Ochrona poufnych informacji

Praktyczne spojrzenie na ochron臋 poufnych informacji Twojej firmy

Ka偶de przedsi臋biorstwo posiada poufne informacje, kt贸rych upublicznienie spowodowa艂oby du偶e straty wizerunkowe, mog膮ce doprowadzi膰 do os艂abienia pozycji rynkowej podmiotu lub nawet jego bankructwa. Takimi informacjami mog膮 by膰 tre艣ci zawieranych um贸w, know-how, strategie sprzeda偶y, czy dane osobowe klient贸w. Z pozycji naszego do艣wiadczenia zawodowego, zawsze proponujemy klientom oparcie ochrony poufnych informacji o 鈥瀞tandardy RODO鈥, kt贸re daj膮 mo偶liwo艣ci zastosowania takich samych lub zbli偶onych 艣rodk贸w ochrony dla wszystkich poufnych informacji, jak dla danych osobowych.聽 Warto zatem przyjrze膰 si臋 praktycznemu wdro偶eniu RODO, kt贸re mo偶e by膰 dobrym rozwi膮zaniem dla bezpiecze艅stwa wszystkich chronionych informacji, posiadanych przez dane przedsi臋biorstwo.

Czym w praktyce jest RODO?

RODO, czyli Og贸lne Rozporz膮dzenie o ochronie danych osobowych jest w znacznej cz臋艣ci zbiorem cel贸w, kt贸re administrator (administrator danych osobowych) jest zobowi膮zany osi膮gn膮膰. Tymi celami jest m.in. zapewnienie bezpiecze艅stwa danych osobowych (tak, aby nie dosta艂y si臋 one w niepowo艂ane r臋ce), czy umo偶liwienie osobom, kt贸rych dane si臋 przetwarza, zrealizowanie ich praw np. prawa do uzyskania kopii swoich danych.

To jakie 艣rodki administrator wybierze, by osi膮gn膮膰 wyznaczone cele, jest ju偶 w du偶ej mierze jego decyzj膮. Wa偶ne jest jednak, aby wybrane 艣rodki umo偶liwia艂y zrealizowanie wyznaczonych cel贸w i by艂y udokumentowane, tak aby administrator m贸g艂 (np. w przypadku kontroli) udowodni膰, 偶e rzeczywi艣cie zrobi艂 wszystko co w jego mocy, aby zapewni膰 bezpiecze艅stwo danych osobowych (poufnych informacji) i zgodno艣膰 ich przetwarzania z prawem. Dlatego administrator dokumentuje podj臋te 艣rodki bezpiecze艅stwa w dokumentacji ochrony danych.

Nale偶y pami臋ta膰, 偶e dokumentacja ochrony danych nie jest wy艂膮cznie pisemnym dowodem na wdro偶enie systemu ochrony danych osobowych, zapewniaj膮cego zgodno艣膰 z RODO. Taka dokumentacja powinna zawiera膰 procedury bezpiecze艅stwa informacji (ochrony danych osobowych) b臋d膮ce 鈥瀒nstrukcj膮鈥, kt贸ra jest systematycznie przestrzegana przy wykonywaniu powtarzaj膮cych si臋 czynno艣ci. Musi okre艣la膰 kto, kiedy, w jakim zakresie i za co odpowiada. Mo偶na kolokwialnie stwierdzi膰, 偶e powinna by膰 przepisem na osi膮gni臋cie konkretnego celu. Pracownik, po jej przeczytaniu, 聽winien dok艂adnie wiedzie膰 co oraz w jakiej kolejno艣ci ma zrobi膰. Z tre艣ci procedur nale偶y przeszkoli膰 odpowiednich pracownik贸w i kadr臋 zarz膮dzaj膮c膮, a nast臋pnie wdro偶y膰 w procesy przetwarzania informacji, kt贸re realizuje dane przedsi臋biorstwo. Wdro偶enie odnosi si臋 mi臋dzy innymi do ustanowienia odpowiednich zabezpiecze艅 systemu informacyjnego firmy, czy przydzielenia konkretnym osobom obowi膮zk贸w w zakresie bezpiecze艅stwa informacji.

Czy posiadanie dokumentacji RODO wystarczy?

Warto zaznaczy膰, 偶e do wdro偶enia przepis贸w o ochronie danych osobowych, nale偶y podej艣膰 w spos贸b wieloaspektowy. Administrator nie mo偶e stwierdzi膰, 偶e jego firma wdro偶y艂a RODO, je偶eli nie zadba艂 o cyberbezpiecze艅stwo swoich system贸w informatycznych lub nie zapewni艂 odpowiedniego stopnia ochrony swoich pomieszcze艅, sprz臋t贸w, infrastruktury oraz personelu przed bezpo艣rednim dzia艂aniem zdarze艅 takich jak kradzie偶, nieuprawniony dost臋p.

聽O tym, 偶e cyberbezpiecze艅stwo jest niezb臋dnym elementem ochrony danych osobowych, niech 艣wiadczy fakt, 偶e Urz膮d Ochrony Danych Osobowych na艂o偶y艂 kar臋 na administratora za nieprzeprowadzanie systematycznych test贸w bezpiecze艅stwa, analizuj膮cych zabezpieczenia aplikacji, przetwarzaj膮cej dane osobowe oraz infrastruktury, z kt贸r膮 艂膮czy艂a si臋 ta aplikacja.

Tylko realne wdro偶enie systemu bezpiecze艅stwa informacji zapewnia zgodno艣膰 z przepisami RODO oraz umo偶liwia ochron臋 wszystkich poufnych informacji posiadanych przed firm臋. Takie wdro偶enie realizuje si臋 po przez:

– ustalenie cel贸w bezpiecze艅stwa informacji,

– wdra偶anie odpowiednich 艣rodk贸w ochrony danych,

– monitorowanie i mierzenie skuteczno艣ci systemu zarz膮dzania bezpiecze艅stwem informacji ,

– ci膮g艂e doskonalenie wdro偶onych rozwi膮za艅.

Nale偶y pami臋ta膰, i偶:

  • Posiadanie samej dokumentacji ochrony danych nie jest r贸wnoznaczne z wdro偶eniem RODO.
  • Nieprawid艂owym jest, aby Dokumentacja Ochrony Danych zawiera艂a wy艂膮cznie cele, jakie organizacja jest zobowi膮zana osi膮gn膮膰, bez wskazania konkretnej instrukcji ich osi膮gni臋cia.

Przyk艂ad:

Firma XYZ posiada dokumentacj臋 ochrony danych. Dokumentacja ta m贸wi, i偶 w firmie ustanawia si臋 ochron臋 danych osobowych w systemach informatycznych. Nie okre艣la jednak, jak konkretnie dane osobowe b臋d膮 chronione (np. po przez zainstalowanie oprogramowania antywirusowego, szyfrowanie danych, wykonywanie kopii bezpiecze艅stwa, czy systematyczne aktualizacje). Dodatkowo pracownicy nie zostali przeszkoleni z jej tre艣ci (dokumentacja nie zosta艂a wdro偶ona w 偶ycie, jest tylko martwymi zapisami). W zwi膮zku z tym dzia艂 IT prowadzi niesp贸jne dzia艂ania, czego wynikiem jest w艂amanie do systemu informatycznego firmy przez hacker贸w, publiczne udost臋pnienie chronionych informacji- w konsekwencji ogromne straty wizerunkowe firmy XYZ, pozwy z pow贸dztwa cywilnego oraz kary.

Andrzej Strycharz

ISO 27001 Lead Auditor

Scroll to Top