Błąd, umyślne działanie, a może nieodpowiednie narzędzia pracy? Na jakie działania pracowników i rozwiązania techniczno-organizacyjne warto zwrócić uwagę i jak im zapobiec? W dzisiejszym artykule chciałabym  przedstawić moją subiektywną listę 5 najczęstszych sytuacji, z którymi spotykamy się podczas audytów RODO, sporów sądowych oraz ocenianych incydentów, a które stanowią istotne zagrożenie dla danych osobowych (kolejność przypadkowa).

1.Błędny odbiorca informacji

Ten punkt chyba nikogo nie dziwi. Powszechnie wiadomo, że najsłabszym ogniwem zawsze jest człowiek. Każdemu mogą zdarzyć się błędy, dlatego warto wprowadzić zabezpieczenia nie tylko pozwalające ich uniknąć, ale również zminimalizować ich skutki.

Błąd może wynikać z umyślnego działania innej osoby, która będzie próbowała wyłudzić dane. Czytelników RODOKompasu  zainteresowanych tym wątkiem zapraszam do zapoznania się z artykułem opublikowanym wcześniej na RODOKompasie: „Jak się bronić przed phishingiem?„.

Błąd pracownika niekoniecznie musi wiązać się z udziałem innej osoby. . Dwie osoby o takim samym imieniu i nazwisku, posiadające   podobny adres e-mail,  i mail wysłany nie do tej co trzeba? Czy znajdzie się ktoś, kto używa SMS-ów, maili czy czatu i nigdy nie popełnił takiego błędu?

Warto też pamiętać o głośnej sprawie nałożenia przez Urząd Ochrony Danych Osobowych kary za wysłanie maila na adres e-mail do niewłaściwej osoby, mimo że błędny adres był wskazany przez samego klienta (więcej na ten temat można znaleźć w naszym wcześniejszym artykule: „Podanie błędnych danych przez klienta a zgłoszenie naruszenia RODO”). Niezależnie od opinii na temat tej decyzji warto pomyśleć też o potencjalnie nieaktualnych adresach e-mail w naszej bazie.

Jak temu zaradzić?

Rozwiązania dotyczące phishingu zawarliśmy we wspomnianym powyżej artykule: „Jak się bronić przed phishingiem?”. Na pozostałe kategorie błędów zaleca się odpowiednie procedury, które w szczególności powinny obejmować szyfrowanie danych osobowych zawartych w mailu i przesyłanie haseł inną drogą komunikacji, odpowiednie określenie okresu, przez jaki dane będą przechowywane oraz środki zaradcze pozwalające na usunięcie lub przynajmniej ograniczenie skutków incydentu. Warto też okresowo przypomnieć pracownikom, żeby zawsze co najmniej dwa razy upewnili się, do kogo wiadomość wysyłają. Częstą przyczyną błędów jest stres i pośpiech spowodowany presją czasu oraz nadmiarem obowiązków – ważne są więc też odpowiednie warunki pracy.

2. Instalacja złośliwego oprogramowania

Często  pracownicy posiadają uprawnienia administratora do wykorzystywanych przez nich komputerów służbowych. Przyczyny są różne – czasem jest to po prostu niepodjęcie odpowiednich działań przez pracodawcę, czasem brak wystarczającej ilości pracowników IT, którzy nie mają czasu obsługiwać każdego urządzenia w przedsiębiorstwie, a czasem przyzwolenie na wykorzystywanie urządzeń służbowych do celów prywatnych (mogące wynikać z przyzwyczajeń pracowników albo specyfiki branży – kto próbował zakazać programiście czy grafikowi wykorzystywania komputera służbowego do celów prywatnych ten wie o czym mówię 😉 ).

