Chcesz wiedzieć, jak skutecznie chronić dane osobowe? Ochrona danych osobowych jest dla Ciebie trudnym i niezrozumiały tematem? Może się tak wydawać ze względu na to, że zawiera bardzo dużo elementów, które trzeba zapamiętać i wdrożyć w życie. Ale mamy dobrą wiadomość – nie są one tak skomplikowane, na ile się wydają. W tym artykule dowiesz się, jakie działania należy podjąć, aby skutecznie chronić dane osobowe, które przetwarzasz.

---

Spis treści

• Dane osobowe – podział
• Opracowanie procedur ochrony danych osobowych
• Szkolenia pracownicze
• Zabezpieczenie dokumentów zawierających dane osobowe
• Zabezpieczenie sprzętu służbowego
• Szyfrowanie wiadomości mailowych
• Testy bezpieczeństwa IT
• Komplet dokumentacji RODO
  

---

7 kroków do skutecznej ochrony danych osobowych

Na poniższej infografice przedstawiliśmy 7 kroków do skutecznej ochrony danych osobowych.

Żeby w ogóle można było mówić o ochronie danych osobowych, należy wiedzieć, czym te dane są i jak je rozróżnić. W ramach przypomnienia, poniżej zamieszczamy definicję danych osobowych oraz ich podział wraz z konkretnymi przykładami.

Dane osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Dane osobowe nie dotyczą osób prawnych, czyli firm. 

Co to znaczy, że dana osoba jest zidentyfikowana lub możliwa do zidentyfikowania?

Osoba zidentyfikowana	to ktoś, kogo znasz i kogo możesz wskazać spośród innych osób.
Osoba możliwa do zidentyfikowania	to ktoś, kogo nie znasz, ale możesz pośrednio lub bezpośrednio zidentyfikować na podstawie posiadanych informacji – na przykład po numerze PESEL.

Dane osobowe możemy podzielić na trzy kategorie:

• zwykłe,
• dane szczególnych kategorii (tzn. dane wrażliwe),
• dane dotyczące wyroków skazujących oraz czynów zabronionych.

Zobacz poniższe przykłady danych osobowych:

Dane zwykłe	Dane wrażliwe
imię, nazwisko	stan zdrowia
imiona rodziców	kod genetyczny
miejsce urodzenia	nałogi
adres zamieszkania	życie seksualne i orientacja seksualna
adres e-mail, nr telefonu	przynależność wyznaniowa, partyjna lub związkowa
Pesel, NIP, Regon, nr dowodu osobistego	przekonania religijne i filozoficzne
sytuacja finansowa	pochodzenie rasowe i etniczne
adres IP	dane biometryczne (odcisk palca, kształt twarzy, ciała)
stan cywilny	światopogląd

Warto pamiętać, że nieprawidłowe rozróżnienie – do jakiej kategorii należy konkretna dana osobowa – może nieść za sobą wiele problemów.

---

---

Wdrożenie w firmie polityk i procedur ochrony danych to pierwszy krok do bezpiecznego przetwarzania danych. Przejrzyście ustalone zasady postępowania na wypadek wycieku danych, dokonania naruszenia czy próby ataku hakerskiego, posiadają dwie podstawowe zalety:

• pracownicy wiedzą, co mają robić – znają schemat postępowania w razie np. wykrycia naruszenia ochrony danych,
• ogranicza chaos w firmie i dezorientacje pracowników.

Czym są polityki i procedury ochrony danych?

To zbiór zaleceń, dotyczących różnych obszarów, które są niezbędne dla zapewnienia bezpiecznego przetwarzania danych osobowych, np.:

• instrukcja zarządzania systemem informatycznym,
• polityka czystego biurka,
• polityka haseł,
• procedura postępowania w wyniku wykrycia naruszenia ochrony danych,
• procedura powołania Inspektora Ochrony Danych (jeśli jest wymagane).

Obowiązek ochrony danych osobowych powinien być podstawowym obowiązkiem pracowniczym oraz być egzekwowany od każdego pracownika, który w jakikolwiek sposób ma do tych danych dostęp.

Dlaczego warto szkolić pracowników?

