zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

16 kwietnia 2018

RODO. Czynnik ludzki głównym źródłem ryzyka?

Od 25 maja 2018 r. firmy będą podlegać będą większemu ryzyku związanemu z naruszeniami danych osobowych. Jednym z głównych źródeł zagrożenia są działania pracowników, w tym te nieuświadomione, wynikające z niewłaściwych praktyk, zaniechań lub zwykłej niewiedzy.


Sage

Spełniasz
wymogi
RODO?

Sprawdź



Wejście w życie RODO to dla przedsiębiorstw ważny powód do weryfikacji przyjętych polityk i procedur bezpieczeństwa. Nowe przepisy nakładają na firmy nie tylko szereg obowiązków związanych z ochroną danych osobowych, ale również wprowadzają znacznie większą odpowiedzialność za naruszenia ich bezpieczeństwa. Należy dodać, że RODO poszerza kategorie informacji, które uznaje się za dane osobowe, co w dobie gospodarki cyfrowej stanowi dodatkowe wyzwanie – im więcej kategorii danych, systemów przetwarzania, nośników i urządzeń mobilnych, tym trudniej zapewnić bezpieczeństwo danych. Czy zatem urządzenia przenośne, pamięci flash, IoT i drukarki staną się piętą Achillesa i wystawią firmy na ryzyko sankcji finansowych?



Umyślne lub nieumyślne działania niosą ryzyko!

W formułowaniu i wdrażaniu polityki bezpieczeństwa pod kątem RODO nie wolno bagatelizować czynnika ludzkiego, tym bardziej że wg rozporządzenia za naruszenia uznaje również nieświadome działania. Dla przedsiębiorstw jednym z głównych źródeł ryzyka stają się więc sami pracownicy, którzy z niewiedzy, roztargnienia lub beztroski mogą przyczynić się do groźnych w skutkach incydentów.

W rozporządzeniu wyróżnia się dwa rodzaje naruszeń: umyślne i nieuświadomione. Chcąc uniknąć rezultatów działań umyślnych, przedsiębiorstwa powinny ująć możliwość ich wystąpienia w restrykcyjnej polityce zarządzania ryzykiem w firmie – na takich samych zasadach, na jakich ocenia się możliwość podejmowania przez pracowników określonych wrogich zachowań względem pracodawców (np. nieuprawnionego kopiowania danych, ich kasowania lub udostępniania stronom trzecim). Weryfikacja polityki bezpieczeństwa dla przeciwdziałania celowym i świadomym działaniom może pomóc przedsiębiorcom podnieść ogólny poziom ochrony, nie tylko w zakresie przetwarzania danych osobowych.






Przeciwdziałanie naruszeniom nieświadomym wymaga edukacji i budowania właściwych nawyków

Inaczej jest w przypadku działań nieświadomych, gdyż tu znacznie większą rolę odgrywa nieprzewidywalny i trudny do zarządzania czynnik ludzki z całym bagażem niedoskonałości, jakimi są złe nawyki, roztargnienie, nieuwaga, naiwność, nadmierna rutyna czy zaniechanie. W procesach przetwarzania danych biorą udział ludzie i to od och zachowań zależy stopień ryzyka, na jaki wystawia się firma. Jakiego rodzaju nieświadome działania mogą skutkować naruszeniami danych? Podamy kilkanaście przykładów, które w organizacjach występują najczęściej:

  • zapisywanie danych osobowych na urządzeniach przenośnych bez szyfrowania,
  • wyrzucanie do śmieci wydruków i notatek bez ich trwałego niszczenia uniemożliwiającego odczyt danych,
  • nieuzasadnione współdzielenie z innymi użytkownikami plików z danymi osobowymi,
  • udostępnianie danych osobowych kontrahentom, współpracownikom lub innym stronom trzecim (np. firmom serwisującym systemy informatyczne) bez upewnienia się, czy została z nimi zawarta umowa o powierzeniu przetwarzania danych osobowych,
  • niedopilnowanie, by dane osobowe udostępnione stronom trzecim zostały usunięte niezwłocznie po realizacji celu, w jakim zostały udostępnione,
  • stosowanie domniemanej zgody na działania marketingowe (np. rozsyłanie mailingów, ofert handlowych lub telefonowanie) wobec osób, które takiej zgody nie wyraziły,
  • wysyłanie zbiorowych e-maili bez ukrycia adresatów,
  • niedostateczna weryfikacja nazwy adresata podczas wysyłania e-maila (programy pocztowe zazwyczaj podpowiadają domyślnych adresatów, co może zmylić nadawcę i skutkować wysyłką wiadomości do niewłaściwego adresata),
  • pozostawianie wydrukowanych dokumentów na drukarce,
  • odchodzenie od komputera bez zabezpieczenia go przed nieuprawnionym dostępem,
  • pozostawianie dokumentów z danymi osobowymi w widocznym miejscu,
  • przesyłanie danych osobowych bez szyfrowania.

Powyższe przykłady to tylko niektóre z działań, które mogą narazić przedsiębiorstwo na kary finansowe. Przeciwdziałanie ryzyku w tym zakresie polega głównie na edukacji pracowników, utrwalaniu pożądanych postaw bazujących na wiedzy z zakresu ochrony danych oraz na wpajaniu zasady ograniczonego zaufania. Pozytywne rezultaty na tym polu wymagają od pracodawców zaangażowania. Samo sformułowania procedur i polityki bezpieczeństwa nie wystarczy. Potrzebna jest praca u podstaw – szkolenia, budowanie świadomości, a także aktualizacja zawartych z pracownikami umów regulujących kwestie ewentualnej odpowiedzialności za naruszenia.

Definicja naruszenia bezpieczeństwa danych znajduje się w art. 4 ust. 12 RODO.



/*gatedcontent/