Skutki mogą być opłakane, bowiem jest to najszybsza droga do instalacji złośliwego oprogramowania, które w najlepszym wypadku zainfekuje tylko jeden komputer, w najgorszym – nie tylko komputery przedsiębiorstwa, ale i kontrahentów. Stratom na danych można czasem zaradzić, zwłaszcza jeżeli są odpowiednio tworzone kopie zapasowe, gorzej ze stratami wizerunkowymi.

Drugie niebezpieczeństwo z tym związane to umyślne nieuprawnione pobranie, wykorzystanie lub ujawnienie danych przez pracowników. Dane prywatne zawarte na służbowym sprzęcie mogą stanowić pretekst do zgrania również danych służbowych, w tym pracownik ma większe możliwości niepostrzeżonego skopiowania danych.

Podobne skutki wywołuje umożliwienie podłączania prywatnych pamięci przenośnych do komputerów (brak blokady portów USB, napędy optyczne) oraz przyzwolenie na wykorzystywanie poczty służbowej do celów prywatnych i odwrotnie. Równie niebezpieczne będzie też łączenie się do niezaufanych sieci Wi-Fi.

Jak temu zaradzić?

Przede wszystkim wprowadzając zakaz używania urządzeń prywatnych do celów służbowych i odwrotnie (podobnie w przypadku skrzynek e-mail). Zablokowanie portów USB (w myśl popularnego ostrzeżenia: przed zastosowaniem skonsultuj się z informatykiem lub specjalistą od cyberbezpieczeństwa, niewłaściwe stosowanie może doprowadzić do blokady myszek oraz wszelkich innych urządzeń peryferyjnych 😊)  i uniemożliwienie wykorzystania napędów optycznych. Warto też zastosować procedurę korzystania z sieci Wi-Fi (lub tez wprowadzić całkowity zakaz jej wykorzystywania). Oczywiście zalecana jest też konsultacja z działem IT w celu wprowadzenia innych zabezpieczeń informatycznych (takich jak odpowiednie firewalle i oprogramowanie antywirusowe).

3. Inne błędy, często określane jako „samo się zrobiło”

Jest to dość szeroka kategoria obejmująca zdarzenia od „samo się usunęło” po „samo się dodało” z wszystkimi przypadkowymi zdarzeniami, które mogą wystąpić po drodze. Inaczej mówiąc są to przypadkowe ingerencje w dane osobowe takie jak usunięcie, dodanie, zmiana, przeniesienie, wprowadzenie błędnych danych. Ponownie – jesteśmy tylko ludźmi i błędy się zdarzały, zdarzają i zdarzać będą. Klik i plik usunięty, jeden enter za dużo i zamiast wprowadzić zmianę w jednej komórce wprowadzamy dane  w innej. Czasami  ryzyko wystąpienia błędów zwiększa też nieodpowiednio przemślane i za mało intuicyjne oprogramowanie.

Jak temu zaradzić?

Szczególnie niebezpieczne są dziania dokonywane na szczególnie istotnych albo na znacznych ilościach danych osobowych . Z pomocą mogą nam przyjść zabezpieczenia techniczne, takie jak odnotowywanie osoby, dnia i godziny oraz zakresu danych na których została dokonana operacja lub jej potwierdzenie przez przełożonego. Operacje na bardzo dużych ilościach danych (takich, których raczej pracownik nie potrzebuje w jednym czasie) warto zablokować – ochroni to nas też przed zdarzeniem „samo się pobrało na mój prywatny komputer”. Nie należy też dopuszczać korzystania przez kilku pracowników z jednego konta (nawet jeżeli dana osoba jest na urlopie). Pracownicy powinni mieć też świadomość, że powinni chronić hasła dostępu nie tylko przed osobami postronnymi, ale również współpracownikami.

