Polityka bezpieczeństwa

Żyjemy w czasach, kiedy 99% informacji przetwarzanych przez firmę ma postać cyfrową i dosłownie w ciągu kilku sekund, poprzez sieć Internet może być przesłana z jednego końca Świata na drugi, a baza danych z milionem rekordów (np. z programu księgowego) może zmieścić się na pamięci przenośnej typu pendrive.

Jeśli zastanawiasz się czy problem ryzyka związanego z przetwarzaniem informacji w postaci cyfrowej dotyczy Twojej firmy odpowiedz sobie na pytanie:

Ile może kosztować Cię wyciek lub utrata dostępu do któregokolwiek z poniższych dokumentów?

– bazy danych z systemów finansowo – księgowych,

– loginy i hasła do bankowości elektronicznej rachunków firmowych w dyspozycji pracowników przygotowujących przelewy, 

– dokumentacja księgowa (sprawozdania finansowe, listy płac),

Ryzyko wycieku informacji to jedno, natomiast akty prawne obligujące do ochrony informacji to drugie.

Jednym z nich jest Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 która każe w sposób szczególny traktować informacje personalne narzucając na firmy szereg wymagań. 

Ponadto od maja 2018 obowiązuje unijne rozporządzenie o ochronie danych osobowych (RODO). Nowe przepisy będą dotyczyć wszystkich podmiotów, które na terenie UE przetwarzają dane w sposób zautomatyzowany.  

Czego dotyczą? 

Rozszerzony zakres

Dopracowano zabezpieczenia interesów obywateli. Już na etapie pozyskiwania naszych danych administrator danych osobowych (ADO) będzie zobowiązany do podania informacji o prawie do ich przenoszenia, okresie przechowywania, itd.

Rejestr czynności przetwarzania

Zniesiono konieczność rejestracji zbiorów danych osobowych, pojawiła się natomiast konieczność prowadzenia rejestru czynności przetwarzania wewnątrz firmy.

 Nowe obowiązki procesora

Procesorzy, czyli podmioty które przetwarzają dane w imieniu ADO również będą zobowiązane do prowadzenia wspomnianego rejestru. 

 Zmiana statusu i roli ABI

Pojawi się konieczność powoływania IDO – Inspektora Ochrony Danych Osobowych. 

Zwiększenie uprawnień osoby której dane dotyczą.

Chodzi tu o prawo do usunięcia danych (zwane prawem do bycia zapomnianym).

 Kompleksowe podejście

Uwzględnianie wymagań z zakresu ochrony danych od początku do końca projektu.

 Raportowanie wycieków danych

Konieczność raportowania incydentów z zakresu bezpieczeństwa informacji.

Kary

Zwiększono odpowiedzialność karną za braki w zakresie ochrony informacji.

Profilowanie

 Uregulowano prawnie profilowanie klienta. 

 Dzieci

Zwiększono ochronę najmłodszych w sieci.

Na szczęście jednym z wymagań Ustawy jest stworzenie dokumentu Polityki Bezpieczeństwa. Dlaczego na szczęście? Bo umiejętnie wdrożona Polityka Bezpieczeństwa pozwala chronić nie tylko dane osobowe, o których mówi Ustawodawca, również wszystkie inne dane, często nawet cenniejsze z punktu widzenia firmy.