Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Polityka bezpieczeństwa w czasach RODO – porady praktyczne

Data publikacji: 20-02-2020 Autor: Marcin Bieńkowski

Zapewnienie bezpieczeństwa przechowywanych w przedsiębiorstwie informacji to jeden z najistotniejszych warunków prawidłowego i zgodnego z prawem działania firmy, niezależnie od jej wielkości i branży, w której działa. Bezpieczeństwo danych nabiera jeszcze większego znaczenia w świetle obowiązujących regulacji rodo, gdyż niezachowanie procedur bezpieczeństwa może skończyć się dotkliwymi sankcjami finansowymi.

 

W każdym przedsiębiorstwie mamy do czynienia z danymi, które muszą być w mniejszym lub większym stopniu chronione – czy to ze względu na szczególny interes firmy (np. know-how, dane finansowe, plany inwestycyjne, kontrakty), czy też na mocy obowiązującego prawa (np. dane osobowe i informacje niejawne). W zależności od potrzeb do informacji tych mogą mieć dostęp różne osoby, np. ścisłe kierownictwo firmy, pracownicy poszczególnych działów, współpracownicy, a nawet kontrahenci. Obszar ten nie może się więc rozciągać na informacje powszechnie znane lub te, do których każdy zainteresowany może legalnie uzyskać dostęp.


Istnieje wiele zagrożeń, które mogą spowodować utratę danych czy umożliwić nieuprawnionym osobom dostęp do zastrzeżonych informacji firmy. Sprzyja temu szybki rozwój biznesu, który bazuje na przesyłaniu i przetwarzaniu informacji w coraz bardziej rozproszonych systemach IT. Zagrożenia związane są również z postępującą cyfryzacją działalności biznesowej, w której pojawiają się nowe narzędzia i technologie: cloud computing, internet rzeczy, platformy e-learningowe czy dostęp do danych za pośrednictwem urządzeń mobilnych, takich jak smartfony. Dlatego każda firma musi mieć politykę bezpieczeństwa, która będzie odpowiadała współczesnym realiom.


> TO STRASZNE RODO


Od 25 maja 2018 roku obowiązuje rozporządzenie Komisji Europejskiej znane powszechnie pod nazwą rodo, które wprowadziło istotne zmiany w ochronie danych osobowych. Każdy przedsiębiorca w Unii Europejskiej jest zobowiązany do stosowania tych przepisów. Nie tylko znacząco wpłynęły one na politykę bezpieczeństwa IT w firmach, ale też sprawiły, że wiele przedsiębiorstw po raz pierwszy w ogóle przystąpiło do prac nad procedurami i dokumentami realnie implementującymi politykę bezpieczeństwa w firmie.


Każda firma, która w ramach swojej działalności przetwarza jakiekolwiek dane osobowe (a w praktyce przetwarza je zdecydowana większość przedsiębiorstw), musi wypełniać obowiązki wynikające z rodo. Przepisy te mają zastosowanie w przypadku firm (zarówno małych przedsiębiorstw, jak i międzynarodowych korporacji) i urzędów, jeśli tylko ze świadczonych usług korzystają obywatele Unii Europejskiej. Co więcej, nie ma znaczenia rodzaj danych czy czynności, jakie są na nich wykonywane. Jednym z elementów spełniania wymogów stawianych przez rodo jest opublikowanie na stronie internetowej firmy dokumentu informacyjnego (polityki prywatności) oraz opracowanie i wdrożenie dokumentacji wewnętrznej zgodnej z polityką bezpieczeństwa. Są to dwa odrębne dokumenty, w obu przypadkach ich wdrożenie jest obowiązkowe.


Należy też pamiętać, że administratorem danych osobowych (ADO) jest – w dużym uproszczeniu – firma, a w wypadku prowadzenia działalności gospodarczej odpowiedzialny za spełnienie wymogów rodo jest właściciel firmy. W przypadku spółek kapitałowych jest to spółka, a w praktyce jej zarząd.


Przepisy rodo wskazują, że każdy administrator danych osobowych powinien wypełnić obowiązek informacyjny, czyli poinformować osobę udostępniającą dane o tym, kto i w jaki sposób będzie przetwarzał udostępnione przez nią informacje. Zgodnie z unijnymi przepisami ADO powinien również poinformować osobę, do której należą dane, o okresie ich przechowywania. Jeśli ustalenie konkretnego terminu nie jest możliwe, powinna zostać przekazana informacja o kryteriach, które pozwolą go określić.


Rozporządzenie szczególny nacisk kładzie na prawa przysługujące osobom, do których należą przetwarzane dane. Poinformowanie o nich również należy do obowiązków ADO. Osoba udostępniająca dane ma prawo do:

  • zażądania dostępu do danych,
  • zażądania poprawiania danych, ich usunięcia, ograniczenia przetwarzania i wniesienia sprzeciwu wobec przetwarzania,
  • przeniesienia danych osobowych,cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania,
  • wniesienia skargi do organu nadzorczego, czyli skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

 

Warto podkreślić, że wśród obowiązków informacyjnych ADO jest również konieczność poinformowania o procesie profilowania lub o wykorzystywaniu zautomatyzowanego podejmowania decyzji. Dodatkowo administrator powinien przedstawić informacje o sposobie działania profilowania oraz konsekwencjach takiego przetwarzania.


> DANE OSOBOWE PODLEGAJĄCE OCHRONIE


Rozporządzenie wprowadziło powszechną ochronę danych osobowych, która dotyczy wszelkich informacji pozwalających na zidentyfikowanie konkretnych osób. Co ważne, nie ma znaczenia, czy mamy do czynienia z danymi klientów indywidualnych umieszczonymi na fakturze, czy z dokumentacją pracowniczą. Szczególnie istotne jest bezpieczeństwo informacji w przypadku działalności polegającej na:

 

  • Sprzedaży internetowej, która jest wyjątkowo mocno narażona na wycieki danych powstałe na skutek błędów w działaniu systemów IT i celowej działalności hakerów. Warto tutaj wspomnieć o przypadku wycieku danych ze sklepu Morele.net – na firmę za niedotrzymanie procedur rodo nałożono karę w wysokości blisko 3 mln zł.
  • Przetwarzaniu danych wrażliwych: dotyczących stanu zdrowia, poglądów politycznych, orientacji seksualnej itp. Do tej kategorii zaliczają się dane dotyczące zatrudniania osób niepełnosprawnych czy refundacji sprzętu rehabilitacyjnego i okularów korekcyjnych przez pracodawcę.
  • Profilowaniu i podejmowaniu zautomatyzowanych decyzji na temat osób, których dane są przetwarzane, np. automatycznego ustalania cen promocyjnych w oparciu o profil klienta zawierający dane osobowe.
  • Zatrudnianiu pracowników i przetwarzaniu danych z tym związanych, które dodatkowo chronione są  przepisami kodeksu pracy.

 

[...]

 

Autor jest niezależnym dziennikarzem zajmującym się propagowaniem nauki i techniki.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"