4. Niewiedza

Mimo, że od rozpoczęcia stosowania RODO minęły już 3 lata, wciąż czasem spotykamy się z niedostatecznym przeszkoleniem pracowników. Jest to niebezpieczne w przypadku każdego pracownika mającego dostęp do danych osobowych, a przy pewnych stanowiskach warto kłaść szczególny nacisk na wiedzę. Są to stanowiska, na których przetwarzane są dane szczególnych kategorii (np. lekarze, pracownicy sądów, ubezpieczyciele) lub duże ilości danych o szczególnej istotności dla osoby, której dotyczą (np. numery dowodów osobistych), stanowiska odpowiedzialne za zawieranie umów, pracownicy kadr i księgowości.

W pierwszym przypadku, tj. osób przetwarzających dane szczególnej kategorii albo inne dane  istotne dla osoby, której dotyczą, wyciek danych jest wysoce niebezpieczny ze względu na wagę jakie może mieć ich ujawnienie nieodpowiednim osobom i nie wymaga chyba dłuższego omówienia. Największym zagrożeniem są tu błędy takie jak w przypadku pozostałych grup pracowników mogące skutkować m.in. utratą, niepożądaną zmianą czy niepożądanym dostępem do danych.

W drugim przypadku, tj. stanowisk odpowiedzialnych za zawieranie umów, będzie to najczęściej niezawieranie umów powierzenia przetwarzania danych osobowych albo błędne oznaczenie stron umowy z uwagi na nieprawidłowe ustalenie ról jakie pełnią wobec siebie kontrahenci. Obie sytuacje stanowią naruszenie ochrony danych osobowych. W pierwszym przypadku może się to zwłaszcza przełożyć nie tylko na odpowiedzialność za nieprzestrzeganie przepisów, ale również rodzić problemy w przypadku niedochowania przez drugą stronę jej obowiązków. W drugim wypadku problem jest równie istotny, ponieważ obowiązki i prawa są przyznane nieodpowiedniej stronie (np. zamiast przyznać sobie jako administratorowi prawo do audytowanie podmiotu przetwarzającego możemy zobowiązać się do poddawania się audytom), co również nie będzie zgodne z przepisami. Błędy związane z umowami przetwarzania danych osobowych należą do najczęściej wykrywanych podczas audytów.

W ostatnim przypadku, tj. pracowników kard i księgowości, mają oni najczęściej wiedzę jak fizycznie chronić dane. Problem pojawia się jednak w przypadku okresów i zakresu przetwarzanych danych.Efektem mogą być np. nadmiarowe dane w aktach osobowych, zbyt długie albo zbyt krótkie okresy przechowywania dokumentów czy nieodpowiednia archiwizacja.

Jak temu zaradzić?

Każdy pracownik mający dostęp do danych osobowych   powinien zostać przeszkolony z zakresu ochrony danych osobowych. Odpowiednie przeszkolenie powinno obejmować swoim zakresem przede wszystkim obowiązki wynikające z RODO, zasady, procedury i zabezpieczenia wprowadzone przez pracodawcę oraz środki bezpieczeństwa, jakie powinien stosować pracownik. Zaleca się również prowadzenie szkoleń cyklicznych. Elementem podnoszącym wiedzę pracowników poza szkoleniami mogą być także bieżące działania uświadamiające, takie jak maile od działu IT do pracowników wskazujące na najnowsze zagrożenia. W tym celu warto  wyznaczyć konkretne osoby odpowiedzialne za rozpowszechnianie informacji, aby zapobiec dezinformacji,dezorganizacji czy problemom technicznym). Oczywiście przydatna będzie też procedura szkoleń i podnoszenia wiedzy.

Jednak nawet najlepsze szkolenie nie zastąpi odpowiednich polityk i procedur. Powinny być one łatwo dostępne dla pracowników, gdyby wiedza ze szkolenia okazała się ulotna. Warto też wyznaczyć osobę posiadającą odpowiednie kompetencje, która pomoże pracownikom w podejmowaniu trudnych decyzji. Czasem interpretacja przepisów nie jest w cale ani prosta ani jednoznaczna i wymaga  doświadczenia. Warto więc, aby pracownicy wiedzieli do kogo się zwrócić, jeżeli nie będą mieli pewności, jakie dokumenty powinny znajdować się w aktach osobowych, z kim zawrzeć umowę przetwarzania, który z podmiotów jest administratorem albo co zrobić w przypadku incydentu, kiedy każda godzina jest na wagę złota.

