Trwa ładowanie...
Zaloguj
Notowania
Przejdź na

Zabezpiecznie danych osobowych w firmie

0
Podziel się:

Administrator danych musi zadbać o trwałe i skuteczne usunięcie informacji osobowych, gdy ustanie cel do których zostały zgromadzone i przetwarzane.

Zabezpiecznie danych osobowych w firmie
(Dmitriy Shironosov/Dreamstime.com)

28 stycznia po raz piąty obchodzony będzie Europejski Dzień Ochrony Danych Osobowych. Ustanowiony przez Komitet Ministrów Rady Europy co roku zwraca uwagę na problematyczne kwestie związane z bezpieczeństwem tego rodzaju danych. Regulacje prawne związane z ochroną danych osobowych są stosunkowo _ młode _, przez co nierzadko dostarczają przedsiębiorcom wielu dylematów.**


Pierwsze wątpliwości nasuwają się już przy określaniu danych, które mogą być nazywane _ osobowymi _. Definiuje się je, jako wszelkie informacje dotyczące osoby fizycznej, które mogą posłużyć do określenia jej tożsamości. Tak więc za dane osobowe uznaje się przypisane człowiekowi numery identyfikacyjne (PESEL, NIP)
, bądź specyficzne czynniki, charakteryzujące jego cechy fizyczne czy społeczne.

Co więcej, za taki rodzaj informacji może być uznawany także adres IP, który może zostać użyty np. przez dostawcę internetu w celu ustalenia tożsamości klienta. Ochronie danych osobowych podlegają również fotografie, czy filmy przedstawiające określoną osobę i w związku z tym nie mogą być przetwarzane bez jej zgody.

O wadze tego przepisu przekonali się w 2009 r. właściciele serwisu społecznościowego Nasza-Klasa, na którym zamieszczono grupowe zdjęcie i podpisano na nim poszczególnych uczniów. Jedna z osób oznaczonych na fotografii, niebędąca użytkownikiem portalu uznała, że bezprawnie wykorzystano jej wizerunek. Zarzut ten poparł Naczelny Sąd Administracyjny, który mimo wcześniejszego odrzucenia wniosku przez GIODO uznał, że osoba na zdjęciu z widniejącym przy niej podpisem jest rozpoznawalna i doszło do naruszenia jej danych osobowych.

Kto odpowiada za przechowywanie

[ ( http://static1.money.pl/i/h/169/t34729.jpg ) ] (http://msp.money.pl/wiadomosci/zarzadzanie/artykul/komunikacja;w;firmie;w;obliczu;awarii,89,0,747609.html) Komunikacja w firmie w obliczu awarii
O ochronę danych osobowych musi zadbać każdy podmiot, który w swojej działalności wykorzystuje, bądź jedynie gromadzi zbiory takich informacji. Osobą odpowiedzialną za prowadzenie odpowiedniej polityki w tym zakresie jest administrator danych. Aby usprawnić swoje działanie może on dodatkowo powołać administratora bezpieczeństwa informacji. Ustawa nie określa jednak, jakie kompetencje powinna mieć osoba zatrudniona na tym stanowisku, czy też jaką pozycję ma zajmować ona w strukturze organizacyjnej firmy.

- _ Przedsiębiorca musi koniecznie zapewnić administratorowi bezpieczeństwa informacji niezależność i możliwość starannego wywiązywania się ze swojej odpowiedzialności. W tym celu najlepiej zatrudnić go na odrębnym stanowisku, podległym wyłącznie kierownictwu – _wyjaśnia Jarosław Krauz z firmy PIN Consulting, zajmującej się doradztwem bezpieczeństwa danych osobowych.

Niejednokrotnie zleca się to zadanie firmom zewnętrznym, które oferują pomoc nie tylko w kwestiach prawnych, ale co ważne i w informatycznych. Obecnie, kiedy większość działań przedsiębiorstw opiera się na elektronicznych metodach przechowywania danych, istotną kwestią jest posiadanie przez ABI niezbędnej wiedzy o zabezpieczaniu zdigitalizowanych informacji.

