Bezpieczeństwo danych osobowych dla każdego – praktyczne wskazówki

Problematyka ochrony danych osobowych to temat niezwykle złożony. Mamy z nią do czynienia praktycznie w każdej sytuacji. Od poruszania się w Internecie, zakładania konta w banku czy załatwienia najprostszej sprawy w urzędzie. Wszędzie wymagane są nasze dane, które od 25.05.2018 r. – czyli od zastosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) – stanowią interesujący temat medialny oraz społeczny.

W wielu przypadkach spotykamy się z praktycznymi pytaniami dotyczącymi zabezpieczenia danych. W dzisiejszym wpisie chcielibyśmy zaproponować rzeczowe, konkretne i życiowe rozwiązania pomagające zarówno w stosowaniu RODO jak i w podniesieniu świadomości naszych czytelników, dotyczących kwestii bezpieczeństwa i ochrony prywatności. 

Takie jest prawo (prawny obowiązek ochrony)

Z czego tak naprawdę wynika aspekt ochrony danych osobowych? Tego typu pytania bardzo często pojawiają się na naszych szkoleniach. Po pierwsze uważamy, że to nie wymóg a konieczność z uwagi na transformację w gospodarkę cyfrową opartą na informacji. Poza tym informacje (niezależnie czy są to dane osobowe) to składnik „materialny” prowadzonej działalności więc powinien być chroniony równie dobrze jak np. auto w leasingu… Niemniej ochrona danych jest również wymogiem prawny, wyartykułowany w wielu miejscach w RODO. M.in. Motyw 78 stanowi, że:

„Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych.”

Widzimy w tym przypadku jak na dłoni, że RODO niejako narzuca na tych, którzy przetwarzają dane osobowe (tj. administratorów danych osobowych i przetwarzających), wymóg wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa operacji na danych osobowych. Sprawa jest jasna, prawda? Zatem, jakie czynności należy podjąć w praktyce, aby dane osobowe były bezpieczne?

Drabinka bezpieczeństwa danych – praktyczne wskazówki

Dziś przygotowaliśmy 5 praktycznych wskazówek, które zwiększą podstawowe bezpieczeństwo danych osobowych na urządzeniach w pamięci których mogą znaleźć się dane osobowe.

1. Zainstaluj na swoim urządzeniu oprogramowanie antywirusowe
   Jest to dobra praktyka, która pomoże chronić Twój sprzęt przed złośliwym oprogramowaniem. Obecnie na rynku istnieje duża liczba bezpłatnych programów czy, zawierający się już w oprogramowaniu systemowym, które przyczynią się do zwiększenia poziomu bezpieczeństwa Twoich (i nie tylko) danych. Dobry i skuteczny antywirus przyczyni się do ograniczenia ryzyka związanego z wprowadzeniem do systemu oprogramowania szpiegującego czy ransomware. Jest to niezwykle istotne w dobie korzystania z bankowości elektronicznej (zarówno poprzez komputer jak i urządzenie mobilne).
   
2. Szyfruj dyski
   Zdarzało Ci się zgubić swój dysk przenośny? W wielu przypadkach może to kosztować nawet 50 tys. złotych! (Tak jak w przypadku SGGW, o którym więcej w poprzednim artykule). Dlatego zalecamy korzystanie z programów szyfrujących dyski (np. VeraCrypt). To naprawdę nie zajmuje dużo czasu a znacząco ograniczy uzyskanie dostępu do dysku nawet w przypadku jego zgubienia. Urządzenia systemowo mają również dostępne rozwiązania szyfrujące (m.in. iOS, MacOs, Windows, Android)
3. Siła hasła
   Silne hasła dostępu(czyli nie takie typu zaqwsx)  oraz wielopoziomowe uwierzytelnianie stanowczo przyczyniają się do poprawy ochrony danych osobowych. Pozwalają one na ograniczenie dostępu do urządzenia, a jednocześnie minimalizują ryzyko utraty danych w przypadku zgubienia urządzenia lub kradzieży. Używaj menadżera haseł:)
4. Nie otwieraj podejrzanych załączników
   Zdarza Ci się otwierać załączniki do maili od adresatów, których nie znasz? Stanowczo odradzamy takie podejście. Może ono przyczynić się do ataku phishingowego w którym przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji, zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań. Dlatego stanowczo rekomendujemy sprawdzanie nadawców maili (po pierwsze sprawdź nadawcę). Jeśli otrzymaliśmy z przeszłości wiadomość od nieznanego nadawcy, która może wydawać się podejrzana, najlepiej skorzystać z opcji zablokowania tego adresu bądź wskazać wyrazy, na podstawie których wiadomość powinna być zablokowana. Oczywiście, przy tej drugiej opcji, należy pamiętać o tym, że wyrazy te powinny być charakterystyczne. W innym przypadku zablokowane zostaną wszystkie wiadomości zawierające dane słowo.
   
5. Zabezpieczaj hasłem pliki, w których znajdują się dane osobowe
   System Microsoft Office pozwala obecnie na zabezpieczenie hasłem plików – zarówno Excela jak i Worda. Dysponujesz danymi osobowymi w tych programach? Zabezpiecz je koniecznie silnym hasłem. Zabezpieczaj też istotne foldery oraz paczki plików. Jeżeli przesyłasz pliki drogą email to hasło przesyłaj drugim kanałem komunikacji (np. SMS)

Rola PUODO

W kwestii praktycznych zabezpieczeń w zakresie ochrony danych osobowych warto zwrócić uwagę na wytyczne Prezesa UODO. Pojawiają się one najczęściej w okresie przedwakacyjnym (maj-czerwiec). Można w nich znaleźć szereg interesujących informacji, obejmujących kwestię rekomendowanych sposobów zabezpieczeń stosowanych w celu ochrony danych. Komunikaty dostępne na stronie Urzędu Ochrony Danych Osobowych są niesamowicie wartościowe – zawierają wiele wskazówek i przystępnych wyjaśnień. Poniżej wskazujemy komunikaty, z którymi warto się zapoznać.

Podsumowanie

Funkcjonalne podejście do kwestii związanych z ochroną danych to wciąż temat, który wymaga szerszej dyskusji. W wielu przypadkach mamy do czynienia z brakiem świadomości w kwestiach dotyczących potencjalnego zagrożenia bezpieczeństwa danych. Z tego względu zamierzamy wprowadzić cykl edukacyjny obejmujący tę problematykę. Uważamy bowiem, że lepiej zapobiegać niż leczyć, a dobrze prowadzona edukacja może znacząco przyczynić się do spadku incydentów związanych z utratą bądź zgubieniem danych osobowych.

Zapamiętaj dane to teraz towar, który po pierwsze nie jest tani, po drugie jest możliwe do wykorzystania na wiele sposobów, po trzecie konsekwencje utraty mogą być bardzo bolesne…

Artykuł dotyczący kar nałożonych przez Prezesa UODO tutaj.

Poniżej wskazujemy komunikaty Prezesa UODO, z którymi warto się zapoznać:

1. Wakacje od ochrony danych osobowych mogą Cię sporo kosztować. Bądź czujny! 
2. Ochrona danych osobowych nie ma wakacji.
3. Ochrona danych osobowych podczas pracy zdalnej.

Autor: Monika Skwarek (ITLS) oraz Eryk Brodnicki (Centrum Audytu Bezpieczeństwa),