Dlaczego warto przeprowadzić ocenę zabezpieczeń danych?

Aby prawo dotyczące ochrony danych było jednolite na obszarze całej Unii Europejskiej, 25 maja 2018 r. wejdą w życie nowe przepisy. Ogólne rozporządzenie o ochronie danych (RODO) dotyczy wszystkich firm, tych dużych i państwowych oraz małych i średnich.

Co to jest RODO?
RODO to nowe, nadrzędne prawo, które określa sposób, w jaki firmy powinny chronić dane osobowe obywateli UE. Nowe prawo zostało wprowadzone głównie po to, aby ujednolicić przepisy związane z ochroną danych na obszarze UE. Nowe prawo zastąpi obecną dyrektywę o ochronie danych osobowych 95/94/EC. 

W jaki sposób RODO wpłynie na działalność mojej firmy?
Zasady związane z przechowywaniem danych poufnych i osobowych będą musiały być bardziej surowe. Naruszenie nowego prawa będzie skutkować poważnymi konsekwencjami, a nawet wysokimi karami.

Przetwarzanie danych musi być czynnością jawną, dlatego firmy muszą informować osoby zainteresowane o sposobie używania ich danych. Osoby zainteresowane muszą również wiedzieć, że mają prawo cofnąć zgodę na przechowywanie danych. Nowa dyrektywa — „Prawo do bycia zapomnianym” — mówi, że każdy może poprosić o usunięcie swoich danych osobowych przechowywanych w bazie firmy. Dyrektywa „Prawo do sprzeciwu” mówi, że każdy może wyrazić swój sprzeciw wobec profilowania, w tym do celów marketingu bezpośredniego.

Jeśli chodzi o bezpieczeństwo przechowywanych danych, firmy muszą podjąć środki ostrożności, zarówno fizyczne, jak i elektroniczne. Jeśli nastąpi włamanie, działania należy podjąć natychmiast. Każda firma ma również obowiązek zgłosić zajście organom RODO, które przeprowadzą ocenę procedur bezpieczeństwa stosowanych w firmie.

Dlaczego RODO jest ważne
Wszystkie firmy działające zgodnie z dyrektywą o ochronie danych będą musiały dostosować się do RODO i do zmian z nim związanych. Firma może zapłacić karę, jeśli nie dostosuje się do wymagań i zasad RODO lub przestanie ich przestrzegać.

Rozporządzenie dotyczy wszystkich członków UE i wyeliminuje konieczność opracowywania oddzielnych przepisów prawa o ochronie danych osobowych w każdym kraju. Niektóre firmy będą musiały zatrudnić osobę do nadzoru wdrażania RODO i stosowanie się do jego wymogów.

Zanim jednak przepisy wejdą w życie, czas spojrzeć na obecny stan rzeczy i określić , jakie działania można podjąć, aby podporządkować się przepisom.

Czym należy się zająć, zanim RODO wejdzie w życie?
Wiele włamań to efekt zaniedbania pojedynczej osoby, a nie złożony cyberatak, dlatego tak ważne jest, aby minimalizować ryzyko na wszelkie możliwe sposoby. Oto kilka z nich.

1. --Stwórz plan oceny ryzyka
   Identyfikacja potencjalnych zagrożeń i eliminacja słabych punktów w zabezpieczeniach to ważne elementy podporządkowania się zasadom RODO. Warto również sporządzić harmonogram na podstawie danych zebranych z analizy; dzięki temu będzie wiadomo, kiedy i jakie działania podjąć oraz które z nich będą najbardziej czasochłonne. Pomaga to również ustalić obszary odpowiedzialności. Wtedy wszyscy wiedzą, co muszą zrobić, aby umożliwić dostosowanie się do przepisów RODO. 
   
   
2. Zniszcz niepotrzebne dokumenty papierowe 
   Do niszczenia dokumentacji papierowej i poufnych dokumentów doskonale nadaje się niszczarka. Nie wolno pozostawiać wrażliwych informacji w miejscach, w których osoby postronne mogą je zobaczyć. Jeśli dane dotyczą pracownika lub konsumenta, jest to nie tylko naruszenie prywatności. Ujawnienie poufnych danych może mieć dla firmy poważne skutki.              
   Niszczarki ścinkowe tną dokumenty na drobne kawałeczki, więc trudno jest je zrekonstruować. Wybór niszczarki zależy jednak od potrzeb firmy.
   
