Bezpieczeństwo danych osobowych w firmach z sektora MŚP
Jak wynika z danych, opublikowanych przez IBM Security i Ponemon Institute, głównym celem cyberprzestępców nie są duże przedsiębiorstwa i korporacje, tylko małe i średnie firmy. RODO wskazuje, że każdy podmiot przetwarzający ponosi odpowiedzialność za przetwarzane dane wrażliwe – wielkość firmy nie ma w tym przypadku żadnego znaczenia.
Zastosowane środki techniczne powinny uwzględniać ryzyko kradzieży tożsamości, wycieku danych czy włamań na konto. Wszystkie naruszenia przepisów RODO wiążą się z poważnymi konsekwencjami prawnymi. W przypadku naruszeń prawa administrator danych podlega karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego globalnego obrotu.
Jak zapewnić bezpieczeństwo danych firmy i pracowników?
Pracodawca – jako administrator danych osobowych – jest zobligowany do zastosowania środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Dobór odpowiednich narzędzi zależy od kilku czynników, takich jak:
- cel, zakres oraz charakter przetwarzania danych osobowych,
- ryzyko naruszenia praw lub wolności osób fizycznych,
- zaplecze technologiczne i stan wiedzy technicznej,
- koszt zaimplementowania danego rozwiązania.
Prawodawca zaproponował kilka środków technicznych, pozwalających uzyskać wysoki stopień ochrony danych, niemniej nie narzucił konkretnych rozwiązań. Zamiast tego wprowadził podejście oparte na ryzyku. W rozporządzeniu wymienione zostały następujace sposoby zabezpieczenia wrażliwych informacji:
- szyfrowanie danych osobowych,
- zdolność do ciągłego zapewnienia poufności, integralności oraz odporności systemów,
- utrzymanie wysokiej wydajności systemów oraz usług przetwarzania,
- stworzenie kopii zapasowej danych (możliwość ich szybkiego przywrócenia),
- regularne testowanie i ocena skuteczności środków technicznych.
Inspektor Ochrony Danych Osobowych (IOD) kontroluje przebieg procedur związanych z wdrożeniem rozwiązań technologicznych w firmie i nadzoruje wszystkie kwestie dotyczące wypełnienia wymogów RODO. Należy zaznaczyć, że podmiot przetwarzający jest w pełni odpowiedzialny za ochronę danych osobowych i to on podejmuje niezależne decyzje dotyczące użycia konkretnych środków ochrony. Zapewnienie bezpieczeństwa danych ma charakter priorytetowy i leży w interesie obu stron. Zobacz, jak spełnić wymogi dotyczące ochrony danych osobowych i w jakie narzędzia warto się zaopatrzyć.
Nie chcesz zatrudniać etatowego inspektora w firmie? W takim razie skorzystaj z możliwości, jakie daje outsourcing IT!
Bezpieczne oprogramowanie RODO
Każdy program, który w sposób zautomatyzowany przetwarza dane należące do podmiotu przetwarzającego, powinien zapewnić najwyższy poziom bezpieczeństwa. Część firm wykorzystuje oprogramowanie lokalne, obsługiwane przez administratorów wewnętrznego systemu, inne natomiast korzystają z modelu SaaS, czyli rozwiązania chmurowego. Aplikacje w chmurze nie wymagają inwestowania w infrastrukturę IT i są przy tym o wiele tańsze niż programy dedykowane.
Polscy przedsiębiorcy chętnie wybierają systemy oferowane przez Comarch S.A. – polskiego producenta i dostawcę biznesowych rozwiązań IT. Aplikacje Comarch ERP nie tylko ułatwiają zarządzanie firmą, ale także zapewniają odpowiedni poziom bezpieczeństwa danych osobowych. Każdy program został wzbogacony o funkcjonalności spełniające wymogi RODO. Do najważniejszych z nich należą:
- rejestr czynności przetwarzania danych osobowych w systemie,
- rejestr zgód na przetwarzanie danych osobowych zawierający informacje o udzieleniu bądź cofnięciu zgód na przetwarzanie danych,
- rejestr upoważnień przetwarzania danych osobowych (lista osób fizycznych i prawnych uprawnionych do przeglądania informacji poufnych),
- rejestr naruszeń przetwarzania danych osobowych,
- wgląd do danych osobowych (wraz z możliwością eksportowania danych w formacie XML),
- anonimizacja (pozbawienie danych informacji umożliwiających zidentyfikowanie osoby fizycznej),
- logowanie działań operatorów (zapisywanie informacji dotyczących ich aktywności).
