W przypadku ochrony danych osobowych przewijają się dwa zagrożenia. To występowanie zagrożeń bezpieczeństwa danych osobowych oraz incydenty związane z ich ochroną.
Zagrożenie danych osobowych. Procedura
Najczęstszym błędem popełniamy przez pracowników, jest nieprzestrzeganie zasad ochrony danych osobowych. Mówimy tu o błędach w procedurze, które są wynikiem niechlujności oraz zaniedbania. Chodzi na przykład o brak ochrony haseł. Niestosowanie zasad czystego ekranu czy pozostawienie dokumentów zawierających wrażliwe dane na biurku. Niekiedy dochodzi też do niewłaściwego zabezpieczenia pomieszczeń czy szaf, w których przetrzymywane są odpowiednie dokumenty lub samego sprzętu IT. W każdym przypadku, gdy pracownik zorientuje się, że doszło do możliwego wycieku i stwierdzi zagrożenie bezpieczeństwa danych osobowych, jest on zobowiązany do powiadomienia o tym Administratora Bezpieczeństwa Informacji. Ten zaś musi przeprowadzić postępowanie wyjaśniające, które ustali zakres i przyczyny zagrożenia oraz jego ewentualne skutki. Obowiązkiem administratora jest także zainicjowanie działań dyscyplinarnych oraz zarekomendowanie postępowania, które pozwoli wyeliminować tego typu zagrożenia w przyszłości. Całość takiego postępowania musi zostać odpowiednio udokumentowana.
Jak dochodzi do zagrożenia danych osobowych?
Kiedy jednak pracownik powinien poinformować administratora, że doszło do wycieku i tym samym zagrożenia danych osobowych? Ustawa o ochronie danych osobowych nie ułatwia nam tu zadania, gdyż nie definiuje dokładnie, co nazywamy incydentem. Odwołać się można jedynie do norm. Te nieco rozjaśniają nam sytuacje i tak wedle PN-ISO/ IEC 27001 – incydent jest rozumiany jako pojedyncze zdarzenie lub serię niepożądanych albo niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.
Bez wątpienia taka sytuacja ma miejsce, kiedy dochodzi do kradzieży danych lub całego sprzętu, na którym się one znajdowały. Świadome ujawnienie danych osobom, które nie zostały upoważnione do posiadania tego rodzaju informacji, także należy traktować jako umyślny incydent. Ostatecznie zalicza się tu także świadome niszczenie danych oraz włamanie do systemu informatycznego. Osobną kategorię stanowią zdarzenia losowe, takie awaria komputera, pomyłka informatyków, wadliwe działanie serwera czy dysku, w wyniku którego dochodzi do utraty danych. Jako incydent należy też traktować sytuacje, kiedy doszło do zniszczenia danych w wyniku pożaru, zalania ich wodą lub w efekcie utraty zasilania czy łączności.
Incydenty w praktyce
Choć język urzędowy ciężko zamienić na praktykę dnia codziennego, to same zagrożenia i sytuacje są jak najbardziej realne. Bardzo często do incydentu dochodzi, kiedy korespondencja elektroniczna zostaję niewłaściwie zaadresowana. Wielu pracowników korzysta ze zbiorowej książki adresowej i wysyłając korespondencje zawierającą dane osobowe, zupełnie przypadkowo może ją rozesłać do osób, które nie mają prawa dostępu do tego typu danych. Podobnym przypadkiem jest brak ukrywania adresów mailowych. Dotyczy to znowu wysyłki masowej maili, kiedy poszczególni odbiorcy poznają adresy mailowe innych osób. Ten wydawałoby się prosty i niewiele znaczący błąd, może nas bardzo dużo kosztować i wiązać się z niezwykle przykrymi konsekwencjami dla samego pracownika oraz firmy. Kolejnym bardzo często spotykanym przykładem jest utrata nośników danych. Telefony, przenośne dyski, laptopy oraz smart fony wielu pracowników zabiera z pracy do domu. Na tego typu nośnikach znajduje się wiele wrażliwych informacji, które o ile nie są dobrze zaszyfrowane, mogą trafić w niepowołane ręce. Zagrożenie jest tutaj całkowicie realne. Wyobraźmy sobie bowiem, że na naszym prywatnym smartfonie poczta jest skonfigurowana z firmową pocztą. Efektem czego osoba niepowołana otrzymuje wszelkie dane dotyczące kontrahentów, partnerów handlowych czy też klientów. Nasze zaniedbanie w tej kwestii może okazać się zatem niezwykle przykre i co gorsza, spowodować nieodwracalne szkody na wizerunku firmy.
Monika Zygmunt - Jakuć (Dyrektor Zarządzajacy "bez owijania")