Zdarzenia, które mogą być uznane za naruszenie!

Zdarzenia, które mogą być uznane za naruszenie!

Czy na pewno wiemy co to jest naruszenie i co z nim zrobić? Często spotykamy się z informacjami u klientów, że u nich do naruszeń nie dochodzi. Czy faktycznie? A może pracownicy nie wiedzą, co trzeba zgłaszać i komu.

Każde naruszenie danych osobowych należy zgłosić do osoby upoważnionej. Najczęściej do Inspektora Ochrony Danych. Celem powiadomienia IOD jest przeanalizowanie przyczyn wystąpienia naruszenia oraz analiza ewentualnych skutków. W przypadku gdy naruszenie będzie skutkowało naruszeniem praw i wolności osoby fizycznej, zgodnie z przepisami prawa, w ciągu 72 godzin takie naruszenie należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych. Każde naruszenie trzeba przeanalizować i zaewidencjonować wewnętrznie, jednak nie każde należy zgłosić do Prezesa UODO.

Czym jest naruszenie ?

Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

Tym samym z naruszeniem ochrony danych będziemy mieli do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania pracownika przetwarzającego dane, jak i wtedy, gdy pracownik ten doprowadzi do incydentu niechcący.

Najogólniej mówiąc naruszenia można podzielić na trzy grupy:

  • naruszenie poufności, które polega na ujawnieniu lub udostępnieniu danych osobie nieuprawnionej;
  • naruszenie integralności, które sprowadza się do zmiany treści danych osobowych, czyli ich modyfikowania, w sposób nieautoryzowany;
  • naruszenie dostępności, które wiąże się z trwałą utratą dostępu do danych lub ich zniszczeniem.

Jak zdarzenia mogą być uznane za naruszenia?

  • zgubienie lub kradzież nośnika lub urządzenia;
  • zgubienie, kradzież lub pozostawienie w niezabezpieczonej lokalizacji dokumentacji papierowej, która zawiera dane osobowe;
  • utratę przez operatora pocztowego korespondencji papierowej lub otwarcie jej przed zwróceniem nadawcy;
  • nieuprawnione uzyskanie dostępu do informacji;
  • nieuprawnione uzyskanie dostępu do informacji poprzez złamanie zabezpieczeń;
  • pojawienie się złośliwego oprogramowania, które ingeruje w poufność, integralność i dostępność danych;
  • uzyskanie poufnych informacji przez pozornie zaufaną osobę w oficjalnej komunikacji elektronicznej, tj. drogą e-mailową lub za pomocą komunikatora internetowego (phishing);
  • nieprawidłową anonimizację danych osobowych w dokumencie;
  • nieprawidłowe usunięcie lub zniszczenie danych osobowych z nośnika lub urządzenia elektronicznego przed jego zbyciem przez administratora;
  • niezamierzoną publikację;
  • wysłanie danych osobowych do niewłaściwego odbiorcy;
  • ujawnienie danych niewłaściwej osoby;
  • ustne ujawnienie danych osobowych;
  • udostępnienie danych osobowych nieuprawnionym osobom w związku z wysyłaniem poczty elektronicznej;
  • zagubienie lub kradzieży niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych z danymi osobowymi (smartfony, komputery przenośne);
  • udostępnienie dokumentacji zawierającej dane osobowe osobie nieuprawnionej;
  • zablokowanie dostępu do danych osobowych;
  • wysyłka dokumentów na niewłaściwy adres korespondencyjny;
  • niewłaściwa anonimizacja danych osobowych oraz niszczenie archiwalnej dokumentacji;
  • w wyniku cyberataku na usługę nastąpił wyciek danych osobowych osób fizycznych;
  • wiadomość e-mail w ramach marketingu bezpośredniego wysłano do odbiorców w polach „do:” lub „dw:”, tym samym umożliwiając każdemu odbiorcy wgląd w adresy e-mail innych odbiorców.

Autor: Krzysztof Juszczak, Dyrektor Projektu – Inspektor Ochrony Danych Osobowych

 

© Copyright by CompNet Sp. z o. o.

Czy warto inwestować w cyberbezpieczeństwo? Ile to kosztuje?

