Tożsamość na celowniku. Nie zapomnij o ochronie danych osobowych klientów

Dodane:

Kamil Włodarczyk Kamil Włodarczyk

Udostępnij:

Użytkownicy serwisów internetowych powierzają ich operatorom nie tylko swoje pieniądze (w przypadku e-sklepów), zdjęcia czy pliki, ale oddają im na przechowanie również coś zdecydowanie bardziej cennego, czyli własne dane osobowe.

Obowiązkiem właściciela serwisu jest zapewnienie im maksymalnego bezpieczeństwa, czyli przede wszystkim zadbanie o to, jak przetwarzane i przechowywane są takie informacje. To zadanie ważne i odpowiedzialne – ale na szczęście nie takie trudne do zrealizowania. Co należy wiedzieć o zasadach postępowania z danymi użytkowników serwisu internetowego, aby zapewnić im bezpieczeństwo i działać w zgodzie z obowiązującym w Polsce prawem?

Co do tego, jak poważne mogą być konsekwencje przejęcia danych osobowych klientów przez osoby niepowołane, nie trzeba chyba nikogo przekonywać. Dla klientów oznacza to m.in. zagrożenie kradzieżą tożsamości czy przejęciem kontroli nad ich kontami w serwisie internetowym czy innymi działaniami przestępczymi. Z kolei dla firmy przechowującej dane klientów utrata takich informacji po pierwsze oznacza poważne kłopoty prawne, po drugie zaś – trudne do oszacowania straty wynikające z nadszarpnięcia wizerunku. Kto będzie chciał robić zakupy w e-sklepie, który nie zadbał o odpowiednie zabezpieczenie danych użytkowników?

Problem jest realny

Ostatnio kilkakrotnie głośno było o wyciekach danych z dużych firm i instytucji, zarówno zagranicą (np. serwis randkowy Ashley Madison), jak i w Polsce (dość wspomnieć o sprawie Pekao). Takie incydenty mają fatalny wpływ na reputacje przedsiębiorstwa – zapadają w pamięć aktualnych i potencjalnych klientów oraz kontrahentów. Często okazuje się, że jedno niechlubne wydarzenie może zaprzepaścić wiele lat starań o dobrą opinię, dlatego tak ważne jest stosowanie odpowiednich narzędzi zabezpieczających oraz korzystanie z usług firm, które są w stanie zapewnić bezpieczeństwo danych.

Niezbędne jest tu m.in. opracowanie i wdrożenie odpowiedniej polityki postępowania z danymi, które przetwarzamy oraz wykorzystanie narzędzi, które pozwolą na jej egzekwowanie. Mogą to być zarówno specjalistyczne rozwiązania DLP (data leak prevention), jak i aplikacje do zarządzania dokumentami w firmie, wyposażone narzędzia do ochrony danych. Dzięki wdrożeniu takich narzędzi, firmowi administratorzy mogą korzystać z całego wachlarza patentów na ochronę firmowych danych. Możliwe jest np. ustanowienie ścisłych reguł dotyczących wymiany informacji za pośrednictwem poczty elektronicznej (administrator może zdecydować kto może otrzymać/wysłać daną wiadomość, kto ma prawo do jej przesyłania dalej, drukowania, zapisywania załączników), filtrowanie ruchu sieciowego pod kątem konkretnych informacji (co pozwala wykryć np. próbę przesłania na zewnątrz określonych danych, plików lub typów plików), czy blokowanie możliwości kopiowania danych na nośniki zewnętrzne (określone czy zwykłe).

Skutecznym rozwiązaniem z tej kategorii jest również odpowiednie szyfrowanie danych – tak, by były one wygodnie dostępne dla pracowników danej firmy/instytucji, ale jednocześnie pozostawały zablokowane dla osób nieuprawnionych (w sytuacji, gdy wpadną w ich ręce). Kluczową kwestią jest również odpowiednie edukowanie pracowników w temacie potencjalnych zagrożeń oraz zasad postępowania z wrażliwymi danymi, a także stworzenie planu postępowania na wypadek wystąpienia jakiegoś incydentu (np. ataku hakerskiego na firmę). Generalnie jednak lepiej chronić się przed atakiem, niż walczyć z kryzysem związanym ze skutecznym włamaniem…

Aspekty prawne

Jeśli chodzi o regulacje prawne dotyczące kwestii ochrony danych osobowych użytkowników serwisu internetowego, to kluczowe są tu najnowsze zmiany w ustawie o ochronie danych osobowych, które weszły w życie 1-go stycznia 2015 r. Znacząco ułatwiły one przetwarzanie danych przez osoby prowadzące serwisy internetowe. Z jednej strony zniesiony został uciążliwy obowiązek rejestracji każdego zbioru danych w GIODO, w zamian za wskazanie osoby odpowiedzialnej za ich przetwarzanie – Administratora Bezpieczeństwa Informacji (ABI).

Przedsiębiorca jest obecnie zobowiązany do zarejestrowania ABI (którym może być zarówno wyznaczony pracownik, jak i firma zewnętrzna, świadcząca taką usługę). Jeśli osoba taka nie zostanie wyznaczona, jej rolę automatycznie przejmuje Administrator Danych osobowych (właściciel przedsiębiorstwa lub prezes spółki upoważniony do jej reprezentowania). Procedura jest prosta – podobnie zresztą jak rejestracja zasobów danych osobowych w GIODO i polega na zrealizowaniu zgłoszenia online, za pośrednictwem serwisu e-GIODO.

Warto jednak pamiętać, że większość właścicieli komercyjnych stron internetowych korzysta z usług hostingu dostarczanych przez zewnętrzną firmę. I ona również jest odpowiedzialna za bezpieczeństwo powierzanych jej danych, dlatego podczas wybierania dostawcy usług hostingowych warto sprawdzić, jakie rozwiązania z zakresu bezpieczeństwa oferuje dany hoster (jako, że już sam fakt umieszczenia strony internetowej w zewnętrznej serwerowni, sprawia, że jej operator staje się stroną przetwarzającą dane – nawet jeżeli piszemy jedynie o technicznej stronie tego procesu).

Edukacja przede wszystkim?

Na koniec warto dodać, że działania podejmowane w ostatnim czasie przez GIODO również skierowane są na zwiększenie wiedzy Administratorów Bezpieczeństwa Informacji (ABI) – urząd realizuje obecnie unijną koncepcję 'Risk Based Approach’ i prowadzi program polegający na edukowaniu administratorów w zakresie adekwatnego poziomu bezpieczeństwa danych.

Kamil Włodarczyk

Dyrektor polskiego oddziału OVH

W firmie od 2004 roku dostosowując globalne rozwiązania i oferty firmy do lokalnego rynku. Zarządza także i dba o wszystkie zespoły. Jest katalizatorem, który sprawia, że wszyscy zgodnie ze sobą współpracują.