Jak zabezpieczyć i chronić dane osobowe w firmie?

Ochrona danych osobowych to aktualnie jedno z głównych wyzwań dla firm. Ma to ścisły związek z przepisami RODO, które dotyczą praktycznie wszystkich przedsiębiorców. Bez względu na to, jak duża jest Twoja firma i jaką branżą się zajmujesz, dostęp do posiadanych danych osobowych przez niepowołane osoby lub ich wyciek może mieć dla niej druzgocące skutki. Bezpieczeństwo danych możesz zwiększyć na wiele sposobów – aby ułatwić Ci zadanie, zebraliśmy je w jednym miejscu.

Jakie dane gromadzą firmy? I co jest, a co nie jest danymi wrażliwymi?

RODO, czyli Rozporządzenie Parlamentu Europejskiego o Ochronie Danych Osobowych, które weszło w życie w 2018 roku, reguluje kwestie związane z ochroną i przetwarzaniem danych osobowych przez przedsiębiorców – osoby fizyczne lub prawne prowadzące działalność gospodarczą. Jeśli Twoja firma przetwarza dane osobowe w związku z oferowaniem towarów lub usług w Unii Europejskiej, monitoruje zachowania osób fizycznych, zatrudnia pracowników lub zawiera umowy, RODO dotyczy również Ciebie.

Dane osobowe to wszelkie informacje, które pozwalają na zidentyfikowanie osoby fizycznej, zwanej także podmiotem danych. Mogą to być takie informacje jak: imię i nazwisko, adres, numer dowodu tożsamości, paszportu, dochody, numer PESEL, ale również nieco mniej oczywiste: adres IP, wizerunek osoby fizycznej czy adres mailowy.

Wyjątkowej ochrony wymagają tzw. dane wrażliwe, czyli szczególne kategorie danych osobowych. W przeciwieństwie do zwykłych danych, te dotyczą prywatnej, wręcz intymnej sfery człowieka. Wyróżniamy wśród nich dane dotyczące pochodzenia rasowego lub etnicznego, orientacji seksualnej, poglądów politycznych, przekonań religijnych lub światopoglądu, przynależności do związków zawodowych, danych genetycznych, biometrycznych i zdrowotnych, a także danych dotyczących wyroków skazujących i naruszeń prawa. Ze względu na ich charakter, możliwość przetwarzania danych wrażliwych jest bardzo ograniczona, dozwolona w wyjątkowych przypadkach i obarczona obowiązkiem spełnienia dodatkowych wymogów, np. większego zakresu zabezpieczeń.

W jaki sposób firmy przetwarzają i zbierają dane osobowe?

Prowadząc firmę zapewne otrzymujesz zapytania od potencjalnych klientów, zawierasz umowy, wystawiasz faktury, dokonujesz przelewów internetowych, co oznacza, że pozyskujesz dane osobowe i je przetwarzasz. Przetwarzanie danych osobowych to bardzo szerokie pojęcie i oznacza wszelkie czynności, jakie wykonujesz z posiadanymi danymi osobowymi: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, a także usuwanie lub niszczenie.

Aby móc przetwarzać dane osobowe, musisz mieć do tego podstawę prawną. Najbardziej powszechna podstawa przetwarzania danych osobowych to zgoda osoby, której dane dotyczą, jednak nie zawsze jest ona wymagana w działalności gospodarczej. Możesz przetwarzać dane bez dodatkowej zgody, jeśli jest to konieczne do realizacji usługi (np. wysyłki zakupionego towaru) lub jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. prowadzenia ksiąg rachunkowych).

Twoja firma może gromadzić dane w rozmaitych formach. Tradycyjną stanowią dokumenty papierowe – teczki lub segregatory, w których znajdują się akta pracowników, umowy czy listy płac i które należy przechowywać w zamkniętych na klucz szafach lub sejfach. Dostęp do nich powinny mieć tylko osoby uprawnione. Dokumenty papierowe są jednak coraz częściej wypierane przez wersję cyfrową. Dane osobowe mogą więc być przechowywane na różnego rodzaju nośnikach (płyty CD i DVD, pendrive’y, dyski zewnętrzne), komputerach i serwerach firmowych. Coraz popularniejsze jest również przechowywanie kopii zapasowych danych w chmurze, czyli na zewnętrznym serwerze. Chmura gwarantuje Ci dostęp do danych z każdego miejsca na świecie, może być również zabezpieczeniem w przypadku awarii wewnętrznego serwera Twojej firmy.

Po co chronić dane osobowe?

Dane osobowe, zarówno w wersji fizycznej jak i cyfrowej, to niezwykle cenne informacje, które mogą być wykorzystane przez niepowołane osoby do oszustw czy kradzieży. Imię i nazwisko, numer PESEL oraz adres zamieszkania to wystarczające dane, aby przy ich umiejętnym wykorzystaniu wyłudzić na kogoś kredyt gotówkowy, kupić drogi sprzęt na raty, a nawet zarejestrować na kogoś firmę. Jeśli dane osobowe wyciekną z Twojej firmy w wyniku działań wbrew regulacjom RODO, czekają Cię poważne konsekwencje i olbrzymie kary finansowe.

Organ nakładający karę pieniężną bierze pod uwagę szereg czynników, które mają wpływ na wysokość kary. Urzędnicy sprawdzają m.in. czy naruszenie było umyślne, czy nie, ile osób zostało dotkniętych i jakie poniosły one szkody, czy przedsiębiorca wdrożył odpowiednie zabezpieczenia, jakie były środki podjęte przez firmę, aby ograniczyć szkody poniesione przez osoby, których dotyczyły dane. Kara zależy też od kategorii danych osobowych, których dotyczy naruszenie.