Czy warto inwestować w cyberbezpieczeństwo? Ile to kosztuje?

W dobie cyfryzacji oraz ataków skierowanych na instytucje, wartość bezpieczeństwa jest bezcenna. Problematyka wyceny bezpieczeństwa jest trudna do oszacowania. Powodem jest brak dowodów oraz liczb, które mogą zbudować takie modele kalkulacji. Dlatego właśnie zagrożenia oraz ataki w ostatnich latach coraz bardziej wyceniają koszty incydentu.

28 listopada 2019 roku jeden z Urzędów Gminy w Polsce został zaatakowany przez cyberprzestępców. Doszło do tzw. ataku cybernetycznego. Nastąpiło włamanie na serwery i zaszyfrowanie danych z wykorzystaniem złośliwego oprogramowania RANSOMWARE. Aby je odzyskać, samorządowcy musieliby zapłacić okup. Oprogramowanie to, jest “przynętą rozrzuconą na cały świat”. Żeby paść jego ofiarą, wystarczy kliknąć w link, bądź uruchomić zainfekowany plik. Program szyfruje dane wszystkich urządzeń dostępnych w sieci nawet w 15 sek. od zarażenia jednej z maszyn dostępnych w strukturze LAN.

Gdy 4 grudnia 2019 r. pojawiły się opóźnienia w wypłatach zasiłków i innych urzędowych sprawach, Wójt Gminy w województwie pomorskim, poinformował oficjalnie na stronie internetowej o przeprowadzonym ataku:

„W Urzędzie Gminy Kościerzyna oraz w jednostkach organizacyjnych doszło do masowej awarii technicznej, która uniemożliwia nam standardowe korzystanie z systemów komputerowych. Obecnie intensywnie pracujemy nad przywróceniem działania systemów komputerowych. Jednak w najbliższym czasie realizacja zadań własnych, w tym obsługa spraw mieszkańców Gminy Kościerzyna, może być utrudniona. Za wszelkie problemy z tym związane przepraszamy – napisał wójt Gminy Kościerzyna.”

Urząd został sparaliżowany, a pracownicy ręcznie musieli wpisywać potrzebne dane. Oprócz tego, że załatwianie wielu spraw w Urzędzie stało się trudniejsze, to pozostały jeszcze kwestie m.in. związane z wypłatą świadczeń, w tym zasiłków 500+, rodzinnego czy alimentacyjnego, które zostały bardzo utrudnione.

Hackerzy zażądali okupu w krypto walucie, ale Wójt Gminy zawiadomił o przestępstwie lokalną policję oraz zwrócił się o pomoc w pierwszej kolejności do zespołu CSIRT GOV, który przekazał zgłoszenie zgodnie z właściwością do CSIRT NASK. CSIRT NASK jest to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Polski Instytut Badawczy, do którego należy koordynacja obsługi incydentów zgłaszanych m.in. przez jednostki samorządu terytorialnego.

Zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa, obsługa incydentów oznacza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację i podejmowanie działań naprawczych i ograniczanie skutków incydentów.

Do dnia dzisiejszego nie wiadomo, w jaki sposób hakerzy dostali się do sieci Urzędu Gminy. Po 2 tygodniach od rozpoczęcia prac naprawczych w Organizacji przywrócone zostały systemy niezbędne do bieżącego funkcjonowania Urzędu. Teoretycznie urzędnicy mogliby odzyskać utracone dane z kopii zapasowej, jednak serwery z backupami nie zostały odizolowane od reszty sieci, co spowodowało zainfekowanie także systemów kopii bezpieczeństwa.

Zarażeniem systemów przez atak Ransomware można dokonać m.in. przez otwarcie zainfekowanego załącznika, linka dostępnego w sieci WWW, bądź posiadając nie zaktualizowany system operacyjny, zawierający wiele luk bezpieczeństwa. Bezpieczeństwo mogło również nie zostać spełnione przez aspekty ekonomiczne. Proces bezpieczeństwa wiążę się z zapewnieniem szkoleń, ale również inwestowaniu w technologie bezpieczeństwa zapewniające m.in. poprawną izolację archiwizowanych danych, które wymagają większych nakładów finansowych niż zwykły serwer backupowy podpięty do sieci.

