7 grzechów głównych wobec danych osobowych

archiwum

NAJCZĘŚCIEJ POPEŁNIANE BŁĘDY ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH I SPOSOBY ICH UNIKNIĘCIA.

Przedstawiamy II część cyklu dotyczącego przetwarzania i ochrony danych osobowych. W poprzedniej części (dostępna tutaj) staraliśmy się przybliżyć pojęcie danych osobowych oraz ogólne zasady postępowania przedsiębiorców z danymi osobowymi klientów.

W dzisiejszym artykule skupimy się na 7 najczęstszych błędach – grzechach głównych związanych z przetwarzaniem danych osobowych, a także wskażemy możliwe rozwiązania pozwalające na uniknięcie niechcianych i coraz bardziej kosztownych błędów.

 

KROK PIERWSZY – ŚWIADOMOŚĆ.

Nierzadko nie zdajemy sobie sprawy z tego, jak często zdarzają się (a właściwie – my sami „zdarzamy”) błędy związane przetwarzaniem i ochroną danych osobowych. W obecnych czasach, kiedy w szybkim tempie wzrasta ogólna świadomość prawna społeczeństwa, w tym naszych klientów, brak należytej staranności w zabezpieczeniu gromadzonych danych osobowych i lekkomyślne postępowanie z danymi stwarzają bardzo wysokie ryzyko negatywnych konsekwencji dla przedsiębiorcy. Skutkami takich działań, poza tak oczywistymi stratami finansowymi jak utrata klientów, konieczność zapłaty odszkodowania czy kar nałożonych przez organy administracyjne, jest również – być może najbardziej dotkliwa – utrata wizerunku i renomy.

Co więcej, jak pokazują badania, najczęstszym źródłem incydentów dotyczących danych osobowych jest, niestety, człowiek – poprzez swoją nieostrożność, brak kompetencji czy po prostu zwyczajny brak odpowiedniej wiedzy i świadomości. Dlatego tak kluczowe jest uświadomienie sobie, które nasze codzienne zachowania mogą spowodować naruszenie danych osobowych. Mamy nadzieję, że niniejszy artykuł pozwoli na zdiagnozowanie „wroga” jakim są niewłaściwe działania z danymi osobowymi. A jak wiadomo – wróg poznany jest dużo łatwiejszy do pokonania.

BRAK SZYFROWANIA KOMPUTERÓW, DYSKÓW TWARDYCH ORAZ INNYCH NOŚNIKÓW DANYCH.

Kto z nas choć raz, kiedy zmuszony był szybko uruchomić komputer nie zirytował się koniecznością wpisania hasła? Te cenne sekundy zmarnowane na podanie właściwej kombinacji… A może logowanie do naszego komputera w ogóle nie wymaga hasła?

Domyślacie się odpowiedzi. Brak zabezpieczenia naszych urządzeń – nie tylko  komputerów, ale także telefonów, pendrive’ów czy tabletów, to ogromny błąd! Pomyśleliście, że lista kontaktów w telefonie – numer przypisany do konkretnej osoby – to zbiór danych osobowych?

W przypadku utraty niezabezpieczonego urządzenia, jak na tacy podajemy osobie nieuprawnionej nie tylko wszelkie informacje o nas, ale także umożliwiamy dostęp do danych osobowych naszych klientów. Wspomniana lista kontaktów w telefonie – numer telefonu wraz z imieniem i nazwiskiem klienta stanowi jego dane osobowe, które jesteśmy zobowiązani chronić. Podobnie rzecz ma się np. z danymi dotyczącymi zdrowia klientów (tzw. dane wrażliwe) czy ich adresów zamieszkania, adresów e-mail przechowywanymi na naszych komputerach.

Ten przykład niewłaściwego postępowania można dość łatwo naprawić – ustalając hasło do komputera czy blokadę uruchomienia telefonu, bądź szyfrując przenośny nośnik danych (pendrive lub dysk zewnętrzny). Tym sposobem możemy uchronić nie tylko dane naszych klientów, ale także informacje dotyczące nas samych.

UŻYWANIE TYCH SAMYCH HASEŁ LUB BRAK ICH REGULARNEJ ZMIANY.

Na początek pytanie za 100 punktów – kiedy ostatni raz zmieniałeś hasło do komputera lub do poczty elektronicznej? J Idąc dalej za ciosem – do ilu serwisów/portali masz ustawione takie samo hasło? J

Na co dzień korzystamy z bardzo wielu różnego rodzaju haseł czy kodów PIN. Najczęściej powyższe zabezpieczenia muszą spełniać określone wymogi (odpowiednia ilość znaków, ich zróżnicowanie). Powyższe sprawia, że hasła stają się coraz trudniejsze do zapamiętania. A człowiek z natury rzeczy dąży do ułatwienia sobie życia.  Jeżeli każdego dnia musimy „przeprocesować” tyle informacji, to oczywiście kiedy tylko możemy, próbujemy minimalizować zużycie naszej pamięci. Odpowiedzi na powyższe dwa pytania uświadamiają jednak, że nawet jeżeli intuicyjnie ustawiliśmy hasła do naszych urządzeń, to prawdopodobnie z przyzwyczajenia/wygody nie zmieniamy tych zabezpieczeń bądź używamy tych samych haseł do wielu serwisów/programów.

