Autor: Krzysztof

RODO. Róg obfitości czy puszka Pandory?

Po długich negocjacjach, w grudniu 2015 roku doszło do zawarcia porozumienia w sprawie uchwalenia ogólnego rozporządzenia o ochronie danych w Unii Europejskiej, czyli RODO. Doprowadzi to do powszechnej standaryzacji europejskiego prawa dotyczącego ochrony danych.

RODO to nowe unijne rozporządzenie odnoszące się do ochrony osób fizycznych, których dane osobowe są przetwarzane. Zacznie być stosowane od 25 maja 2018r. i będzie obowiązywać we wszystkich krajach należących do Europejskiego Obszaru Gospodarczego (czyli Unii Europejskiej, a także Norwegii, Liechtensteinu i Islandii), zastępując aktualnie obowiązujące krajowe ustawy.

W każdym kraju – ta sama ochrona

Głównym założeniem jest ujednolicenie zasad przetwarzania danych osobowych oraz zagwarantowanie swobodnego przepływu danych osobowych na terenie całej Unii Europejskiej.

Wcześniej w każdym kraju obowiązywało różne ustawodawstwo, oparte wprawdzie o wspólną dyrektywę, ale różniące się w znacznym stopniu między sobą. Od 25 maja 2018 r. w ich miejsce zostanie wprowadzone Rozporządzenie o ochronie danych, jednobrzmiące i bezpośrednio stosowane prawo we wszystkich państwach członkowskich. Dopuszczalne będą jedynie małe różnice, wskazane wyraźnie w tzw. „otwartych” klauzulach, ustanawiających wyraźnie sprecyzowaną przestrzeń dla krajowych ustawodawców.

Obecnie obowiązujące przepisy o ochronie danych osobowych w dobie postępującej cyfryzacji wymagały unowocześnienia, ponieważ były wdrażane w czasie, gdy sporo z aktualnych usług internetowych takich jak serwisy społecznościowe, usługi mobilne, usługi chmury czy też geolokalizacji nie istniało. W związku z tym nowe prawo zostało przygotowane tak, by było aktualne bez względu na rozwój technologii i nie zawiera konkretnych wytycznych dotyczących zabezpieczenia danych osobowych.

RODO, czyli nowoczesne podejście do ochrony prywatności

  • RODO wprowadza zupełnie nowe podejście do ochrony danych osobowych. Rodzi to rozmaite konsekwencje, m. in:
  • zwiększenie praw osób fizycznych, do których dane się odnoszą,
  • zwiększenie zakresu obowiązywania przepisów na organizacje działające poza terytorium UE,
  • zmianę obecnego administratora bezpieczeństwa informacji (ABI) na inspektora ochrony danych (IOD),
  • podejście oparte na ryzyku – dla każdej operacji przetwarzania danych należy określić ryzyko jakie może ono wywołać w stosunku do prywatności osób, których dane dotyczą,
  • obowiązek zgłaszania naruszeń ochrony danych osobowych wiążących się z ryzykiem naruszenia praw oraz wolności osób fizycznych do organu nadzorczego,
  • zasada rozliczności – obowiązek wdrożenia przez administratora danych właściwych środków technicznych i organizacyjnych zapewniających zgodność z wymaganiami określonymi w Rozporządzeniu,
  • uproszczone międzynarodowe przekazywanie danych osobowych,
  • uszczegółowienie obowiązków podmiotu przetwarzającego dane,
  • zwiększenie praw osób, których dane dotyczą m.in. prawo do bycia zapomnianym, prawo do przenoszenia danych,
  • zwiększenie ochrony praw dzieci na serwisach społecznościowych,
  • wzrost kar administracyjnych możliwych do nałożenia przez organ nadzorczy.

Chcesz wiedzieć więcej?

Zapraszamy do zapoznania się z serwisem Generalnego Inspektora Ochrony Danych Osobowych. Można tam znaleźć najnowsze wytyczne, projekty i wskazówki, zarówno z polskich, jak i zagranicznych źródeł: http://giodo.gov.pl/

/ In RODO / By Krzysztof / Możliwość komentowania RODO. Róg obfitości czy puszka Pandory? została wyłączona

Dropbox a ochrona danych osobowych

Dropbox był popularną chmurą do przechowywania i współdzielenia plików online, gdy narzędzia takie jak Dysk Google i Microsoft Skydrive były jeszcze w dużej mierze nieznane. Dziś opowiemy nieco o prawnej kwestii ochrony danych osobowych w chmurze Dropbox, a także przedstawimy sposoby na podwyższenie ich realnego bezpieczeństwa. (więcej…)

Kodeks postępowania z danymi osobowymi – wkrótce w sektorze zdrowotnym!