W każdym z tych przypadków pomóc mogą szkolenie ze świadomości o zagrożeniach przeprowadzone dla wszystkich pracowników urzędu oraz przeprowadzane audyty bezpieczeństwa obrazujące stan faktyczny bezpieczeństwa struktur IT w organizacji. Pamiętać należy również o opracowywaniu planów awaryjnych w przypadku incydentów/ataków, zawierających procedury przechowywania wraz z zabezpieczeniem kopii bezpieczeństwa.

CompNet Sp. z.o.o wykonuje wyżej wymienione usługi dbając o najwyższy standard oraz zapewnienie bezpieczeństwa Państwa systemów.

Ataki oprogramowania ransomware od kilku lat spędzają sen z powiek organizacjom publicznym, placówkom służby zdrowia, korporacjom, a także konsumentom. Tylko w 2019 roku technologie firmy Kaspersky zidentyfikowały i powstrzymały cyberprzestępcze działania tego rodzaju na komputerach ponad 750 tysięcy użytkowników.

“Postawa Wójta Gminy zaatakowanej przez Hackerów jest godna naśladowania. Płacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jesteśmy szczęśliwi, że w tym przypadku udział eksperta z firmy Kaspersky umożliwił odzyskanie istotnych danych. Poza dostarczaniem rozwiązań bezpieczeństwa kładziemy duży nacisk na udzielanie pomocy w niestandardowych przypadkach, co nie zawsze są w stanie zapewnić inne firmy zajmujące się bezpieczeństwem IT – powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.”

Ataki przeprowadzane przez Hakerów coraz częściej dotyczą uszkodzenia struktur (min. przez kampanie z wykorzystaniem oprogramowania szyfrującego Ransomware) ale również kradzieżą danych osobowych z organizacji oraz instytucji państwowych.

Należy zaznaczyć że zgodnie z art. 102 ustawy o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych może nałożyć na jednostki sektora finansów publicznych, a także instytuty badawcze i Narodowy Bank Polski – maksymalnie 100 tys. złotych kary. Pierwszą karę na instytucję samorządową nałożono na gminę Aleksandrów Kujawski.

Ponadto w czasie postępowania Prezes UODO ustalił, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne na stronie BIP jedynie poprzez zamieszczenie linka do kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. W przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby więc nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło tym samym do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Dodatkowymi kosztami mogą okazać się roszczenia cywilnych podmiotów którym cyberatak i trudności techniczne mogły uniemożliwić załatwienie sprawy w urzędzie, w związku z czym poniosły szkodę majątkową lub niemajątkową, np. w postaci stresu, że nie mogły uzyskać niezbędnych im w danym dniu dokumentów, zaświadczeń, informacji, odpisów, itp.

Podmioty cywilne na mocy rozporządzenia RODO mogą dochodzić roszczeń o charakterze cywilno-prawnym wobec administratora. Przyjmując, że jest nim wójt, burmistrz czy prezydent, to pozew byłby skierowany właśnie do niego – wynika to bezpośrednio z art. 79 lub z art. 81 RODO. Zgodnie z Kodeksem cywilnym „osoba prawna jest obowiązana do naprawienia szkody wyrządzonej z winy jej organu” (art. 416 Kc). Nie jest to odpowiedzialność konkretnego pracownika, tylko gminy, więc wiąże się z zabezpieczeniem środków w budżecie gminy.

Urzędy z całej Polski powinny zainwestować w szkolenia dotyczące obrony przed cyberatakami. W przeciwnym wypadku możemy w niedalekiej przyszłości mówić o większej liczbie przypadków podobnych ataków. Nieodpowiednio przeszkolony lub źle dobrany personel może okazać się kluczową podatnością środowiska wewnętrznego na atak. Pomyłki, niezadowolenie, nieuczciwość, to czynniki mogące przyczynić się do wystąpienia i realizacji działań niepożądanych. Hackerzy atakujący z zewnątrz, jak również sami pracownicy wewnątrz organizacji w sposób mniej lub bardziej świadomy są w stanie ułatwiać dostęp osobom nieuprawnionym lub sami czynić szkody. Sytuacje kryzysowe mają to do siebie, że pojawiają się nagle i nie przebiegają w sposób standardowy. Trudno znaleźć dwa jednakowe, nawet jeśli związane są z podobnym typem zagrożenia. Należy być świadomym, że komunikacja o wystąpieniu zdarzenia jest równie istotna. Tak samo, jak same działania operacyjne podjęte w celu minimalizacji skutków zagrożenia, które wystąpiło.