Dzięki zastosowaniu dedykowanego oprogramowania zwiększenie bezpieczeństwa danych firmy nie będzie wymagało od przedsiębiorcy dużego zaangażowania.
Chcesz wdrożyć aplikacje ERP zgodne z wymogami RODO? Skorzystaj z dedykowanych i chmurowych rozwiązań Comarch Optima. Sprawdź także innowacyjne rozwiązanie Comarch BI.
Anonimizacja a pseudonimizacja – jakie są między nimi różnice?
Oprogramowania do zarządzania przedsiębiorstwem wykorzystują dwie metody zabezpieczenia danych klientów i kontrahentów – anonimizację i pseudonimizację. Ta pierwsza jest procesem nieodwracalnym, który uniemożliwia ponowne wykorzystanie danych osobowych. Należy jednak zaznaczyć, że czynność ta nie znajduje zastosowania w systemie księgowym, gdzie dane są wykorzystywane do realizowania czynności prawnych. Ma to związek z wymogiem ustawodawcy dotyczącym archiwizowania do momentu przedawnienia obowiązku podatkowego oraz roszczeń umownych.
Alternatywą dla anonimizacji jest pseudonimizacja, czyli zamiana wykazu danych osobowych na pseudonimy, które umożliwiają łatwe rozszyfrowanie osób, których dane dotyczą. Jak to wygląda w praktyce? Przykładowo, przedsiębiorstwo może stosować listy numeryczne z ciągami losowych cyfr. Takie rozwiązanie znajduje zastosowanie przy tworzeniu statystyk i dotyczy przede wszystkim sytuacji udostępniania danych na zewnątrz.
Replikacja danych w firmie – na czym polega?
Coraz częściej stosowanym standardem zabezpieczeń w przedsiębiorstwie jest replikacja danych, która polega na powielaniu informacji między różnymi serwerami baz danych w czasie rzeczywistym. Jeżeli dojdzie do incydentu fizycznego, administrator wciąż ma dostęp do danych.
G Suite – biznesowa alternatywa dla Gmaila
Zapewnienie poufności korespondencji odgrywa kluczową rolę w środowisku biznesowym. Jeżeli Twoja firma używa darmowej skrzynki pocztowej, istnieje większe ryzyko cyberataków. Zamiast tradycyjnej poczty warto skorzystać z G Suite, który ma bardzo skuteczny filtr niechcianej korespondencji oraz wspiera weryfikację nadawców dzięki rekordom DMARC, SPF i DKIM. Zapewne wiesz, że oszuści często próbują podszyć się pod domeny z dobrą reputacją, aby zdobyć wgląd do osób, których dane gromadzisz, lub pozyskać inne interesujące informacje.
Efektywne zarządzanie hasłami do poczty i aplikacji
Poruszając kwestie związane z ochroną danych osobowych, nie sposób pominąć aspektu haseł. Większość osób uważa, że ustalane przez nich hasła są na tyle złożone, że ich rozpracowanie i przejęcie konta pozostają poza zasięgiem osób trzecich. W istocie jednak większość pracowników używa ciągu znaków, które są łatwe do zapamiętania i możliwe do wpisania w ciągu paru sekund. Nawet najbardziej rozbudowane hasło, zawierające ciąg cyfr i znaki specjalne, może okazać się bezużyteczne, jeżeli użytkownik będzie je wpisywał wielokrotnie w różnych miejscach w sieci. Za najbezpieczniejsze uznaje się hasła wygenerowane przez algorytmy z funkcją randomizującą.