– Szkolenia z zakresu ochrony danych osobowych (RODO) przede wszystkim podnoszą świadomość oraz kwalifikacje osób, które przetwarzają dane osobowe. Dzięki podjęciu takich działań, zmniejsza się ryzyko popełnienia tzw. błędów ludzkich.
– Często zdarza się, że pracownik nie jest świadomy tego, że popełnił błąd, który może nieść za sobą przykre, zarówno dla niego jak i dla całej firmy, konsekwencje. Pracownik, który nie potrafi zidentyfikować naruszenia ochrony danych, nie zdaje sobie sprawy z powagi sytuacji.

Poniżej kilka naszych przemyśleń:

---

Jeśli nie wiemy o istnieniu jakiegoś problemu, nie jesteśmy w stanie go rozwiązać.

Nawet najmniejsze błędy, powtarzane przez długi okres czasu, mogą spowodować katastrofę.

---

Przykład? Proszę bardzo:

Pani Katarzyna – pracownik biurowy z pewnej dużej korporacji, nie szyfruje dokumentów w załączniku wiadomości, często myli się i wysyła na inny adres mailowy korespondencje, zawierające dane osobowe. Zazwyczaj przychodzi wiadomość zwrotna “taki adres mailowy nie istnieje”, wtedy Katarzyna wie, że wysłała wiadomość na niepoprawny adres. A co, jeśli dokumenty trafią do innego klienta? Czy nie nabierze on wątpliwości co do jakości ochrony jego danych? Może przez to stracić zaufanie do tej firmy, może również skontaktować się z właścicielem danych, a ten może podjąć odpowiednie kroki i wykazać zaistniałe nieprawidłowości. Jeśli błędy Katarzyny będą często się powtarzać, to w najgorszym przypadku czeka nas kontrola Urzędu Ochrony Danych Osobowych (UODO) lub próba uzyskania dodatkowych rabatów na daną usługę w ramach zadośćuczynienia za przetwarzanie danych w niewłaściwy sposób.

Błędy, które mogą wywołać naruszenia

Zobacz, jakie błędy najprawdopodobniej popełniają Twoi pracownicy, nieświadomie narażając firmę na naruszenia, związane z ochroną danych osobowych:

• zostawianie dokumentów bez nadzoru,
• wyrzucanie dokumentów, zawierających dane osobowe, do kosza zamiast trwałe zniszczenie ich w niszczarce,
• wysyłanie niezaszyfrowanych załączników w wiadomości mailowej,
• zatajanie naruszenia – z braku świadomości o popełnieniu naruszenia, pracownik uważa, że nic się nie stało lub próbuje uniknąć negatywnych konsekwencji swojego błędu,
• pozostawianie niezabezpieczonego sprzętu służbowego w miejscach publicznych,
• niestosowanie silnych haseł do służbowych kont,
• korzystanie z prywatnej poczty ze służbowego sprzętu,
• klikanie w linki / odnośniki w odebranych wiadomościach, bez wcześniejszej jej weryfikacji.

Te pozornie nie mające znaczenia “drobiazgi” mogą być głównym powodem lub mogą pośrednio przyczynić się do wycieków danych w firmie. Warto zwiększyć świadomość pracowników i zapobiec tego typu zdarzeniom.

Sprawdź nasz sposób na skuteczną edukację pracowników, z zakresu ochrony danych osobowych – praktyczny kurs RODO online.

Pracodawca powinien zapewnić pracownikom wszystkie niezbędne narzędzia, które pomogą zabezpieczyć dokumenty, w których znajdują się dane osobowe:

• archiwa – zabezpieczenie pomieszczeń, w których są przechowywane dokumenty. Warto zadbać o dodatkowe zabezpieczenie, np. na wypadek pożaru, włamania czy powodzi oraz pamiętać o odpowiedniej temperaturze i wilgotności w takim pomieszczeniu.
• szafki / biurka i pomieszczenia zamykane na klucz oraz wyznaczone miejsce przechowywania kluczy
• wyposażenie biura w niszczarki (w ilości dostosowanej do liczby pracowników) lub zapewnienie innej skutecznej metody zniszczenia dokumentów (np. podjęcie współpracy z firmą, zajmującą się profesjonalną utylizacją dokumentów i sprzętu).