Co można zrobić, aby zminimalizować skutki ataku hackerskiego?

  • Opracować plan awaryjny na wypadek ataku.
  • Starać się przewidywać i zapobiegać temu, co jeszcze nie nastąpiło.
  • Zainwestować w człowieka – zadbać o przeszkolenie swoich pracowników.
  • Wykonywać cykliczne audyty bezpieczeństwa, obrazujące stan faktyczny zabezpieczeń w organizacji.
  • Korzystać z doświadczenia i wiedzy osób przeszkolonych w tym zakresie.

Autor: Michał Lubera, Koordynator Projektu, Specjalizacja: Ochrona Teleinformatyczna i Zarządzanie Oprogramowaniem

© Copyright by CompNet Sp. z o. o.

Szyfrowanie danych - zabezpieczaj dane "odpowiednio"!

Szyfrowanie danych - zabezpieczaj dane "odpowiednio"!

Na koniec zeszłego roku nagłówki zawierające słowo „wyciek” zdominowała uczelnia SGGW (Szkoła Główna Gospodarstwa Wiejskiego w Warszawie), która była odmieniana przez wszystkie przypadki. Dlaczego? Jak się okazało, laptop jednego z pracowników SGGW został skradziony przez nieznanego sprawcę. Na dysku miały znajdować się dane osobowe tysięcy osób, ale jak się raczej doliczono, były to dane kilkunastu, kilkudziesięciu tysięcy osób.

              Pierwsze światło zarzutów zostało rzucone w stronę działu IT uczelni jako odpowiedzialnego m. in. za bezpieczne korzystanie z komputerów przenośnych. Szybko zweryfikowano, że niesłusznie, gdyż był to laptop prywatny, a więc kopiowanie na niego danych miało miejsce z pominięciem uczelnianych procedur. Pamiętajmy, że kradzież komputerów miała, ma i będzie miała miejsce. Jednak w takim przypadku zawsze pojawia się pytanie: „czy dane były zaszyfrowane?” I tutaj, niestety, odpowiedź była przecząca.

              Należy zauważyć, że rozpoczęcie stosowania Ogólnego rozporządzenia o ochronie danych (dalej: RODO) zmieniło podejście do stosowanych zabezpieczeń. Uchylone Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczny służące do przetwarzania danych osobowych przewidywało
np. hasło składające się z co najmniej 8 znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne, gdy rozporządzenie wymagało stosowania środków bezpieczeństwa na poziomie podwyższonym. RODO nakierowuje wybór zabezpieczeń w stronę Administratora (danych osobowych), i tak w art. 24 ust. 1 stanowi, że:

Uwzględniając charakter, zakres kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom
i uaktualniane.”

Dodać tutaj należy jeszcze art. 32 RODO:

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów
i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”

Żeby właściwie rozkodować powyższe normy, trzeba zauważyć, że to Administrator powinien wybrać jakie zabezpieczenia zastosować, ponieważ zna swoją organizację najlepiej (a potem być w stanie dowieść słuszności wyboru zgodnie z zasadą rozliczalności). Tego wyboru najlepiej dokonać w oparciu o przeprowadzoną analizę ryzyka, która wykaże m. in. newralgiczne punkty (aktywa/czynności na danych osobowych), które wymagają zastosowania podwyższonego poziomu zabezpieczeń. Katalog zabezpieczeń jest otwarty, ale prawodawca zdecydował się, by w szczególności wymienić szyfrowanie danych osobowych, więc tym bardziej powinien to być znak dla Administratorów, by zwrócić szczególną uwagę na to zabezpieczenie i wdrożyć je, gdy zachodzi taka potrzeba. Warto też pamiętać, że po wdrożeniu zabezpieczenia, powinno nastąpić jego monitorowanie poprzez regularnie testowanie, mierzenie i ocenianie. O tym elemencie często się zapomina.