Czas przechowywania i skuteczne usuwawnie

Następnym, niewystarczająco sprecyzowanym przepisem prawnym jest ten określający długość przechowywania danych osobowych przez przedsiębiorstwo. Zapis jest bardzo ogólny i ogranicza się do obowiązku usunięcia informacji wraz z ustaniem celu ich przetwarzania. Cel ten jednak ustalany jest zazwyczaj przez samego administratora danych i określany zgodnie ze świadczoną przez przedsiębiorstwo konkretną usługą na rzecz osoby, której dane są wykorzystywane.

[ ( http://static1.money.pl/i/h/142/t85646.jpg ) ] (http://msp.money.pl/wiadomosci/zarzadzanie/artykul/jak;zabezpieczyc;dane;w;firmowych;komputerach,16,0,757008.html) Jak zabezpieczyć dane w firmowych komputerach
Problem był podejmowany, m. in. przez unijnych ekspertów w sprawie przechowywania danych osobowych przez takie spółki jak Microsoft, Google czy Yahoo!. Producent najpopularniejszej wyszukiwarki internetowej gromadzi informacje na temat wpisywanych w niej fraz wraz z przyporządkowanymi im adresami IP przez okres 9 miesięcy, a pliki cookie nawet przez 18. Według unijnych specjalistów jest to zdecydowanie zbyt długo, mimo że Google już trzykrotnie skracał czas retencji tych informacji,.

Każda firma powinna więc zadbać o usuwanie takich informacji, jeżeli cel, do którego były zgromadzone został spełniony. Za usunięcie uważa się przy tym zniszczenie bądź modyfikację danych, uniemożliwiającą zidentyfikowanie osób, których one dotyczą. Konieczne więc jest zastosowanie skutecznych metod usuwania. Nie dopuszczalne jest np. wyrzucenia kartki czy płyty CD z informacjami osobistymi do kosza.

- _ W przypadku plików elektronicznych, ich każdorazowe przetwarzanie przez, np. kopiowanie czy chociażby przenoszenie pozostawia za sobą ślad. Dlatego niszczone powinny być nie tylko właściwe dokumenty, ale również wszystkie ich wersje, które powstały w wyniku modyfikacji oryginalnego pliku _- radzi Tomasz Pakulski, brand manager marki BitBank, w firmie Totalsafe.

Rozmiar tego problemu udowodnili dwaj naukowcy z MIT, którzy po zakupieniu na portalu aukcyjnym eBay 158 używanych twardych dysków, zdołali odtworzyć dane niemal ze wszystkich z nich. Przez niewłaściwe sposoby likwidacji informacji elektronicznych znaleźli się oni w posiadaniu prywatnych listów i zdjęć oraz... numerów i stanów kont, pochodzących z jednego z bankomatów.

Tworzenie kopii zapasowych

Przy usuwaniu danych osobowych z systemów informatycznych firm należy zwrócić uwagę na wszelkie kopie tych informacji, również zapasowe. Jest to szczególnie uciążliwe ze względu na trudności z wyszukaniem konkretnych plików oraz prawdopodobieństwo wystąpienia błędów w działaniu całego systemu po ich usunięciu.

Dlatego niezwykle ważne jest prawidłowe tworzenie, segregowanie i ochrona kopii zapasowych danych osobowych. Mogą być do tego użyte popularne nośniki informatyczne - płyty CD, dyski twarde czy taśmy magnetyczne. Należy przy tym pamiętać, że muszą być one archiwizowane w bezpiecznych miejscach, uniemożliwiających nieuprawnionym osobom ich odczyt, modyfikację, uszkodzenie lub zniszczenie. Dlatego coraz częściej przedsiębiorstwa decydują się na przechowywanie kopii danych osobowych w zewnętrznych, specjalnie chronionych serwerowniach.

[ ( http://static1.money.pl/i/h/154/t37274.jpg ) ] (http://msp.money.pl/wiadomosci/prawo/artykul/odpowiedzialnosc;pracownikow;za;mienie;firmy,180,0,758964.html) Odpowiedzialność pracowników za mienie firmy
- _ W przypadku naszego programu, pliki wysyłane są do Beyond Data Center w Poznaniu. Serwerownia spełnia rygorystyczne standardy bezpieczeństwa odnośnie dostępu do danych, poprzez ograniczenie wejścia na jej teren, stały monitoring pomieszczeń czy zastosowanie wielu środków fizycznej ochrony przed przepięciami elektrycznymi i pożarami - _ tłumaczy Tomasz Pakulski_ . - Takie rozwiązanie jest szczególnie korzystne ze względu na możliwość łatwego odtworzenia informacji po ich utracie czy konieczności ich usunięcia, kiedy wygasł cel ich przechowywania. Dane mają bowiem strukturę folderów odpowiadającą oryginalnemu układowi w komputerze _ - tłumaczy.