5. Karteczki samoprzylepne i tablice korkowe

Na koniec moje ulubione – karteczki samoprzylepne i tablice korkowe zapełnione danymi osobowymi i danymi logowania. Przyznaję, to zjawisko zdarza się coraz rzadziej, jednak nadal nie zostało w pełni wyeliminowane. Ulubione miejsca na karteczki samoprzylepne z hasłami, numerami telefonów i adresami to monitor, miejsce pod klawiaturą, jedna z szuflad pod biurkiem, zeszyt leżący w łatwo dostępnym miejscu – jednym słowem miejsca, których długo nie trzeba szukać. Tablice korkowe to jeszcze ciekawsze źródło wiedzy – lista kontrahentów z danymi kontaktowymi (co może stanowić nie tylko dane osobowe, ale i tajemnicę przedsiębiorstwa), nieopłacone faktury, numery kont bankowych, treści maili, z których nie usunięto imion, nazwisk i adresów. Takie tablice i karteczki są szczególnie niebezpieczne w miejscach, do których dostęp mają kontrahenci i inne osoby postronne (choć i współpracownik może być osobą, która nie powinna mieć wglądu w określone dane osobowe) takich jak open-space czy sekretariat.

Jak temu zaradzić?

Jeżeli chodzi o hasła – na ten temat można byłoby napisać zapewne cały oddzielny artykuł. W skrócie jednak warto poświęcić trochę uwagi polityce haseł. Obecne zalecenia (które swoje źródło mają jeszcze w poprzedzających RODO przepisach o ochronie danych osobowych) obejmują hasła co najmniej 8 znakowe, z wielkimi i małymi literami oraz znakami specjalnymi i cyframi. Bardzo długo utrzymywało się też przekonanie, że hasło takie musi być zmieniane co miesiąc. Jeżeli jednak zapytamy specjalistów od cyberbezpieczeństwa, czy takie hasło jest wystarczające i jak często powinno ulegać zmianie spotkamy kilka stanowisk. Nie ma złotego środka, ale podejmując decyzję, o częstotliwości zmiany i stopniu skomplikowania hasła (przy czym zdecydowanie nie zalecam ustawiania haseł nieuwzględniających powyższych zaleceń) warto mieć na uwadze nie tylko potencjalne ryzyko włamania gdyby doszło do wycieku hasła, ale również właśnie ryzyko związane z zapisywaniem takich haseł na karteczkach, ustawianiu zbyt łatwych haseł lub bardzo niewielkie zmiany w haśle.

Co do pozostałych danych rozwiązaniem będzie wprowadzenie zasady czystego biurka, a więc żadne dane osobowe nie powinny znajdować się nie tylko na tablicach i karteczkach, ale też na biurkach ,czy w niezamykanych szafkach i szufladach.

Podsumowanie

Powyższa lista niebezpieczeństw jest oparta na obserwacjach – zwłaszcza z ostatnich trzech lat obowiązywania RODO. Nie oznacza to jednak, że występują one w każdym przedsiębiorstwie. Przedsiębiorstwa podejmują różne działania, aby wyeliminować dane zagrożenie. Często warto wysłuchać propozycji kierowników działów czy pracowników działu IT – powyższe pomysły stanowią najważniejsze i najbardziej uniwersalne z nich. Jeżeli więc w przedsiębiorstwie brakuje któregoś z zabezpieczeń albo występują powyższe ryzyka – warto niezwłocznie podjąć działania w celu sprawdzenia poziomu bezpieczeństwa danych osobowych i wprowadzenia wyższego, adekwatnego poziomu zabezpieczeń.

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.