Bezpieczeństwo danych osobowych oraz ich odpowiednie zabezpieczenie przed wyciekami.

Niedawno właściciel sklepu morele.net ogłosił, że z bazy klientów nastąpił wyciek danych osobowych. Wyciekło ponad 2 milionów rekordów. To ogromna ilość danych. Przeczytasz o tym w tym artykule, tutajtutaj i tu. Tylko co do tego mają organizacje pozarządowe?

Czy również z Twojej organizacji mogą wyciec dane osobowe? Wiem, że od razu pomyślisz „absolutnie nie”, „My przechowujemy bezpiecznie dane osobowe w szafach zamykanych na klucz”.  Jasne. Ale czy na pewno nie mogą? Czas na mały rachunek sumienia – kilka pytań z krótkim omówieniem, które pomogą się Tobie zorientować, czy aby na pewno jest wszystko okej? Będą to pytania wynikające głównie z obserwacji wycieku z morele. Głównie.

Czy masz listę posiadanych danych osobowych? Spis, jakie dane zbierasz? Czy posiadasz Rejestr Czynności Przetwarzania?

Administrator do dzisiaj nie ma 100% pewności (przynajmniej w czasie pisania tego wpisu), jakie dane mogły wyciec. Co chwilę pojawiają się nowe doniesienia o tym, że to nie tylko dane kontaktowe klientów. Mimo załatania dziury dane już wyciekły. Dlatego też ważne jest dokładne zmapowanie przetwarzanych danych osobowych, by móc po ewentualnym wycieku stwierdzić, co mogło wyciec. Niby proste – a jednak. Morele dopiero niedawno ogłosiło, pomimo wcześniejszego informowania, że nie wyciekły „ryzykowne” dane osobowe, iż dane mogły zawierać informacje niezbędne do zawarcia umowy kredytu! Moim zdaniem może być to wina słabego rozeznania administratorów w zakresie przetwarzanych danych. A taka sytuacja jest wręcz niedopuszczalna.

Czy wiesz gdzie są dane osobowe?

Pytanie raczej egzystencjonalne. Z mojego doświadczenia jednak wiem, że często dane znajdują się… wszędzie. Na listach obecności przypiętych w teczce projektu, na wyciągach bankowych w pokoju księgowej, w kontaktach e-mail, w excelu, w jakimś pliku worda. Wszędzie! Ale niestety – wszędzie – może oznaczać, że są one zabezpieczone w sposób nieprawidłowy lub wcale nie zabezpieczone.

Jak przekazujesz dane osobowe?

E-mail nie do końca jest idealnym sposobem komunikacji a w szczególności do przesyłania danych osobowych. Serio! Przesyłanie załącznika z danymi w wordzie czy pliku excel bez jego zaszyfrowania to tak naprawdę proszenie się o kłopoty. Nie chodzi też o zwykłe zabezpieczenie plikowym hasłem przy jego otwieraniu – to hasło również można złamać. Jak więc wysyłać pliki mailem? Najbezpieczniej przy zastosowaniu szyfrowania plików i wymiany kluczy szyfrujących (GPG). To jest chyba najlepsza metoda. Można też spakować pliki do np. formatu rar lub 7z (bezpłatnym programem 7zip) i tam ustanowić hasło. To lepsza metoda niż wysyłanie „gołego” pliku. To może użyć google drive albo onedrive?

Tutaj muszę użyć mojego ulubionego prawniczego zwrotu – „to zależy”. Od czego? Należy zadać sobie pytanie – „czy czytałaś/łeś regulamin tej usługi?”. Przesyłanie plików poprzez google drive, zbieranie ich poprzez formularze google nie zawsze jest dobrym pomysłem. Niekomercyjne, a więc te bezpłatne rozwiązania zazwyczaj nie zapewniają ochrony danych osobowych. Oczywiście, nikt nie będzie ich czytał ale Ty jako organizacja nie możesz tego używać. Absolutnie i kategorycznie NIE MOŻESZ. Nie masz pewności, jak dane te są zabezpieczane i czy nie są komukolwiek udostępniane.

Trochę inna sytuacja jest gdy używasz komercyjnych wersji tych narzędzi. Korzystając z GSuite (odpowiednik bezpłatnego gmaila ale dla zastosowań profesjonalnych) dane te będą już lepiej zabezpieczone. Uzyskasz również informację na temat wykorzystywanych zabezpieczeń. Podsumowując jednak ten wywód odnośnie przesyłania informacji: przesyłaj zaszyfrowane, hasło zawsze wysyłaj innym kanałem kontaktu (nigdy nie e-mailem); jeżeli korzystasz z bezpłatnej wersji google drive to przestań 😊. Są również bezpieczniejsze alternatywy – napisz do nas – pomożemy rozwiązać ten problem.

Strony: 1 2 3