To kolejny bardzo częsty błąd. Chyba nikomu nie trzeba długo uświadamiać jak łatwe jest, w dzisiejszym coraz bardziej zinformatyzowanym świecie, przechwycenie haseł dostępowych do jakiegokolwiek urządzenia czy systemu.

Aby zminimalizować potencjalne zagrożenie, że nieuprawnione osoby wejdą w posiadanie naszych haseł, a przez to uzyskają dostęp m.in. do danych osobowych klientów czy naszych tajemnic handlowych, należy bezwzględnie przestrzegać zasady częstej zmiany haseł dostępowych. W przypadku hasła do komputera/dysku twardego specjaliści zalecają, aby zmiana taka następowała nie rzadziej, niż co 30 dni. Dobrym pomysłem jest ustawienie sobie przypomnienia, aby wyrobić nawyk zmiany hasła. W przypadku programów czy serwisów internetowych najlepszym rozwiązaniem jest zmiana i zróżnicowanie haseł do poszczególnych portali.

ZAPISYWANIE HASEŁ NA KARTECZKACH LUB UDOSTĘPNIANIE ICH OSOBOM NIEUPRAWNIONYM.

Konsekwencją wielkiej ilości haseł i kodów PIN w życiu codziennym jest oprócz niezmieniania, pokusa zapisywania ich na małych karteczkach i zostawiania w widocznych miejscach, np. na biurku czy komputerze. Podobnie nierozsądne jest udostępnianie naszych haseł osobom nieuprawnionym, choćby członkom naszej rodziny.

Skutków powyższego błędnego zachowania nie trzeba specjalnie uzasadniać. Można je natomiast porównać np. do zapisania numeru PIN bezpośrednio na karcie płatniczej lub numeru PIN do karty SIM na odwrocie telefonu. To naprawdę skrajna… „odwaga” :).

Jeżeli już ustalamy hasła dla naszych urządzeń czy kont w serwisach internetowych i zadajemy sobie trud regularnego ich zmieniania – po co torpedować te prawidłowe nawyki poprzez pozostawianie haseł w łatwo widocznych miejscach, gdzie narażone są na pozyskanie przez osoby trzecie?

W świetle obowiązującego prawa, w przypadku gdy np. członkowie naszej rodziny znają hasło do naszego komputera i w ten sposób mają swobodny dostęp np. do zapisanych na pulpicie komputera folderów z danymi osobowymi klientów, dochodzi do nieuprawnionego udostępnienia danych osobowych.

Najlepszym rozwiązaniem jest więc, poza usunięciem wszystkich małych karteczek z hasłami, wybranie takich haseł, które będą łatwe do zapamiętania – co nie oznacza, że mają być łatwe do odgadnięcia. Dobre hasło dostępu powinno składać się co najmniej z 8 znaków, małych i wielkich liter a także cyfr lub znaków specjalnych. Dobrym hasłem będzie więc na przykład: JestemNajlepszymTrenerem! lub MojKotMa4Lapy. Łatwe do zapamiętania? 🙂 Dodatkowo, jeżeli korzystamy z jednego komputera wspólnie z członkami naszej rodziny (czego, mimo wszystko, nie zalecamy przedsiębiorcom), to najlepiej, aby każdy użytkownik posiadał osobne konto, oczywiście z odrębnym hasłem dostępowym.

WYSYŁANIE WIADOMOŚCI E-MAIL DO WIELU ADRESATÓW ORAZ BRAK SZYFROWANIA PRZESYŁANYCH DANYCH.

Najczęstszymi błędami związanymi z wysyłaniem wiadomości e-mail jest przesyłanie dokumentów zawierających dane osobowe lub inne informacje poufne bez ich zaszyfrowania, a także wysyłanie wiadomości do wielu odbiorców z tzw. „otwartą” listą adresową.

W przypadku przesyłania niezaszyfrowanych dokumentów mailem, dane w nich zawarte mogą trafić do nieuprawnionych osób – wystarczy, że omyłkowo błędnie wpiszemy adres odbiorcy bądź nasza wiadomość zostanie odczytana na komputerze adresata wiadomości przez inną osobę.

Podczas wysyłania wiadomości do wielu adresatów, najczęściej wszystkie adresy e-mail wpisujemy w polu „DO”. Taka praktyka stanowi naruszenie danych osobowych, bowiem każdy adresat „widzi” adresy e-mail pozostałych osób uwzględnionych w wiadomości. W konsekwencji możemy być niemal pewni skarg od adresatów czy skrytykowania takiego działania np. na portalach społecznościowych.