Jeżeli firma zdecyduje się na outsourcing takich usług powinna sprawdzić, czy ich dostawca spełnia wymogi stawiane przez GIODO.

Co zrobić w przypadku kontroli?

Chociaż skuteczne zabezpieczenie danych osobowych w firmie wymaga nierzadko dużych nakładów zarówno pracy, jak i środków finansowych, to jest to niezbędna procedura, której niedotrzymanie może skutkować poważnymi konsekwencjami. W każdej chwili przedsiębiorstwo może zostać skontrolowane przez inspektorów GIODO, którzy mają prawo sprawdzić jego dokumentację w zakresie ochrony danych osobowych, nie tylko podczas rutynowej kontroli, ale również na wniosek osoby poszkodowanej.

[ ( http://static1.money.pl/i/h/27/t34843.jpg ) ] (http://msp.money.pl/wiadomosci/zarzadzanie/artykul/jak;wykorzystac;unijna;dotacje;na;promocje;firmy,117,0,760437.html) Jak wykorzystać unijną dotację na promocję firmy
- _ Jeden z naszych klientów, poprosił o pomoc tuż przed wizytą inspektorów GIODO. Podczas organizowanego przez klienta konkursu jeden z uczestników zgłosił nieprawidłowości w przetwarzaniu danych osobowych. Gdyby nie szybkie poprawienie błędów i przygotowanie odpowiedniej dokumentacji mogłyby go czekać poważne sankcje, nawet karne w postaci 3 lat pozbawienia wolności - _wyjaśnia Jarosław Krauz.

Po nowelizacji ustawy o ochronie danych osobowych, która wejdzie w życie 7 marca 2011 r., do odpowiedzialności karnej może zostać pociągnięta każda osoba, która utrudnia kontrolę GIODO. Dotyczy to więc nie tylko administratorów danych, ale również podmioty zakłócające prawidłowy przebieg wizyty inspektorów przez np. sporządzanie fałszywej dokumentacji. Za takie przewinienia grożą kary grzywny, ograniczenia lub pozbawienia wolności do lat 2.

Jeżeli dojdzie do wykrycia uchybień w stosowaniu odpowiednich zabezpieczeń danych osobowych, GIODO w najlepszym przypadku nakaże usunięcie tych błędów i zwiększenie środków ochrony, w najgorszym jednak - może powiadomić odpowiednie organy o popełnieniu przestępstwa.

Czytaj w Money.pl
[ ( http://static1.money.pl/i/h/142/t85646.jpg ) ] (http://msp.money.pl/wiadomosci/zarzadzanie/artykul/straciles;dane;z;komputera;jaki;scenariusz;cie;czeka,19,0,737043.html) Straciłeś dane z komputera. Jaki scenariusz Cię czeka? Nie zawsze udaje się odzyskać wszystkie utracone dane. Często udaje się przywrócić jedynie ich część, a wiele trwale uszkodzonych plików przepada na zawsze.
[ ( http://static1.money.pl/i/h/18/t17170.jpg ) ] (http://msp.money.pl/wiadomosci/zarzadzanie/artykul/jak;zapewnic;firmie;wiele;domen;pocztowych,236,0,706796.html) Jak zapewnić firmie wiele domen pocztowych Usługa pozwalająca tworzyć nieograniczoną liczbę kont e-mail w ramach serwera jest najlepszym wyborem.
[ ( http://static1.money.pl/i/h/24/t86296.jpg ) ] (http://msp.money.pl/wiadomosci/zarzadzanie/artykul/ile;mozna;zaoszczedzic;na;backupie;danych,185,0,694713.html) Ile można zaoszczędzić na backupie danych Kopie zapasowe z rozliczeniami, ofertami dla klientów czy innymi ważnymi dla przedsiębiorstwa dokumentami, zamiast archiwizacji na CD, można przesyłać na serwer zewnętrzny.

Autorka jest pracownikiem agencji Dobocom

Oceń jakość naszego artykułu:
Twoja opinia pozwala nam tworzyć lepsze treści.
Źródło:
money.pl
KOMENTARZE
(0)