              Zauważenie skali wycieku, wymaga wyliczenia rodzaju danych osobowych, które były przetwarzane (rzecz dotyczy prowadzonych postępowań rekrutacyjnych): imię (imiona) i nazwisko, nazwisko rodowe, imiona rodziców, płeć, narodowość, obywatelstwo, adres zamieszkania, PESEL, seria i numer dowodu osobistego/paszportu, nr telefonu komórkowego i stacjonarnego, ukończona szkoła średnia, miejscowość szkoły średniej, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega, zdjęcia kandydatów. Jest to relatywnie szeroki katalog danych osobowych, który bez większych problemów pozwala na zaciąganie zobowiązań w imieniu osób, których dane dotyczą, okradnięcie rachunków bankowych, uwierzytelnienie na infolinii czy wyrobienie duplikatu karty SIM.

              Co w tej sytuacji można zrobić? Najważniejszym krokiem jest złożenie wniosku o wyrobienie nowego dowodu osobistego (można to zrobić przez Internet). Następnymi mogą być zastrzeżenie dowodu w banku czy skorzystanie z usługi powiadomienia czy na wskazane dane nie został założony rachunek. Zaleca się również zmianę numeru telefonu, który jest podpięty do rachunku bankowego. To są działania, tylko i aż, minimalizujące wspomniane wcześniej ryzyka.

              Ze swojej strony chciałbym zwrócić uwagę, że w każdym takim przypadku zajmujemy się skutkiem, a nie przyczyną. Skoro wiemy, że nasze dane prawdopodobnie już w jakimś zakresie wyciekły, to należy zastanowić się nad tym jakie drogi otwierają konkretne dane osobowe. Gdyby katalog danych nie dawał takich możliwości albo byłyby one bardzo ograniczone, to nie istniałby taki popyt na ich wykradanie. A tak, dzisiaj za sprawą m. in. słabej weryfikacji tożsamości czy łatwości w zaciąganiu chociażby tzw. „chwilówek”, jest to proceder niezbyt skomplikowany, a więc atrakcyjny w oczach osób, które się nim zajmują.

              Niedługo po tym jak się dowiedzieliśmy o kradzieży, znaleziono sprawców. Okazało się, że działali wyłącznie dla zysku poprzez szybkie pozbywanie się skradzionego sprzętu np. w lombardzie. A przecież wiemy, że znajdujące się dane na laptopie były warte o wiele więcej. To po raz kolejny dowodzi, że dane osobowe są dzisiaj walutą.

              W tej historii z jednej strony ukazuje się zwodnicze podejście na zasadzie, że nic złego się nie wydarzy (choć praca na prywatnym komputerze nie jest kontrolowanym środowiskiem), to z drugiej strony trzeba zauważyć, że uczelnia nie zamiotła sprawy pod dywan. Incydenty i naruszenia się zdarzają i zdecydowanie uczciwiej jest wziąć za nie odpowiedzialność niż tłumaczyć się dlaczego zostały one przemilczane (pod warunkiem, że się o nich dowiedzieliśmy). Co więcej, taka reakcja jest obowiązkiem Administratora, a w stosownych przypadkach należy poinformować również Urząd Ochrony Danych Osobowych, a gdy ryzyko naruszenia praw i wolności osób jest wysokie, także osoby, których dane dotyczą.

              Odpowiednie zabezpieczanie danych osobowych może dzisiaj stanowić kapitał. Gdy dochodzi do takiego naruszenia ochrony danych osobowych (zwłaszcza medialnego), organizacja może bardzo ucierpieć wizerunkowo. Warto więc dbać, by osoba (np. klient) miała poczucie, że jej dane będą bezpiecznie przechowywane.

              Rynek dostarcza dzisiaj wiele rozwiązań w zakresie szyfrowania danych (również bezpłatnych). Niekorzystanie z nich, może okazać się poważnym błędem.

