Pod koniec maja 2018 roku zaczęło obowiązywać unijne Rozporządzenie o Ochronie Danych Osobowych, zwane w skrócie RODO. Wszystkie firmy, które zajmują się przetwarzaniem danych osobowych są zobowiązane przepisami RODO do zapewnienia bezpieczeństwa tych danych. Dane osobowe muszą zostać zabezpieczone przed nieuprawnionym dostępem osób postronnych, przypadkowym czy celowym zniszczeniem czyli po prostu przed ich wyciekiem.
Czym jest naruszenie ochrony danych?
Zgodnie z przepisami RODO za naruszenie ochrony danych osobowych może zostać uznany każdy incydent, którego skutkiem jest niezgodne z prawem lub przypadkowe zmodyfikowanie, utracenie lub zniszczenie danych. Za naruszenie ochrony danych osobowych RODO uznaje także te incydenty, które skutkują nieuprawnionym dostępem lub ujawnieniem danych osobowych, które w danej organizacji były przechowywane, przesyłane lub w jakikolwiek inny sposób przetwarzane. Za takie incydenty zostanie uznane przypadkowe zniszczenie dokumentacji medycznej, zgubienie niezabezpieczonego dysku zewnętrznego, na którym zapisane były dane pracowników, zapisywanie hasła (lub co gorsza jego brak) do służbowego komputera na samoprzylepnej karteczce, która następnie zostaje przyklejona do monitora. Za incydent naruszenia ochrony danych osobowych mogą zostać uznane wszystkie sytuacje, które stwarzają zagrożenie dla osób, których dane te dotyczą. Nie należy incydentów tych utożsamiać wyłącznie z atakiem hakerów. Warto jeszcze pamiętać, że incydentów w ochronie danych osobowych może dojść nie tylko na skutek działania osób nieuprawnionych. Mogą one być także skutkiem wewnętrznych zdarzeń losowych takich, jak awaria dysku twardego czy serwera. Do incydentów może dojść również na skutek zdarzeń losowych zewnętrznych. Do tych zdarzeń należy na przykład utrata zasilania czy pożar.
W jaki sposób incydentów tych można uniknąć?
Wiele incydentów, które naruszają ochronę danych osobowych jest efektem niefrasobliwości osób, które zajmują się zbieraniem i przetwarzaniem tych danych. Dlatego też najlepszym sposobem na to, aby do takich incydentów w firmie nie dochodziło są szkolenia pracowników. Za bezpieczeństwo danych osobowych w każdej firmie odpowiada jej właściciel. Do jego obowiązków należy znalezienie takich rozwiązań, które bezpieczeństwo to zapewnią. Znalezienie szkoleń zewnętrznych dla pracowników z zakresu danych osobowych nie jest obecnie trudne. Na szkoleniach tych nie warto oszczędzać. Właściciele firm i innych podmiotów, które gromadzą i przetwarzają dane osobowe muszą pamiętać, że RODO wprowadziło możliwość nakładania wysokich kar finansowych za nieprzestrzeganie przepisów wynikających z rozporządzenia. Oprócz szkoleń w każdym przedsiębiorstwie powinny zostać wdrożone odpowiednie środki, które zapewnia bezpieczeństwo danym osobowym. Przedsiębiorcy mają do swojej dyspozycji szereg rozwiązań informatycznych. Wdrażając je w swojej firmie mają możliwość chronić dane osobowe przed zniszczeniem, kradzieżą, wyciekiem. Specjalne oprogramowanie zapewni ochronę między innymi przed atakiem hakerów. Bardzo prostym sposobem na zabezpieczenie danych osobowych jest ich szyfrowanie. Rozwiązanie to polega na tym, że dostęp do danych osobowych mogą mieć tylko osoby uprawnione, które posiadają klucz umożliwiający odkodowanie zaszyfrowanej informacji. Osoba, które nie posiada klucza deszyfrującego nie jest w stanie odczytać informacji.
Utrata dobrego imienia firmy
Wspomnieliśmy już, że firmie, w której naruszane są przepisy o ochronie danych osobowych grożą kary finansowe. Kary te są naprawdę bardzo wysokie, mogą wynieść nawet 10 000 000 euro. Dla wielu firm konieczność uiszczenia tak wysokiej kary może oznaczać koniec działalności. Należy też pamiętać także o tym, że wiadomość o wycieku danych szybko trafi do mediów. Firma, z której dane osobowe wyciekły poniesie nie tylko straty finansowe, ale także wizerunkowe. Odbudowanie utraconego zaufania klientów może okazać się zadaniem bardzo trudnym, a czasem nawet niemożliwym. Dlatego należy dołożyć wszelkich starań, aby danym osobowym zapewnić bezpieczeństwo.
Monika Zygmunt - Jakuć (Inspektor Ochrony Danych)