9 zasad bezpiecznego przechowywania dokumentów w formie papierowej

1. Zadbaj o to, aby osoby niepowołane nie miały dostępu do danych osobowych i informacji poufnych, które przetwarzasz.
2. Nie wynoś dokumentów, które zawierają dane osobowe poza siedzibę firmy. Jeśli już musisz to zrobić, postaraj się je zabezpieczyć tak, aby osoby niepowołane nie miały do nich wglądu.
3. Zanim pójdziesz na przerwę lub zakończysz dzień pracy, schowaj do zamykanych na klucz szaf wszystkie druki, dokumenty, notatki, zawierające dane osobowe, zwłaszcza w tych pomieszczeniach, do których dostęp także mają klienci, ochrona bądź serwis sprzątający.
4. Jeżeli w swoim biurze przechowujesz dokumenty z danymi osobowymi, gdy wychodzisz, zamknij pomieszczenie na klucz.
5. Umieszczaj klucze do szaf i pomieszczeń w przeznaczonym do tego celu miejscu.
6. Nie używaj powtórnie jednostronnie zadrukowanych dokumentów – jeżeli zawierają dane osobowe, zniszcz je w niszczarce.
7. W przypadku drukowania dokumentów poza swoim stanowiskiem pracy, od razu zabierz je z drukarki.
8. Nie wyrzucaj dokumentów do kosza na śmieci ani nie przechowuj dokumentów w celu spalenia ich w piecach, kominkach, ognisku. Najlepiej zniszcz je trwale w niszczarce.
9. Chroń dokumenty przed zniszczeniem, zalaniem, zabrudzeniem – uważaj, gdy pijesz kawę przy stanowisku pracy ?

Gdzie przede wszystkim możemy znaleźć dane osobowe? Oczywiście są przechowywane elektronicznie, a coraz rzadziej w wersji tradycyjnej, tj. papierowej. Jak więc możesz zabezpieczyć służbowy sprzęt tak, aby nie dopuścić do wycieku danych?

• Stwórz silne hasło –
  Poprawnie stworzone hasło po pierwsze – utrudnia lub całkowicie uniemożliwia próbę zhakowania Twojego konta, po drugie – chroni przed utratą poufnych informacji, danych osobowych. O tym jak stworzyć naprawdę silne hasła przeczytasz tutaj.
  
• Stosuj podwójne uwierzytelnienie (tzw. weryfikację dwuetapową) –
  Dzięki takiemu zabezpieczeniu, możesz zapobiec atakowi hakerskiemu, nawet jeśli cyberprzestępcy zdobędą hasło do Twojego konta. Jak to działa? Użytkownik najpierw loguje się do swojego konta w sposób tradycyjny – za pomocą hasła, a następnie jest proszony o wpisanie w odpowiednim polu kodu, który jest przesyłany SMS-em lub mailowo.

• Zaszyfruj dysk –
  Czy wiesz, że wystarczy wyjęcie dysku z laptopa, żeby można było odczytać zawartość plików? Właśnie dlatego ważnym elementem w firmie jest stosowanie szyfrowania dysku w laptopach. Zaszyfrowanie dysku skutecznie zmienia zawartość plików lub wiadomości sprawiając, że ich treść staje się bezużyteczna dla osoby postronnej – pod warunkiem ustawienia silnego hasła!
  
• Wykonuj kopie zapasowe –
  Dzięki regularnemu wykonywaniu kopi zapasowej, możesz odzyskać swoje dane (albo ich część) nawet w wyniku ich utraty.

• Stosuj zabezpieczenia fizyczne –
  W niektórych przypadkach nawet powyższe czynności mogą okazać się niewystarczające. W szczególności gdy zabierasz swój sprzęt służbowy poza miejsce pracy – np. na spotkanie biznesowe czy celem pracy zdalnej. Jeśli pracujesz w specyficznych branżach i ze swoim służbowym telefonem nie roztajesz się nawet na chwilę, potraktuj poniższe porady zupełnie serio. Po co ryzykować utratę danych osobowych, poufnych informacji, a może nawet jeszcze czegoś więcej?

Przykłady zabezpieczeń fizycznych:

linka zabezpieczająca – sprzęt służbowy możemy zabezpieczyć za pomocą linki zabezpieczającej. Wystarczy, że przytwierdzimy go do blatu, krzesła czy innego stałego elementu, który uniemożliwi jego wyniesienie. Aby uwolnić blokadę, używa się kluczyka albo zamka szyfrowego.

linka zabezpieczająca z alarmem – droższe linki zabezpieczające posiadają wbudowany alarm, który uruchomi się w przypadku wykrycia próby kradzieży.

sejf podróżny lub plecak z zabezpieczeniem – są stworzone z materiału odpornego na rozcięcie, z wbudowaną linką zabezpieczającą i/lub kłódką.

klucz U2F – klucz U2F służy do dwuetapowego uwierzytelnienia. Zabezpiecza konta w znanych serwisach internetowych np. Google, Facebook, Twitter, YouTube, przed zalogowaniem się na fałszywych stronach.