   
3. Chroń dokumenty papierowe
   Ochrona danych fizycznych to ważne zadanie dla firm chcących się podporządkować zasadom RODO. Jeśli firma przechowuje kopie fizyczne do ewentualnego wglądu, należy podjąć dodatkowe środki ostrożności. Zamykana szafka lub szuflada mogą okazać się niezbędnym nabytkiem. Patrząc na rozwój technologii, można zapomnieć, jak ważne jest przechowywanie fizycznych dokumentów pod kluczem. Zamykana przestrzeń do przechowywania nie przestaje być ważnym nabytkiem. To również pospolity sposób na ograniczenie dostępu do poufnych dokumentów.
    
4. Nie ufaj zbyt mocno hasłom
   Ludzie często zapominają, jak ważne przy ochronie danych osobowych jest silne i przemyślane hasło. Automatyczne przypomnienia wyświetlane po ustalonej liczbie dni mogą być bodźcem, który skłoni pracowników do regularnej zmiany hasła. Można również tak ustawić parametry hasła, aby zawierało wielkie litery, cyfry, a nawet symbole. Dzięki temu złożoność hasła osiągnie wymagany do ochrony danych poziom. 
   
   
5. Oceń uprawnienia dostępu 
   Nowi pracownicy raczej nie potrzebują tych samych uprawnień dostępu co pracownicy wyższego szczebla. W ten sam sposób osoby odpowiedzialne za bezpieczeństwo danych będą potrzebować innych uprawnień dostępu niż zwykli pracownicy biurowi. Dla firm zatrudniających na zlecenie lub tymczasowo stwarza to mnóstwo potencjalnych zagrożeń. W takim przypadku ograniczanie dostępu staje się jeszcze ważniejsze. Ustalanie uprawnień może mieć znaczący wpływ na przeciwdziałanie włamaniom i ochronę poufnych informacji. 
   
   
6. Czy Twoje oprogramowanie antywirusowe jest wystarczająco sprawne?
   Oprogramowanie antywirusowe wysokiej jakości to niezbędne narzędzie w każdej firmie. Na świecie rośnie liczba cyberataków, a wirusy, które mogą zainfekować sieć firmy, są coraz bardziej złożone, warto więc poświęcić tematowi oprogramowania antywirusowego więcej uwagi. Trzeba zadać sobie kilka pytań. Czy oprogramowanie antywirusowe jest aktualizowane na bieżąco? Czy jest dopasowane do formatu firmy? Trzeba poświęcić trochę czasu na ocenę zabezpieczeń i sprawdzić, czy są zgodne z przepisami RODO.
    
7. Przeprowadź wiosenne porządki
   Sprawdź, czy zgromadzone dane są prawidłowe, aktualne i wciąż użyteczne. Jest to część wymagań stawianych przez RODO. Trzeba również szanować wynikające z RODO prawa innych osób. Mogą one nie wyrazić zgody na gromadzenie danych osobowych — takie mają prawo i należy to mieć to na względzie. Regularne sprawdzanie, czy wszystko funkcjonuje zgodnie z wytycznymi, a także usuwanie zbędnych plików pomoże zachować porządek i identyfikować problemy.
   
   
8. Stwórz plan na wypadek włamania
   Firmy będą musiały szybko reagować na włamania i zgłaszać je odpowiednim służbom w ciągu 72 godzin. Konieczne będą również wyjaśnienia, np. jakie działania podjęto w związku z włamaniem i jego skutkami. Gotowy plan pomoże zaoszczędzić czas i ograniczyć wpływ włamania na firmę i ludzi w nim poszkodowanych.

Ważne jest, aby firma była na bieżąco ze zmianami w przepisach o ochronie danych i poinformowana o wprowadzeniu RODO. Odpowiedzialni są wszyscy pracownicy, więc o nowych planach i informacjach należy powiadomić całą załogę. Czas ucieka, a ocena obecnych środków ochrony danych to pierwszy krok do podporządkowania się przepisom RODO.