W dobie pandemii, nowe technologie rozwijają się w niesamowitym tempie. Ponadto przedsiębiorstwa i organizację przenoszą biznesy do sieci oraz pracują w trybie zdalnym. To właśnie dane osobowe są paliwem (napędem) rozwoju technologii, dlatego niezbędna jest dbałość przestrzeganie zasad bezpieczeństwa danych osobowych i świadomość osób, które w naszym imieniu przetwarzają dane osobowe. Firmy i organizacje powinny określić gdzie i kto przetwarza dane osobowe oraz zapewnić cykliczne szkolenia z przetwarzania danych osobowych, co pozwala na niwelowanie ryzyka i konsekwencji naruszeń bezpieczeństwa przetwarzania danych osobowych.
Czym są incydenty/naruszenia danych osobowych?
Naruszenie bezpieczeństwa danych osobowych:
👉 Dotyczy danych osobowych i ich przetwarzania w organizacji
👉 Skutkiem może być utracenie, zniszczenie lub wykorzystanie danych osobowych danych
👉 Wynika ze złamania zasad bezpiecznego przetwarzania danych osobowych.
NARUSZENIE to WYCIEK, UDOSTĘPNIENIE, ZNISZCZENIE DANYCH OSOBOWYCH
Z czego wynikają naruszenia podczas pracy?
Brak świadomości dotyczącej zasad bezpiecznego przetwarzania danych, powoduje że pracownik nie wie, że zdarzenie to incydent/naruszenie. Wyłącznie wtedy gdy to wie, zareaguje odpowiednio i zgłosi zdarzenie do zarządu lub Inspektora Ochrony Danych Osobowych (IOD).
UWAGA! Pracownik NIEZWŁOCZNIE, a IOD wraz z Zarządem ma tylko 72 h na decyzje i reakcję i decyzję o tym, czy zgłosić naruszenie do UODO. Jeżeli w odpowiednim czasie poinformujemy UODO – nie otrzymamy kary.
Przykłady naruszeń, które najczęściej występują w czasie wykonywania pracy.
❗ wysłanie wiadomości do złego adresata – Pracownik Procesora przypadkowo wysłał maila z dokumentami z danymi, nr PESEL, danymi finansowymi do niewłaściwego odbiorcy.
❗ wysłanie maili do wielu i nie ukrycie do UDW – pracownik działu marketingu wysłał maile bez ukrycia do UDW. Odbiorcami wiadomości e-mail byli świadomi przedsiębiorcy i prawnicy. Skutek: jedna gwiazdka i zła ocena na stronie google firmy.
❗ wyciek danych 400 studentów Wyższej Szkoły Logistyki w Poznaniu – Pracownik dziekanatu Wyższej Szkoły Logistyki w Poznaniu, chciał zamieścić na internetowej platformie uczelni komunikat dotyczący przydziału do grup specjalnościowych i językowych, a nieświadomie udostępnił dane na stronie www uczelni.
❗ zgubienie telefonu/komputera/pendrive z danymi firmy lub organizacji.
❗ atak hakerski Morele.net – Hakerzy przez panel jednego z pracowników włamali się do systemu sklepu internetowego morele.net. Skutek: Klienci mają wyczyszczone konta, a pozostali Użytkownicy do dziś otrzymują niechciane i niebezpieczne treści, a dla Morele.net brak wiarygodności i 2,8 mln
❗ brak zgody na umieszczenie informacji na stronie www – Pracownik związku sportowego umieścił na stronie www zdjęcia, adres zamieszkania oraz PESEL sędziów sportowych zrzeszonych w tym związku. Skutek: kara UODO 50.000.
Dlaczego ważne jest budowanie świadomości pracowników i współpracowników z RODO?
💡 Po pierwsze, skutkiem wycieku może być:
🤖 kradzież tożsamości – np. poprzez wyrobienie dowodu kolekcjonerskiego, wzięcie chwilówki, kredytu.
🤖 wyczyszczone konto – klienci morele.net, po ataku hackerskim, otrzymali sms o treści dopłać 1 zł do zamówienia, Tym którzy kliknęli w link z SMS, hakerzy wyczyścili konta.
🤖 fikcyjne konto na dane osoby, której wyciekły – ktoś za pomocą twojego adresu email i nr telefonu może się zalogować się do kont na najróżniejszych portalach lub platformach sklepowych.
🤖 rejestracja karty telefonicznej z tymi danymi do działań przestępczych – możesz zostać zamieszany w przestępstwo, gdy za pomocą nr dowodu, email, ktoś zarejestruje kartę telefoniczną.
🤖 możliwość podszycia się w kontaktach z bankami, urzędami itp.
💡 Po drugie, 80 % naruszeń wynika z przyczyn wewnętrznych tzn. z błędu pracownika lub procesora. Badania SFODO 2018-2019 i 2020 wskazują, że źródłem naruszeń bezpieczeństwa danych osobowych jest błąd ludzki wynikający z niewiedzy.
💡 Po trzecie, UODO wymaga organizacji szkoleń – jeżeli naruszenie będzie rozpatrywane przez Urząd Ochrony Danych Osobowych (UODO) to za każdym razem czy to jako Administrator czy jako Procesor trzeba wykazać szczegółowe daty i nazwy minionych szkoleń oraz tych zaplanowanych na kolejny rok.
Jak organizować szkolenia z RODO w przedsiębiorstwie czy organizacji?
Warto podejść do Bezpieczeństwa Danych Osobowych jak Bezpieczeństwo i Higiena Pracy (BHP) i organizować cykliczne szkolenia z RODO i Cyberbezpieczeństwa.
Zalecane jest, aby:
👉 szkolić wszystkich pracowników minimum raz do roku.
👉 wprowadzić zasadę (procedurę), że nowy pracownik nim rozpocznie prace będzie uczestniczył w szkoleniu RODO i Cyberbezpieczeństwa.
👉 IOD/pracownicy, którzy przetwarzają dane na dużą skalę w tym dane szczególnej kategorii powinni uczestniczyć w szkoleniach rozszerzonych.
Forma szkoleń powinna odzwierciedlać faktyczne potrzeby danego przedsiębiorcy lub organizacji. W dobie pracy zdalnej i rozwoju biznesu online rozwiązaniem jest wdrożenie szkoleń w formie e-learning RODO lub organizacja szkolenia online na żywo.
Podsumowując, w celu zapewnienia bezpieczeństwa danych, zapewnienia wiarygodności przedsiębiorstwa i uniknięcia skarg, kontroli i innych nieprzyjemności, należy wprowadzić system cyklicznych szkoleń z zakresu RODO i Cyberbezpieczeństwa.