 

Autor: Patryk Makowski, Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.

Upoważnienia do przetwarzania danych osobowych - praktyczne wskazówki dla sądów powszechnych.

Upoważnienia do przetwarzania danych osobowych - praktyczne wskazówki dla sądów powszechnych.

Omawiając temat RODO, nie sposób nie zapytać o upoważnienia do przetwarzania danych osobowych. Do 25 maja 2018 roku (wejście w życie RODO) kwestię tę regulował art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, który w bardzo wyraźny sposób wskazywał obowiązek nadawania upoważnień przez Administratora Danych Osobowych. Co się zmieniło 25 maja 2018?

Zgodnie z art. 29 RODO Administrator decyduje o tym, kogo dopuścić do przetwarzania danych osobowych, jednak treść tego przepisu nie określa w jednoznaczny sposób obowiązku nadawania upoważnień do przetwarzania danych osobowych. W art. 29 RODO wskazano, że każda osoba działająca z upoważnienia Administratora i mająca dostęp do danych przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Jak wygląda to w praktyce?

Co to oznacza dla sądów?

To zależy – zależy od tego o jakich grupach pracowników oraz o jakim rodzaju danych osobowych mówimy. Zależności te są przedstawione w poniższej tabeli:

Kolejną kwestią do rozważenia jest kwestia tego, kto podpisuje konkretne upoważnienie do przetwarzania danych osobowych. Jaka jest odpowiedź? Niestety – to zależy. Jest to związane z tym, iż od dnia 6 lutego 2019 roku została znowelizowana ustawa Prawo o ustroju sądów powszechnych i w sądach obecnie mamy trzech Administratorów Danych Osobowych (ADO): Sąd, Prezesa Sądu i Dyrektora Sądu. Wiemy już komu należy wydać upoważnienie do przetwarzania danych. W związku z tym przykładowo zobaczmy kto powinien je podpisać:

Podsumowując zawarte w tym artykule rozważania dotyczące nadawania upoważnień do przetwarzania danych osobowych należy wskazać na cztery najważniejsze kroki w tym procesie:

  1. Należy ustalić, czy dana osoba będzie miała jakikolwiek dostęp do danych osobowych „papierowych” lub w systemie informatycznym.
  2. Należy ustalić czy czasem dostęp do danych osobowych, tak jak np. w przypadku sędziów, nie wynika z „mocy prawa” – jeżeli nie, wówczas należy nadać upoważnienie do przetwarzania danych.
  3. Należy ustalić, w oparciu o ustawę Prawo o ustroju sądów powszechnych, kto jest Administratorem danych osobowych – należy wziąć pod uwagę nie stanowisko pracownika, a rodzaj danych, które pracownik będzie przetwarzał.
  4. Należy przygotować odpowiednie upoważnienie i przekazać do podpisu właściwemu Administratorowi Danych. W praktyce, w przypadku np. pracowników kadr, którzy przetwarzają dane osobowe pracowników, dla których zwierzchnikiem służbowych jest Prezes Sądu oraz pracowników, dla których zwierzchnikiem służbowych jest Dyrektor Sądu, dobrym rozwiązaniem jest wydanie 1 upoważnienia podpisanego przez obu Administratorów.

Autor: Monika Kowalik, Inspektor Ochrony Danych w sądach, Kierownik Projektu w CompNet Sp. z o.o.

Jak uniknąć kradzieży tożsamości? Silne hasło!

Jak uniknąć kradzieży tożsamości? Silne hasło!

Haseł używasz każdego dnia. Są one elementarną częścią życia online. Przestępcy są świetni w rozszyfrowywaniu zabezpieczeń, dlatego musisz utworzyć hasło trudne do odgadnięcia. Unikaj tych  z imieniem, nazwiskiem, datą urodzin czy nazwą pupila. 

Nie zapisuj haseł na kartkach, łatwo dostępnych dla osób postronnych. Tylko Ty powinieneś znać swoje hasła. Nie udostępniaj ich innym. Nie używaj tych samych haseł do wielu kont. 