8 zasad bezpiecznych danych osobowych przechowywanych na urządzeniach służbowych

Co możesz zrobić, aby jeszcze skuteczniej chronić dane osobowe? Wystarczy pamiętać i stosować poniższe zasady:

1. Nie udostępniaj osobom nieuprawnionym sprzętu służbowego (komputer, laptop, telefon), zwłaszcza podczas pracy zdalnej.
2. Ustaw ekrany komputerowe w sposób uniemożliwiający podgląd zawartości osobom niepowołanym.
3. Chroń sprzęt przed jego zniszczeniem, uszkodzeniem.
4. Nie zapisuj haseł na papierze lub innym nośniku łatwo dostępnym dla osób niepowołanych.
5. Nie udostępniaj swojego loginu i hasła kolegom z pracy i innym osobom nieuprawnionym.
6. Stosuj wygaszacz ekranu, gdy odchodzisz od swojego stanowiska pracy.
7. Nie zostawiaj sprzętu służbowego w miejscach publicznych w szczególności w:
   – samochodzie (np. na tylnych siedzeniach czy w bagażniku),
   – pokoju hotelowym. Pamiętaj, że nie jesteś jedyną osobą, która ma klucz do wynajętego pokoju – dostęp do niego może mieć, np. personel sprzątający (chyba że zadbasz o jego dodatkowe zabezpieczenie linką – ale o tym za chwilę)
   – restauracji – może zdarza albo zdarzyło Ci się pracować w swojej ulubionej kawiarni? Uwierz nam, wystarczy tylko chwila nieuwagi bądź obdarzenie kelnera zbyt dużym zaufaniem, prosząc go, żeby przypilnował sprzęt. Jeśli Twój telefon służbowy traktujesz na równi z prywatnym i zabierasz go nawet na imprezę – nie trudno o jego zgubienie.
8. Pamiętaj również o pomieszczeniu, w którym przechowywane są serwery – zabezpiecz je na wypadek włamania, pożaru, czy powodzi.

Dlaczego mówimy o tej zasadzie osobno? Ponieważ jednymi z najczęstszymi naruszeń, z którymi mamy do czynienia, są te wynikające z wysłania niezabezpieczonych informacji do nieodpowiednich osób.

Dlaczego do tego dochodzi?

Najczęściej jest to ludzki błąd – spowodowany zmęczeniem bądź pośpiechem.

Niestety, nie zawsze wystarczy tu prośba o usunięcie omyłkowo wysłanego maila. Odbiorca może okazać się nieuczciwy i próbować, np. uzyskać dodatkowe rabaty na oferowaną przez Twoją firmę usługę, może skontaktować się z właścicielem danych, które omyłkowo otrzymał, a ten z kolei może zażądać odszkodowania za naruszenie jego osoby, zgłosić naruszenie do UODO (Urzędu Ochrony Danych Osobowych), co w następstwie może zakończyć się kontrolą w Twojej firmie i nałożeniem kary.

Wniosek jest jeden – lepiej zapobiegać, tzn. każdorazowo zabezpieczać dane osobowe wysyłane w wiadomościach mailowych oraz sprawdzać poprawność e-maila odbiorcy, do którego ma trafić wiadomość.

O tym, jakie informacje należy szyfrować oraz jak to zrobić, przeczytasz tutaj.

By upewnić się, że maksymalnie utrudnisz dostęp do danych osobowych i informacji poufnych hakerom, wykonaj test bezpieczeństwa IT.

Test bezpieczeństwa IT polega przede wszystkim na identyfikacji cyber zagrożeń oraz ich minimalizacji. Dobór i wdrożenie indywidualnych rozwiązań realnie zwiększa “odporność” firmy na ataki hakerskie czy wycieki danych.

