę wchodzi zatem rekomendacja obszernego obowiązku informacyjnego.

Fundacja skupiła się także nad problemem profilowania. Istniejąca w polskim prawie regulacja profilowania (w tym zakresie można wskazać art. 26a ustawy o ochronie danych osobowych dotyczący „ostatecznego rozstrzygnięcia indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym”) ogranicza się do ostatniego etapu, zakazując w pełni automatycznego podejmowania decyzji w oparciu o analizę danych. Projekt Komisji opiera się na podobnej logice – reguluje jedynie „środki oparte o profilowanie”, czyli ostatni etap podejmowania decyzji. Ważne jest to, że ludzka interwencja nie jest wymagana jeśli profilowanie jest oparte o przepis prawa. Fundacja wskazała, że z procesem profilowania wiąże się nieubłaganie problem dyskryminacji. W jednym z wystąpień Rzecznik Praw Obywatelskich stwierdził, iż profilowanie jednostki w oparciu o dane jej dotyczące jest obecnie uznane za proces, który może wpływać na pojawianie się zjawiska segregacji społecznej i przez to ograniczać prawa niektórych podmiotów biorących udział w życiu społecznym[1].

Fundacja rekomenduje poddanie ponownemu przeglądowi postanowień rozporządzenia odnoszących się do transferu danych w związku z wydaniem wyroku unieważniającego program Safe Harbour. Przed szereg wysunęła postulat zapewniania skutecznej ochrony danych osobowych. Państwa członkowskie Unii Europejskiej muszą na nowo określić warunki współpracy. W grę wchodzą wiec inne sposoby legalizacji transferu danych. Na podstawie polskiej ustawy o ochronie danych osobowych mogą to być standardowe klauzule umowne czy wiążące reguły korporacyjne.

Jak widać reforma ochrony danych wywołuje ogromne zainteresowanie nie tylko wśród środowisk prawniczych. Jest to ważki problem, który w pełni zasługuje na przemyślenia i dogłębną analizę. Nowa, kompleksowa regulacja w zakresie ochrony danych osobowych ma w mojej ocenie dwa główne cele. Po pierwsze w sposób odpowiedni powinna zabezpieczać dane osobowe, nakładając na podmioty przetwarzające dane osobowe niezbędne obowiązki. Po drugie powinna podjąć próbę „nadążenia” nad postępem technologicznym w zakresie przetwarzania danych. Dodatkowo, organy ochrony danych osobowych powinny mieć możliwość skutecznego nadzoru nad podmiotami przetwarzającymi dane osobowe i mieć narzędzia, aby przymusić do stosowania przyjętych regulacji. Z drugiej zaś strony przepisy powinny dać się stosować nie utrudniając nadmiernie biznesowego wykorzystania danych osobowych. Dopiero po spełnieniu powyższych założeń będziemy mogli mówić o stworzeniu skutecznego akty prawnego regulującego przetwarzanie danych osobowych.

[1] Wystąpienie prof. Ireny Lipowicz do Ministra Pracy i Polityki Społecznej w sprawie ochrony danych osobowych podczas profilowania pomocy dla bezrobotnych z dnia 23 marca 2015 r.