Trwa generowanie dokumentu...

Zakończono!

Pobierz

Czym jest incydent w ochronie danych osobowych?

Incydent w ochronie danych osobowych
Data: 2016-07-25 Kategoria: Ochrona danych Tag artykułu: incydent w ochronie danych osobowych Autor: Angelika Borowska

W ochronie danych osobowych szczególnie ważne są dwie kwestie - występowanie zagrożeń bezpieczeństwa danych osobowych oraz incydenty związane z ich ochroną. Każda z osób zatrudnionych w firmie ma obowiązek poinformowania ABI-ego o stwierdzeniu zagrożenia lub naruszenia ochrony danych osobowych. Na czym polega incydent w ochronie danych osobowych oraz jak mu przeciwdziałać? Wyjaśniamy poniżej.

Zagrożenia bezpieczeństwa danych osobowych

Do podstawowych zagrożeń związanych z bezpieczeństwem danych osobowych należy zaliczyć:

  1. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł itd.),

  2. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,

  3. nieodpowiednie zabezpieczenie sprzętu IT czy oprogramowania przed wyciekiem lub utratą danych osobowych.

Walka z zagrożeniami bezpieczeństwa danych osobowych

W przypadku, gdy w firmie zostaną stwierdzone zagrożenia bezpieczeństwa danych osobowych, ABI (Administrator Bezpieczeństwa Informacji) ma obowiązek przeprowadzenia postępowania wyjaśniającego, w trakcie którego należy:

  1. ustalić zakres i przyczyny zagrożenia oraz jego ewentualne skutki,

  2. zainicjować ewentualne działania dyscyplinarne,

  3. zarekomendować działania zmierzające do eliminacji podobnych zagrożeń w przyszłości,

  4. udokumentować prowadzone postępowania.

Incydent w ochronie danych osobowych - definicja

Ustawa o ochronie danych osobowych nie definiuje wprost, czym jest incydent w ochronie danych osobowych. Szczegółowe wyjaśnienie tego pojęcia można odnaleźć w normie PN-ISO/ IEC 27001. Zgodnie z jej treścią przez incydent związany z bezpieczeństwem informacji należy rozumieć pojedyncze zdarzenie lub serię niepożądanych albo niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.

Można wyróżnić trzy zasadnicze grupy incydentów w ochronie danych osobowych:

  • umyślne incydenty (np. kradzież danych i sprzętu, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie danych, włamanie do systemu informatycznego lub pomieszczeń),

  • zdarzenia losowe wewnętrzne (np. awaria komputera/serwera/dysku twardego/oprogramowania, pomyłki informatyków, utrata danych),

  • zdarzenia losowe zewnętrzne (np. pożar, zalanie wodą, utrata zasilania, utrata łączności).

Incydent w ochronie danych osobowych - praktyczne przykłady

Nieprawidłowe zaadresowanie korespondencji elektronicznej

Skrzynki mailowe obecnie są wyposażone w możliwość zapisywania adresów. Jest to bardzo przydatna funkcjonalność, która jednak może spowodować, że powstanie incydent w ochronie danych osobowych. Bowiem podczas przygotowywania maila do wysyłki korzysta się z funkcji podpowiadania adresów mailowych, co często usypia czujność nadawcy, który nie weryfikuje ich poprawności.

Nieukrywanie adresów mailowych przy wysyłce masowej

Podczas masowej wysyłki elektronicznych listów (maili) należy pamiętać, by korzystać z funkcji ukrywania poszczególnych odbiorców (poza głównym). Bowiem ich upublicznienie może się wiązać się z przykrymi konsekwencjami i z naruszeniem wizerunku firmy, która te dane udostępniła. 

Data: 2016-07-25 Kategoria: Ochrona danych