Ochrona poufnych informacji

Praktyczne spojrzenie na ochronę poufnych informacji Twojej firmy

Każde przedsiębiorstwo posiada poufne informacje, których upublicznienie spowodowałoby duże straty wizerunkowe, mogące doprowadzić do osłabienia pozycji rynkowej podmiotu lub nawet jego bankructwa. Takimi informacjami mogą być treści zawieranych umów, know-how, strategie sprzedaży, czy dane osobowe klientów. Z pozycji naszego doświadczenia zawodowego, zawsze proponujemy klientom oparcie ochrony poufnych informacji o „standardy RODO”, które dają możliwości zastosowania takich samych lub zbliżonych środków ochrony dla wszystkich poufnych informacji, jak dla danych osobowych.  Warto zatem przyjrzeć się praktycznemu wdrożeniu RODO, które może być dobrym rozwiązaniem dla bezpieczeństwa wszystkich chronionych informacji, posiadanych przez dane przedsiębiorstwo.

Czym w praktyce jest RODO?

RODO, czyli Ogólne Rozporządzenie o ochronie danych osobowych jest w znacznej części zbiorem celów, które administrator (administrator danych osobowych) jest zobowiązany osiągnąć. Tymi celami jest m.in. zapewnienie bezpieczeństwa danych osobowych (tak, aby nie dostały się one w niepowołane ręce), czy umożliwienie osobom, których dane się przetwarza, zrealizowanie ich praw np. prawa do uzyskania kopii swoich danych.

To jakie środki administrator wybierze, by osiągnąć wyznaczone cele, jest już w dużej mierze jego decyzją. Ważne jest jednak, aby wybrane środki umożliwiały zrealizowanie wyznaczonych celów i były udokumentowane, tak aby administrator mógł (np. w przypadku kontroli) udowodnić, że rzeczywiście zrobił wszystko co w jego mocy, aby zapewnić bezpieczeństwo danych osobowych (poufnych informacji) i zgodność ich przetwarzania z prawem. Dlatego administrator dokumentuje podjęte środki bezpieczeństwa w dokumentacji ochrony danych.

Należy pamiętać, że dokumentacja ochrony danych nie jest wyłącznie pisemnym dowodem na wdrożenie systemu ochrony danych osobowych, zapewniającego zgodność z RODO. Taka dokumentacja powinna zawierać procedury bezpieczeństwa informacji (ochrony danych osobowych) będące „instrukcją”, która jest systematycznie przestrzegana przy wykonywaniu powtarzających się czynności. Musi określać kto, kiedy, w jakim zakresie i za co odpowiada. Można kolokwialnie stwierdzić, że powinna być przepisem na osiągnięcie konkretnego celu. Pracownik, po jej przeczytaniu,  winien dokładnie wiedzieć co oraz w jakiej kolejności ma zrobić. Z treści procedur należy przeszkolić odpowiednich pracowników i kadrę zarządzającą, a następnie wdrożyć w procesy przetwarzania informacji, które realizuje dane przedsiębiorstwo. Wdrożenie odnosi się między innymi do ustanowienia odpowiednich zabezpieczeń systemu informacyjnego firmy, czy przydzielenia konkretnym osobom obowiązków w zakresie bezpieczeństwa informacji.

Czy posiadanie dokumentacji RODO wystarczy?

Warto zaznaczyć, że do wdrożenia przepisów o ochronie danych osobowych, należy podejść w sposób wieloaspektowy. Administrator nie może stwierdzić, że jego firma wdrożyła RODO, jeżeli nie zadbał o cyberbezpieczeństwo swoich systemów informatycznych lub nie zapewnił odpowiedniego stopnia ochrony swoich pomieszczeń, sprzętów, infrastruktury oraz personelu przed bezpośrednim działaniem zdarzeń takich jak kradzież, nieuprawniony dostęp.

 O tym, że cyberbezpieczeństwo jest niezbędnym elementem ochrony danych osobowych, niech świadczy fakt, że Urząd Ochrony Danych Osobowych nałożył karę na administratora za nieprzeprowadzanie systematycznych testów bezpieczeństwa, analizujących zabezpieczenia aplikacji, przetwarzającej dane osobowe oraz infrastruktury, z którą łączyła się ta aplikacja.

Tylko realne wdrożenie systemu bezpieczeństwa informacji zapewnia zgodność z przepisami RODO oraz umożliwia ochronę wszystkich poufnych informacji posiadanych przed firmę. Takie wdrożenie realizuje się po przez:

– ustalenie celów bezpieczeństwa informacji,

– wdrażanie odpowiednich środków ochrony danych,

– monitorowanie i mierzenie skuteczności systemu zarządzania bezpieczeństwem informacji ,

– ciągłe doskonalenie wdrożonych rozwiązań.

Należy pamiętać, iż:

  • Posiadanie samej dokumentacji ochrony danych nie jest równoznaczne z wdrożeniem RODO.
  • Nieprawidłowym jest, aby Dokumentacja Ochrony Danych zawierała wyłącznie cele, jakie organizacja jest zobowiązana osiągnąć, bez wskazania konkretnej instrukcji ich osiągnięcia.

Przykład:

Firma XYZ posiada dokumentację ochrony danych. Dokumentacja ta mówi, iż w firmie ustanawia się ochronę danych osobowych w systemach informatycznych. Nie określa jednak, jak konkretnie dane osobowe będą chronione (np. po przez zainstalowanie oprogramowania antywirusowego, szyfrowanie danych, wykonywanie kopii bezpieczeństwa, czy systematyczne aktualizacje). Dodatkowo pracownicy nie zostali przeszkoleni z jej treści (dokumentacja nie została wdrożona w życie, jest tylko martwymi zapisami). W związku z tym dział IT prowadzi niespójne działania, czego wynikiem jest włamanie do systemu informatycznego firmy przez hackerów, publiczne udostępnienie chronionych informacji- w konsekwencji ogromne straty wizerunkowe firmy XYZ, pozwy z powództwa cywilnego oraz kary.

 

Andrzej Strycharz

ISO 27001 Lead Auditor

Scroll to Top