Pod koniec zeszłego miesiąca, 26 lipca 2017 r., w siedzibie Centrum Systemów Informacyjnych Ochrony Zdrowia miało miejsce spotkanie inaugurujące współpracę administracji publicznej z organizacjami branżowymi działającymi w sektorze zdrowotnym. W jego efekcie podpisano list intencyjny, na mocy którego postanowiono, iż do końca tego roku powstanie branżowy kodeks postępowania, który następnie zostanie przedstawiony Generalnemu Inspektorowi Ochrony Danych Osobowych.

(więcej…)

/ In RODO / By Krzysztof / Możliwość komentowania Kodeks postępowania z danymi osobowymi – wkrótce w sektorze zdrowotnym! została wyłączona

ISO 27001 – międzynarodowy przepis na ochronę informacji

W dzisiejszych czasach nie istnieje żadna działalność, która nie wiązałaby się z wymianą informacji. Niedostateczny poziom bezpieczeństwa informacji może prowadzić do szkód finansowych, powstawania nieprawidłowości w funkcjonowaniu organizacji, czy też do utraty dobrego imienia organizacji. Odpowiedzią na te wyzwania jest wprowadzenie jednolitego Systemu Zarządzania Bezpieczeństwem Informacji, zgodnego z międzynarodową normą ISO 27001. Określa on wymagania odnoszące się do ustanawiania, wdrażania, utrzymania oraz ciągłego udoskonalania systemu zarządzania bezpieczeństwem informacji.

System Zarządzania Bezpieczeństwem Informacji, skrótowo nazywany SZBI, opiera się na 3 głównych pryncypiach:

  • poufność – zapewnienie, że informacja nie zostanie udostępniona nieupoważnionym osobom,
  • integralność – zapewnienie, że informacje nie zostaną zmienione czy też zniszczone w sposób nieautoryzowany,
  • dostępność – zapewnienie, że upoważnione osoby mogą uzyskać dostęp do danych zawsze, gdy tego potrzebują.

Norma ISO/IEC 27001:2013 może być stosowana przez wszystkich przedsiębiorców, niezależnie od tego, jaką działalność prowadzą. Spełnienie wymagań przez dany podmiot jest potwierdzane certyfikatem ISO/IEC 27001.

Od czego zacząć?

Wprowadzenie SZBI według ISO 27001 nie jest prostym zadaniem. Można jednak podejść do niego w sposób systematyczny. Wystarczy podzielić pracę na mniejsze, kolejno wykonywane etapy. Pozwoli to na bardziej efektywne wdrożenie i uchroni przed popełnieniem podstawowych błędów.

Oto typowy przebieg wdrażania SZBI, podzielony na odpowiednie kroki:

  1. Zidentyfikowanie aktualnych luk bezpieczeństwa, zagrożeń dla bezpieczeństwa informacji oraz praktycznych zabezpieczeń.
  2. Zdefiniowanie zakresu SZBI.
  3. Przygotowanie deklaracji stosowania.
  4. Zinwentaryzowanie zasobów.
  5. Przeprowadzenie analizy ryzyka.
  6. Określenie planu postępowania z ryzykiem.
  7. Opracowanie programu wdrażania SZBI.
  8. Implementacja programu wdrożenia SZBI.
  9. Dokumentowanie SZBI – polityka bezpieczeństwa, standardy, procedury, wytyczne, raporty z analizy ryzyka, raporty z audytów.
  10. Audyt wewnętrzny w celu sprawdzania zgodności systemu.
  11. Podejmowanie działań korygujących.
  12. Szkolenie kadry zarządzającej oraz personelu.
  13. Wybór jednostki certyfikującej.
  14. Audyt certyfikujący.

Jakie są korzyści z wdrożenia?

SZBI nie jest tylko podstawą do przyznania kolejnego, ładnego certyfikatu, który możemy powiesić w biurze i pochwalić się nim klientom. Przynosi on realne korzyści przedsiębiorstwu i uchroni nas przed wieloma nieprzyjemnościami, a niekiedy może nawet ocalić naszą firmę przed bankructwem lub nieodwracalną utratą reputacji.