Pamiętaj o najważniejszych zasadach: 

  1. Hasło powinno być długie.
  2. Używaj liter, cyfr i symboli.
  3. Im mniej rodzajów znaków w haśle, tym powinno być ono dłuższe.
  4. Korzystaj z całej klawiatury. 
  5. Używaj zwrotów i słów, które będą łatwe dla Ciebie do zapamiętania, lecz trudne do odgadnięcia przez innych. 
  6. Unikaj sekwencji lub powtórzeń znaków.
  7. Unikaj korzystania ze swojej nazwy użytkownika.
  8. Unikaj stosowania wyrazów ze słownika dowolnego języka.
  9. Zawsze używaj więcej niż jednego hasła.
  10. Nie ujawniaj ich osobom trzecim.
  11. Chroń zapisane hasła.
  12. Nigdy nie podawaj hasła w wiadomości e-mail lub w odpowiedzi na żądanie przesłane pocztą e-mail.
  13. Regularnie zmieniaj hasła.
  14. Nie wpisuj haseł, gdy korzystasz z komputerów, nad którymi nie masz kontroli.
  15. Nie naklejaj hasła na ekranie komputera!
  16. Nie chowaj hasła pod klawiaturą komputera! 

Polecamy krótki filmik pracownika UODO odnośnie wyżej opisanych zasad: https://youtu.be/BXQWsxH6kX8  

Autor: Krzysztof Juszczak, Dyrektor Projektu – Inspektor Ochrony Danych

Podmioty publiczne: Jak uchronić się przed sankcjami ze strony PUODO?

Podmioty publiczne: Jak uchronić się przed sankcjami ze strony PUODO?

Jak już wcześniej pisaliśmy (pierwsza kara dla organu publicznego), przez Prezesa UODO została nałożona pierwsza kara finansowa na organ publiczny w wysokości 40% maksymalnej kary. Co można było zrobić, aby się przed nią uchronić?

Decyzją Prezesa UODO  ZSPU.421.3.2019 nałożono karę na organ publiczny za:

  • brak umów powierzenia,
  • brak procedur zarządzania danymi na BIPie,
  • brak analizy ryzyka odnośnie umieszczenia transmisji sesji tylko na YouTube,
  • brak zabezpieczonych kopii nagrań sesji,
  • brak uszczegółowienia Rejestru czynności przetwarzania danych.

By uniknąć podobnych zarzutów, podmiot powinien zastosować się do następujących zasad:

  1. Na stronie BIP powinny znajdować się tylko oświadczenia majątkowe osób, które pełnią funkcję zobowiązane do składania oświadczeń. Oświadczenia te powinny znajdować się na stronie BIP przez okres 6 lat od daty obowiązku złożenia oświadczenia. Dlatego ze strony BIP należy usunąć zbędne oświadczenia majątkowe.
  2. Należy zweryfikować czy są podpisane umowy powierzenia danych z podmiotami, na serwerach których znajduje się strona/BIP Urzędu.
  3. Należy zweryfikować czy Urząd dysponuje zabezpieczonymi kopiami nagrań z posiedzeń sesji Rady gminy/miasta.
  4. Każda komórka organizacyjna powinna zweryfikować „swoje” dane udostępnione na stronie BIP pod względem długości ich przechowywania.
  5. Na stronie BIP należy posiadać aktualne dane kontaktowe (dane pracowników). Listy pracowników należy aktualizować, gdy dojdzie do zmian kadrowych. Należy przejrzeć stronę BIP/stronę Urzędu, pod względem nieaktualnych danych i dokonać stosownych zmian.

Autor: Krzysztof Juszczak, Dyrektor Projektu,
              Inspektor Ochrony Danych

10 zasad bezpiecznego przetwarzania danych

10 zasad bezpiecznego przetwarzania danych

  • Uważaj na to, co i komu udostępniasz o sobie w internecie

Zdarza się, że sami nadmiernie dzielimy się informacjami na nasz temat. Media społecznościowe mogą być kopalnią wiedzy o Tobie, Twoim stanie majątkowym, miejscu pracy, poglądach i zainteresowaniach. Dlatego udostępniając dane zastanów się, kto będzie miał do nich dostęp.