Aby utrudnić wyciek danych, warto zastosować dodatkowe zabezpieczenie w postaci uwierzytelniania dwuskładnikowego. Taka weryfikacja nie jest skomplikowana, a stanowi przy tym niezwykle skuteczną ochronę danych. Po wpisaniu hasła aplikacja wysyła prośbę o potwierdzenie logowania; może to zrobić poprzez wysyłkę wiadomości e-mailowej lub SMS-a.
Chcesz zabezpieczyć się przed wyciekiem danych z aplikacji? Szyfrowanie danych osobowych, oferowane przez serwis ERP, zapewni Twojej firmie najwyższy poziom ochrony.
Postępowanie w przypadku wycieku danych – co robić?
Nawet najlepsze zabezpieczenia mogą okazać się niewystarczające, dlatego warto opracować protokół postępowania dla wszystkich kategorii danych osobowych. Co powinien obejmować?
- Ustalenie przyczyny wycieku danych – błąd, atak hakerski, przypadkowe zaginięcie sprzętu, a może celowe działanie?
- Zabezpieczenie dowodów – analiza informacji w oparciu o zgromadzone dane, ocena ryzyka oraz ustalenie strategii dalszego postępowania firmy.
- Zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych (o ile jest to konieczne).
- Wyciągnięcie wniosków i udokumentowanie postępowania – odnalezienie ewentualnych luk i sporządzenie raportu ułatwiającego przeprowadzenie audytu.
Duże przedsiębiorstwa, z prawnie uzasadnionych interesów, przeznaczają duże nakłady na sprawy związane z ochroną danych osobowych. Firmy z sektora małych i średnich przedsiębiorstw często bagatelizują te kwestie, co może być tragiczne w skutkach. Każda firma powinna jednak oceniać zagrożenie indywidualnie i dobierać środki dostosowane do ryzyka naruszenia prawa.
Zasada ograniczonego zaufania – zachowaj czujność!
Ochrona danych osobowych i bezpieczeństwo przetwarzania informacji wymagają holistycznego podejścia. Podstawą wszelkich działań jest zrozumienie, że przyczyną wycieków nie musi być zła wola pracowników, tylko niewiedza.
Zanim zdecydujesz się na wdrożenie konkretnych rozwiązań, rozważ takie kwestie jak kultura organizacyjna czy sposób nawiązywania współpracy z podwykonawcami.
Zastanów się:
- Czy w momencie przekazywania istotnych informacji osobom trzecim masz pewność, że dysponują odpowiednimi zabezpieczeniami?
- Czy pracownicy Twojej firmy korzystają ze wspólnego konta? To bardzo ważne, ponieważ w przypadku wycieku danych nie będziesz mógł wskazać osoby winnej całego incydentu.
- Czy osoby zatrudnione w Twojej firmie wykonują obowiązki zawodowe na prywatnych laptopach, które nie posiadają stosownego systemu zabezpieczeń?
- Czy korzystasz z bezpłatnych rozwiązań, np. skrzynki pocztowej lub oprogramowania?
- Czy regularnie wykonujesz aktualizację oprogramowania? A może rezygnujesz z wdrożenia aktualizacji, mimo że dostawca udostępnia nową, stabilniejszą wersję programu?
Stosowanie bezpiecznych rozwiązań IT jest niezbędne dla prawidłowego funkcjonowania firmy. Regularne testowanie i ocenianie skuteczności środków technicznych to nie tylko wymóg stawiany przez prawodawcę, ale także wyraz dbałości o interesy pracowników, klientów i kontrahentów. Inwestując w sprawdzone oprogramowanie i przestrzegając powyższych zasad, minimalizujesz ryzyko naruszenia praw oraz wycieku danych.
Czytaj także:
Optyczne rozpoznawanie tekstu – Comarch OCR
CRM online: Korzyści z systemu CRM w chmurze
Analiza danych i controlling w nowoczesnym biznesie
Dlaczego warto testować oprogramowanie?