Aby ustrzec się przed opisanymi wyżej błędami należy zawsze w przypadku przesyłania dokumentów zawierających dane osobowe zabezpieczać pliki hasłem, a samo hasło przesłać odbiorcy innym kanałem komunikacji – np. SMS-em. Jest to szczególnie istotne w przypadku przesyłania dokumentów zawierających dane wrażliwe, np. dane o stanie zdrowia klientów.

Natomiast w przypadku mailingu wysyłanego do wielu adresatów najprostszym i najpewniejszym rozwiązaniem jest wpisywanie wszystkich odbiorców wiadomości e-mail w tzw. kopii ukrytej, czyli w polu „UDW”. Pozwoli to na ukrycie danych osobowych odbiorców, przez co unikniemy zarzutu naruszenia danych osobowych.

NIEUŻYWANIE NISZCZAREK.

Z badań przeprowadzonych przez Generalnego Inspektora Danych Osobowych wynika, że aż 88% dokumentów, które powinny być niszczone w polskich firmach i instytucjach w niszczarkach, są po prostu wyrzucane do kosza…

Skutkiem takiego zachowania są, czasem głośne medialnie, przypadki znajdowania dokumentacji medycznych czy wyciągów z rachunków bankowych na wysypiskach śmieci czy zwykłych śmietnikach!

W codziennej pracy trenera personalnego przetwarzamy także tzw. wrażliwe dane osobowe dotyczące zdrowa klientów. Aby uniknąć negatywnych skutków, w tym strat finansowych, utraty renomy czy nawet odpowiedzialności karnej za bezprawne udostępnienie danych osobowych, warto zainwestować w niszczarkę do dokumentów oraz regularnie z niej korzystać.

NIE STOSOWANIE POLITYKI „CZYSTEGO BIURKA”.

Najprościej rzecz ujmując, polityka czystego biura oznacza, aby w codziennej pracy oraz po jej zakończeniu pozostawiać „na wierzchu” jak najmniej, a najlepiej żadnych, dokumentów zawierających dane osobowe klientów.

Pozostawianie wszelkiego rodzaju dokumentów „na widoku”, może mieć konsekwencje podobne do opisanych w punkcie dotyczącym niszczenia dokumentów. Pozostawione i niezabezpieczone dokumenty łatwo mogą dostać się w ręce osób nieuprawnionych.

Aby uniknąć powyższych, niepożądanych skutków naruszenia danych osobowych, należy zadbać o to, aby należycie zabezpieczyć w trakcie i po pracy wszelkie papierowe formy dokumentów, z  których korzystamy (np. ankiety personalne, umowy z klientami, wyniki współpracy). Przez takie prawidłowe zabezpieczenia należy rozumieć, np. przechowywanie dokumentacji w zamkniętych teczkach, segregatorach, w zamykanych szafach, do których dostęp mamy tylko my lub inne upoważnione osoby.

W kolejnych częściach przedstawimy najczęstsze błędy dotyczące przetwarzania i ochrony danych osobowych, a także przybliżymy zmiany dotyczące zasad przetwarzania danych osobowych, które będą obowiązywały od 25 maja 2018 r., po wejściu w życie RODO.

BRAK DYSKRECJI.

Wydawałoby się to podstawą, zwłaszcza przy wykonywaniu wszelkich zawodów opartych na zaufaniu klienta, ale jednak…

Niestety, bardzo często, w tramwaju, kawiarni, stojąc na przystanku lub w kolejce do kasy, można usłyszeć opowieści dotyczące życia zawodowego wraz z imionami i nazwiskami uczestniczących w nich osób. W ten sposób można dowiedzieć się ile dana osoba zarabia, gdzie mieszka oraz wielu innych informacji dotyczących jej życia osobistego.

Warto zastanowić się czy rzeczywiście MUSIMY w miejscach publicznych rozmawiać o sprawach zawodowych, w szczególności ujawniając przy tym dane osobowe naszych klientów czy współpracowników? Jeśli z jakichś powodów odpowiedź jest twierdząca, koniecznie postarajmy się nie posługiwać się przy tym nazwiskami osób ani nie ujawniać jakichkolwiek innych informacji, które mogłyby pozwolić na zidentyfikowanie konkretnej osoby. Nigdy bowiem nie wiadomo do czyich uszu trafia właśnie przekazywana przez nas informacja oraz jakie konsekwencje dla nas to może wywołać.

—————————————————————————————

Trenerze
Wiem, że masz dość spamu na swojej skrzynce. Wiem też, że mogę dać Ci więcej niż myślisz. Gratuluję Ci, że wybrałeś zawód Trenera. Jeszcze bardziej gratuluję, że chcesz być najlepszy na rynku. Zapisz się na mój newsletter, a obiecuje Ci, że przy Twoim 100% zaangażowaniu nic Cię nie powstrzyma i uciekniesz konkurencji. To Ty będziesz wyznaczał trendy.
Do usłyszenia.
Kasia F.