  • przygotowanie organizacji na incydenty dotyczące bezpieczeństwa informacji oraz skuteczne pokonywanie ich poprzez stosowanie właściwych procedur,
  • gwarancja, że organizacja spełnia wymogi prawne, do których przestrzegania jest zobowiązana,
  • zredukowanie ryzyka utraty bądź przejęcia danych,
  • zapewnienie właściwego poziomu ochrony aktywów informacyjnych,
  • możliwość szybkiej identyfikacji niezgodności oraz błędów zgodnie z wymaganiami normy,
  • wzrost wiarygodności organizacji w oczach klientów, kontrahentów i udziałowców co przyczynia się do wzrostu zaufania,
  • wzrost konkurencyjności organizacji na rynku,
  • zagwarantowanie bezpieczeństwa interesów klientów poprzez sprawnie funkcjonujący system zarządzania informacją,
  • zwiększona świadomość pracowników dotyczącej bezpieczeństwa informacji,
  • możliwość integrowania z innymi normami (np. ISO 9001, ISO 14001).

20 lat ochrony danych osobowych w Polsce

Dziś mija okrągła, dwudziesta rocznica uchwalenia w Polsce prawa ochrony danych osobowych. Wiele zmieniło się od tego czasu, zarówno w technice jak i konkretnych rozwiązaniach prawnych. Niezmienna jest jednak idea prawa do ochrony prywatności, zagwarantowana nie tylko w międzynarodowych aktach prawnych, ale przede wszystkim w Konstytucji Rzeczypospolitej Polskiej. Pamiętajmy o tym, szczególnie na rok przed wejściem w życie europejskiego, ogólnego rozporządzenia o ochronie danych osobowych (RODO, ang. GDPR). (więcej…)

Jak w 10 krokach zabezpieczyć dane osobowe klientów

Ochrona danych osobowych jest nieodzownym elementem każdego współczesnego biznesu. Zdarza się jednak, że wdrożenie przepisów może okazać się zbyt skomplikowane lub czasochłonne. Na szczęście, przed wieloma zagrożeniami możemy uchronić się, wyrabiając pozytywne nawyki.

Krok 1
Wyloguj się ze stacji roboczej po odejściu od stanowiska

Pozornie prosta czynność, a pozwala w dużej mierze zabezpieczyć używaną stację roboczą przed nieuprawnionym użyciem. Bardzo często przechowujemy ważne dokumenty na pulpicie, co jest jednoznaczne z szybkim dostępem przez osobę, która uzyskała dostęp do stacji.

Krok 2
Nie przechowuj zapisanych haseł w pobliżu stacji roboczej

Każdy pracownik posiada przynajmniej hasło do służbowego komputera i maila. Zaczyna się robić trudniej gdy dochodzą do tego jeszcze inne systemy, w których każdy wymaga od nas podania hasła. Zaleca się posiadanie hasła odrębnego dla każdego systemu.

I co wtedy? Przy dwóch, trzech systemach to nie problem, pod górkę zaczyna się robić przy czterech i więcej, tym bardziej, że każde hasło powinno być złożone z odpowiedniego ciągu znaków. Nic więc w tym dziwnego, że zapisujemy sobie hasła na karteczce. Ważne jest jednak, aby naszą cenną karteczkę posiadać zawsze przy sobie, uważniej jej pilnować, a na pewno nie zostawiać w ogólnodostępnym miejscu i nie pokazywać nikomu innemu.

Istnieją również bezpłatne programy, umożliwiające zapamiętywanie haseł do wielu systemów i trzymanie ich zaszyfrowanych w jednym miejscu. Jest to na ogół bezpieczniejsze rozwiązanie niż zapisywanie danych do logowania na kartkach. Przykładem takiej aplikacji jest powszechnie znany KeePass. Oprócz funkcji samego zapisywania haseł, możemy również pogrupować dane do logowania według samodzielnie ustalonych kategorii, łatwo generować nowe, silne hasła, a także ustawiać przypomnienia o ich wygasaniu.

Krok 3
Stosuj zasadę złożoności haseł

Chyba najpopularniejszym hasłem jest wpisanie ciągu znaków znajdujących się obok siebie na klawiaturze, takich jak: 12345, qwerty. Należy jednak pamiętać, że tego typu hasła nie należą do grupy tych bezpiecznych. Dobre hasło powinno składać się z minimum 8 znaków (zalecamy nawet dłuższe, przynajmniej 12-znakowe), zawierać duże i małe litery oraz cyfry i znaki specjalne. Mimo, że takie hasło wydaje się być trudniejsze do zapamiętania, to zapewni większe bezpieczeństwo naszych danych.