Dobra oferta testu bezpieczeństwa IT powinna składać się z trzech kroków:

1. Audyt i testy sieci firmowej

Odpowiadają na trzy podstawowe pytania:

• Czy haker będzie miał trudności, by zaatakować firmę?
• Jakie straty w firmie mogą zostać spowodowane przez przestępcę?
• Czy firma jest gotowa poradzić sobie na wypadek cyber ataku? Jeśli tak, jakimi metodami?

2. Stworzenie planu reakcji na incydenty

Opracowanie i wdrożenie planu, który będzie wskazówką, jak pracownicy mają zachować się w przypadku wykrycia incydentów.

3. Szkolenia cybersecurity

Ich celem jest zwiększenie świadomości zagrożeń cyber – pracownicy i managerowie organizacji zyskują specjalistyczną wiedzę, która realnie wpływa na minimalizację ryzyk, związanych z błędami pracowników (w tym atakami socjotechnicznymi), ale także na zwiększenie odpowiedzialności i zaangażowania w stosowanie istniejących procedur i polityk bezpieczeństwa.

Dlaczego ważne jest posiadanie uzupełnionej dokumentacji RODO?

• spaja w jedną całość wszystkie działania na rzecz ochrony danych osobowych pracowników, klientów, kontrahentów i innych,
• jest potwierdzeniem wdrożenia tych działań w Twojej firmie,
• jej poprawne prowadzenie w przypadku kontroli PUODO może zadecydować o obniżeniu ewentualnej kary, a nawet jej odroczeniu.

Dokumentacja RODO

U nas wygląda to następująco:

1. W pierwszej kolejności przeprowadzamy audyt sprawdzający – wskazuje nam aktualny stan bezpieczeństwa danych w Twojej firmie.
2. Następnie, w oparciu o wyniki uzyskane z audytu – opracowujemy raport ze wskazaniem słabych punktów oraz proponowanymi rozwiązaniami i zaleceniami.
3. Trzecim krokiem jest przygotowanie dostosowanej dokumentacji ochrony danych, w skład której wchodzą polityki bezpieczeństwa, rejestry i ewidencje oraz spisane procedury i instrukcje, dotyczące przetwarzania danych osobowych oraz wzory dokumentów, m.in. Upoważnienie do przetwarzania danych i Umowę powierzenia przetwarzania danych osobowych.
4. Opracowujemy również dedykowane klauzule informacyjne oraz wzory zgód na przetwarzanie danych osobowych.

Ważne, aby dokumentacja była:

• dostosowana do danego przedsiębiorstwa i faktycznego stanu ochrony danych,
• na bieżąco aktualizowana,
• zgodna z obowiązującym prawem.

Co zawiera dokumentacja RODO?

Szczegółowy wykaz dokumentów, które mogą znaleźć się w dokumentacji RODO – zobacz tutaj w zakładce Dokumentacja RODO.

Jak widać lista elementów, z jakich może składać się dokumentacja RODO, jest bardzo długa. Nie wszystkie firmy będą potrzebować wszystkich dokumentów – jest to ściśle związane z branżą i sposobem prowadzenia danej działalności. Na przykład powołanie IOD, czyli Inspektora Ochrony Danych, nie będzie konieczne w przypadku małego salonu kosmetycznego bądź hurtowni papierniczej, ale w szpitalu już tak.

Opracujemy dedykowaną dla Twojej firmy dokumentację, wymaganą Rozporządzeniem o ochronie danych osobowych (RODO), a także zweryfikujemy już istniejące dokumenty i procedury stosowane w Twojej firmie. Sprawdź, co możemy dla Ciebie zrobić.

---

Na koniec zapamiętaj:

“Bezpieczeństwo nie jest określonym stanem, bezpieczeństwo jest ciągłym procesem”

Zespół Standarder Sp. z o.o

Skuteczność polega na nie jednorazowych działaniach – muszą być one ciągłe, żeby były skuteczne. Niestety, jest sporo elementów, które trzeba wprowadzić w codzienne życie Twojej firmy i na bieżąco je nadzorować. Dlatego staraj się przeprowadzać cyklicznie audyt pod kątem ochrony danych oraz zainwestuj w regularne szkolenia pracowników.

---

Ten artykuł nie wyczerpuje w pełni wszystkich zagadnień dotyczących ochrony danych osobowych.

Zainwestuj w zwiększenie świadomości swojej i swoich pracowników – zobacz praktyczny kurs RODO online.