  • Nie zostawiaj dokumentów w zastaw

Nie pozostawiaj dowodu osobistego, paszportu, prawa jazdy, legitymacji szkolnej lub studenckiej jako zastaw. Nikt zgodnie z prawem nie może tego od Ciebie wymagać. Utrata kontroli nad dokumentem tożsamości naraża Cię na niebezpieczeństwo. Nigdy nie wiesz, co będzie działo się w z Twoimi dokumentami podczas ich pozostawienia.

  • Nie podawaj danych przez telefon

Unikaj przekazywania danych telefonicznie – szczególnie, gdy to nie my dzwonimy, ale ktoś dzwoni do Ciebie. Upewnij się, komu udostępniasz dane w trakcie rozmowy telefonicznej, a jeżeli trzeba, zweryfikuj kontakt. Zweryfikować kontakt można poprzez oddzwonienie do jednostki, która dzwoni i zweryfikowanie tożsamości osoby dzwoniącej.

  • Uważaj na formularze z danymi

Zachowaj rozwagę przy wypełnianiu i podpisywaniu różnego rodzaju ankiet, formularzy czy umów. Pamiętaj, że administrator danych musi spełnić wobec Ciebie obowiązek informacyjny, czyli przekazać Ci informacje na swój temat tak, abyś miał pewność, przez kogo i w jakim celu dane będą przetwarzane. Uważaj na formularze, które udają konkursy.

  • Nie wyrzucaj danych na śmietnik

Dokumenty z Twoimi danymi, to skarbnica wiedzy o Tobie, zwłaszcza gdy zawierają m.in. informacje o tym, gdzie pracujesz, ile zarabiasz, kiedy nie ma Cię w domu. Dlatego zniszcz je w sposób uniemożliwiający odtworzenie zawartych w nich danych osobowych, zanim wyrzucisz je do kosza. Do niszczenia dokumentów stosuje odpowiednie niszczarki.

  • Usuwaj trwale dane z nośników

Zanim pozbędziesz się starych dysków twardych, pendrive’ów, kart pamięci, etc. usuń z nich swoje dane. Jednak zwykłe ich skasowanie nie będzie wystarczające. Dlatego, aby trwale usunąć z niego dane, skorzystaj z odpowiedniego do tego oprogramowania. Gdy nie masz pewność że dane zostały usunięte prawidłowo, lepiej nie wyrzucaj nośników.

  • Używaj programów chroniących komputer

Używaj oprogramowania chroniącego komputer i urządzenia mobilne. Oprócz popularnych programów antywirusowych przydatne może być oprogramowanie zabezpieczające przed ingerencją z zewnątrz tzw. firewall. Można używać firewall sprzętowego lub programowego.

  • Bądź czujny w sieci

Nie odpowiadaj na maile od nieznanych Ci osób, gdy domagają się podania jakichś informacji czy namawiają Cię do kliknięcia w przesłany link lub otwarcia załącznika.
Przy korzystaniu z usług bankowości elektronicznej zwracaj uwagę, czy strona banku ma certyfikat ssl, w  pasku przeglądarki. Pamiętaj, bank nie wysyła linków z prośbą o zalogowanie się.

  • Zmieniaj hasła

Okresowo zmieniaj hasła dostępu do komputera, poczty elektronicznej, systemów bankowości elektronicznej, ale również sklepów internetowych. Korzystaj z różnych haseł. Najlepiej, aby nie miały one nic wspólnego z Twoimi imieniem i nazwiskiem, datą urodzin itp. Hasło powinno składać się z różnych znaków, symboli, liter i cyfr. Im dłuższe hasło tym bezpieczniejsze.

  • Nie podawaj wszelkich danych, które pozwolą na Twoją pełną identyfikację

Zakładając kartę lojalnościową podajesz sklepom imię, nazwisko, adres zamieszkania, datę ur., adres e-mail i nr tel., w zamian za promocje i bony rabatowe. Często niestety udzielasz zgód na wykorzystywanie Twoich danych w celach marketingowych nie tylko sprzedawcy, ale i jego partnerom. Czytaj na co się zgadzasz, bo nie musisz się zgadzać na wszystko.

Źródło: https://uodo.gov.pl/pl/file/2463