Kluczowe dla Twojej firmy jest więc wdrożenie odpowiednich rozwiązań bezpieczeństwa, w tym tych informatycznych, które najlepiej jak to możliwe zabezpieczą dane osobowe w Twojej firmie, np. systemu serwerowego umożliwiającego zarządzanie zasobami i użytkownikami, systemu automatycznego i systematycznego tworzenia kopii zapasowych czy monitorowanego łącza internetowego.

Jak zabezpieczyć firmowe dane w wersji cyfrowej?

Ochrona danych osobowych przed nieautoryzowanym dostępem, przejęciem przez niepowołane osoby czy atakami hakerskimi, to konieczność dla Twojej firmy. Jakie więc rozwiązania wybrać, aby zagwarantować ich największe bezpieczeństwo?

• Pierwszym i najprostszym sposobem na ochronę danych jest stosowane hasła dostępu, niezbędnego do logowania na urządzeniach firmowych – komputerach, smartfonach czy tabletach. Zarówno Ty, jak i Twoi pracownicy powinni blokować komputer przy każdym przerwaniu pracy (za pomocą kombinacji Znaczka Windows + L). Ochroni to dane przed ingerencją nieuprawnionego pracownika lub osoby postronnej, która weszła do firmy. Bardziej zaawansowane urządzenia pozwalają na użycie w tym celu np. skanowania linii papilarnych.

• Antywirus to kolejne rozwiązanie, które ochroni Twoją firmę przed atakami hakerów. Nie warto tu oszczędzać, wybierając darmowe narzędzia. Profesjonalne programy antywirusowe dają dużo większe możliwości niż zwykłe skanowanie dysku. Przykładowo – w wypadku kradzieży lub zgubienia laptopa firmowego, mają możliwość namierzenia go i zdalnego usunięcia wszystkich danych, analizują system i aplikacje pod kątem luk bezpieczeństwa wykorzystywanych przez hakerów czy sprawdzają bezpieczeństwo strony www jeszcze przed kliknięciem w link. Wybierając antywirusa rozważ zwłaszcza najbardziej zaawansowane pakiety od sprawdzonych producentow, oferujące szereg dodatkowych narzędzi bezpieczeństwa, np. Bitdefender Total Security, Kaspersky Total Security, Panda DOME Complete lub ESET Security Pack.

• Specjalistyczne programy antywirusowe ułatwią również szyfrowanie danych osobowych zgromadzonych na dysku, a także plików czy folderów zawierających dane osobowe. Warto sprawdzić, czy wybrany przez Ciebie antywirus ma taką funkcję. W tym celu możesz również skorzystać z dedykowanego oprogramowania do szyfrowania, np. VeraCrypt.

• Posiadasz sklep online lub inną działalność, która zbiera dane osobowe przez internet? Pamiętaj, klienci najczęściej powstrzymują się od zakupów online, jeśli nie mają zaufania do witryny i obawiają się o bezpieczeństwo swoich danych. Działalność internetowa stwarza konieczność używania szyfrującego protokołu internetowego SSL. Zapewnia on najwyższy stopień bezpieczeństwa danych. Zabezpieczenie swojej witryny certyfikatem SSL to koszt około 100 zł w skali roku.

• Pomyśl również o VPN – wirtualnej sieci prywatnej w Twojej firmie. VPN przekierowuje ruch internetowy do specjalnie skonfigurowanego serwera VPN, ukrywając adres IP i szyfrując wysyłane i odbierane dane. W przypadku przechwycenia danych przez hakera, nie ma on możliwości ich odczytania. Biznesowa sieć VPN umożliwia pracownikom bezpieczny dostęp do sieci również podczas pracy poza biurem. Istnieje szereg programów VPN, część programów antywirusowych również oferuje takie rozwiązania.

• Rozważ ograniczenie możliwości wykorzystywania urządzeń USB. Choć są bardzo wygodne, zwiększają ryzyko kradzieży lub utraty danych, a także zainstalowania na Twoim komputerze złośliwego oprogramowania. W systemie Windows możesz skorzystać z opcji ograniczenia możliwości zapisu dla USB, ograniczenia użytkowania urządzeń USB (zarówno wpływu, jak wypływu danych) lub całkowitego odcięcia takich urządzeń (łącznie z urządzeniami takimi jak myszki czy klawiatury na USB).

• Pamiętaj o tworzeniu kopii zapasowych danych. Są one zabezpieczeniem w wypadku uszkodzenia dysku, utraty danych w wyniku nieuwagi, np. zgubienia czy kradzieży sprzętu, a także działań złośliwego oprogramowania czy hakera. Najprostszą metodą tworzenia backupów jest ręczne kopiowanie plików na zewnętrznym nośniku. Można również skorzystać w tym celu ze specjalnego oprogramowania, który będzie automatycznie tworzyć kopie zapasowe, np. Acronis True Image. Wiele firm decyduje się również na tworzenie kopii zapasowych w chmurze, czyli na zewnętrznych serwerach. Część programów antywirusowych także oferuje możliwość automatycznego tworzenia backupu online, np. Kaspersky Total Security.

Możliwości zabezpieczenia danych osobowych w Twojej firmie są całkiem szerokie – warto z nich korzystać, najłatwiej zaczynając od haseł dostępu do urządzeń i wyboru dobrego antywirusa. Pamiętaj jednak, że w łańcuchu zabezpieczeń zazwyczaj to człowiek jest najsłabszym ogniwem. Dlatego zadbaj również o odpowiednie przygotowanie i przeszkolenie swoich pracowników.