RODO: Minimalizuj gromadzone dane

Coraz częściej daje się zauważyć sprzeciw wobec nadmiernemu gromadzeniu danych, w tym danych osobowych. Stajemy się coraz bardziej świadomi co i komu przekazujemy. Nie uzupełniamy już wszystkich pozycji w formularzach, kwestionujemy zasadność zbierania nadmiarowych danych. Co najważniejsze, mamy już świadomość, że ochrona naszego prywatnego maila – jego treści oraz dostępu do niego – jest kluczowa dla naszego bezpieczeństwa tak samo jak ochrona dowodu osobistego. Ale jest też druga strona medalu, podmiot, który pozyskał nasze dane.

Żyjemy w czasach ogromnego i intensywnego gromadzenia danych narażając się na coraz większe ryzyko utraty kontroli nad nimi, a przez to skutecznej ochrony. Jak wiadomo, jednym z głównych obowiązków administratora danych wynikających z RODO jest zapewnienie odpowiednich środków dla bezpieczeństwa danych. Te środki powinny chronić przed nieuprawnionych i niezgodnym z prawem przetwarzaniem danych osobowych, w tym przed kradzieżą, zniszczeniem, uszkodzeniem lub ich ujawnieniem.

Skąd administrator ma wiedzieć jakie środki ma zastosować, aby dane były bezpieczne? Dokonując analizy ryzyka, czytając wytyczne organów czy zatrudniając specjalistę. W tym artykule zajmiemy się zagadnieniem transportu danych na przenośnych dyskach. W tym miejscu należy zauważyć, że dysk w laptopie jest także środkiem transportującym dane.
Jeżeli administrator nie zablokował portów USB, może dochodzić do zgrywania danych na pamięci masowe: pendrive, dyski zewnętrzne, karty SD, smartfony oraz tablety.

Tak więc urządzenie przenośne należy zabezpieczyć analizując kwestie:
- możliwej kradzieży lub zgubienia,
- wgrania złośliwego oprogramowania,
- nieuprawnionego dostępu do plików.

Jakie się zabezpieczyć? Wewnętrzne procedury i regulaminy na nic się nie zdadzą, jeżeli nie będą stosowane. Dokumentacja pozwala jedynie uporządkować środki, które powinny być stosowane w danym przypadku. Natomiast środki bezpieczeństwa należy stosować. I je regularnie sprawdzać. O jakich środkach mowa?

Techniczne środki bezpieczeństwa:
- szyfrowanie dysków, pendrive’ów i pozostałych nośników,
- zabezpieczanie hasłem dostępu do plików.

Dodatkowo trzeba mieć na uwadze, aby:
- pracownik usuwał dane z pamięci, gdy są już zbędne,
- robić kopię przeniesionych danych na pamięć sieciową, aby w przypadku zgubienia urządzenia była możliwość ich odtworzenia,
- urządzenia pochodziły od renomowanych dostawców,
- dokonywać przeglądów pamięci przenośnych w celu upewnienia się, że są przechowywane na nim jedynie dopuszczalne dokumenty (bez nielegalnych programów/materiałów),
- pamięci masowej nie pozostawiać bez nadzoru (w szczególności podczas transportu), a nieużywana pamięć powinna być zabezpieczona (np. przechowywana w bezpiecznym pomieszczeniu/szufladzie),
- pracownik mógł zgrywać dane na pamięci masowe tylko na krótki okres, a jeżeli to możliwe, powinien być wdrożony system, który automatycznie usuwa dane po określonym czasie,
- była możliwość (o ile to wykonalne) zdalnego usunięcia danych (na odległość) z pamięci pracownika.

Podsumować powyższe można jednym zdaniem: zwiększ świadomość bezpieczeństwa pracowników i szyfruj dane!
Te zasady powinno się wdrożyć w firmie w postaci wewnętrznych polityk i zakomunikować całemu personelowi. Gdy już dojdzie do naruszenia ochrony – bez znaczenia czy z powodu ludzkiego błędu czy kradzieży – będziemy pewni, że technologie i jej zabezpieczenia nas nie zawiodą. W końcu, jeżeli dane były szyfrowane to możliwe, że nie będzie konieczności zgłaszania naruszenia.

Artur Majchrzycki – Inspektor Ochrony Danych,
jest ekspertem ds. ochrony danych osobowych.
Specjalizuje się w problemach związanych
z wdrażaniem przepisów ochrony danych osobowych.
Posiada wieloletnie doświadczenie związane
z zabezpieczeniami informatycznymi w ochronie danych.
Audytor Wewnętrznych Systemów Zarządzania
Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001.

Kontakt do autora:
tel. 501 15 11 15
email: a.majchrzycki@moment24.pl