Krok 4
Nie zostawiaj dokumentów na ogólnodostępnej drukarce lub w koszu na śmieci

To pułapka, z której nie zdajemy sobie sprawy. Bardzo często w budynkach biurowych są ogólnodostępne urządzenia wielofunkcyjne, do których wysyłamy pliki do wydruku. Powinnyśmy sprawdzić, jak długo są przechowywane wydrukowane dokumenty w pamięci urządzenia.

Krok 5
Stosuj zasadę czystego biurka

Po zakończeniu pracy, na biurku często pozostają papierowe dokumenty, odręczne notatki, karteczki z bieżącymi zadaniami itp. Jeżeli nie zawierają one danych osobowych, to nic w tym złego (oczywiście o ile nie tworzą bałaganu na naszym stanowisku pracy). W przeciwnym wypadku dane, które są na nich zapisane, powinny być przechowywane pod Twoją nieobecność w zamykanych meblach biurowych, aby nie trafiły w niepowołane ręce. Szczególnie cenne i wrażliwe informacje powinny być gromadzone w szafie pancernej lub sejfie.

Zalecamy stosowanie zasady czystego biurka, nie tylko dla dokumentów zawierających dane osobowe. Jest to dobra praktyka, którą powinniśmy wdrożyć podczas codziennej pracy na dokumentach.

Krok 6
Ustaw prawidłowo monitor

Bardzo ważnym, a zarazem prostym elementem jest ustawienia monitora w taki sposób, aby uniemożliwić osobie nieupoważnionej wglądu w ekran monitora. Takie działanie przyczyni się do zmniejszenia prawdopodobieństwa podejrzenia danych osobowych lub innych, wrażliwych informacji.

Krok 7
Nie korzystaj z komputera do celów prywatnych

Podczas przerwy (albo podczas pracy) każdemu chociaż raz zdarzyło się skorzystać ze służbowego komputera do opłacenia rachunków, wysłania prywatnego maila czy też sprawdzenia, co się dzieje na Facebooku. Może to jednak stworzyć poważne zagrożenie dla bezpieczeństwa naszej stacji roboczej. Wielu pracodawców i administratorów zabrania takiego postępowania.

Jeżeli już naprawdę musimy załatwić sprawę osobistą przy użyciu służbowej stacji roboczej, zachowujmy wyższą ostrożność niż podczas zwyczajnej pracy. Nie otwieraj żadnych załączników pocztowych, nie instaluj żadnych nowych programów czy aplikacji, korzystaj wyłącznie z trybu prywatnego przeglądarki. Nie używaj też tych samych haseł w systemach firmowych i prywatnych.

Pamiętaj zawsze, że zagrożenia, które nie są na ogół istotne dla prywatnego komputera, mogą wyrządzić bardzo poważne szkody całej Twojej firmie.

Krok 8
Zamykaj okna i drzwi po zakończeniu pracy

Pozornie oczywista, ale bardzo ważna czynność. Należy sobie wyrobić nawyk, żeby przed opuszczeniem miejsca pracy, jako ostatni w pomieszczeniu, sprawdzić czy okna i drzwi są pozamykane. Oczywiście, o ile okna da się otwierać.

Krok 9
Stosuj politykę kluczy

Jest to zbiór zasad, określających sposób przechowywania, wydawania, czy też zdawania kluczy mechanicznych do poszczególnych pomieszczeń. Jeżeli biuro jest wyposażone w zamykane meble, wówczas polityka powinna obejmować również ich klucze. Dobrą praktyką jest wprowadzenie takich zasad w każdej organizacji. Określenie polityki kluczy najczęściej należy do zadań administratora danych osobowych.

Krok 10
Uważaj przy rozsyłaniu masowej korespondencji e-mail pola „UDW”

Jednym z najczęściej popełnianych błędów podczas biurowej pracy z pocztą elektroniczną jest rozsyłanie masowej korespondencji do klientów z użyciem pola „DW” („CC”). Powoduje to, że każdy adresat widzi wszystkie osoby, do których została skierowana wiadomość. Tak pozyskana baza kontaktów może być wykorzystywana przez konkurencję lub intruza, np. do rozsyłania niechcianych lub zawirusowanych wiadomości. W celu uniknięcia nieprzyjemnych sytuacji wysyłając e-maila do większej liczby odbiorców zawsze korzystaj z pola „UDW” („BCC”) dzięki czemu adresat zobaczy tylko swój adres e-mail.

 

Oczywiście wyżej wymienione zasady to tylko kropla w morzu zabezpieczeń jakie można stosować w firmie. Jednak nawet najlepszy system ochrony będzie bezużyteczny, jeżeli pracownicy będą je lekceważyć i nie stosować się do nich.