Cyberzagrożenia w świetle przepisów RODO

Jednym ze skutków wprowadzenia ujednoliconych przepisów dotyczących ochrony danych osobowych w krajach wspólnotowych Unii Europejskiej jest zwiększenie świadomości przedsiębiorców w zakresie cyberbezpieczeństwa. Z dniem 25 maja 2018 roku organizacje wkroczyły w nową rzeczywistość administrowania danymi osobowymi. Dwuletni okres przygotowawczy umożliwiający wdrożenie RODO był odpowiednim momentem dla europejskich przedsiębiorców na zweryfikowanie, czy poufne informacje przechowywane w firmowym systemie są dobrze chronione przed wyciekiem danych. Wykonanie analizy ryzyka zgodnie z przepisami RODO to pierwszy krok do zapewnienia cyberbezpieczeństwa w organizacji. Jej celem jest ocena zagrożeń dla bezpiecznego przetwarzania danych osobowych oraz dopasowanie i wdrożenie adekwatnych środków zmniejszających prawdopodobieństwo ich wystąpienia.

Cyberbezpieczeństwo w obliczu nowych regulacji prawnych

Troska o cyberbezpieczeństwo wiąże się z przestrzeganiem właściwych zasad polityki przechowywania danych osobowych – nie tylko ze względu na nowe unijne regulacje, ale też mając na celu ustrzeżenie organizacji przed atakami cyberprzestępców. Rok 2017 pokazał, że nawet największe przedsiębiorstwa są narażone na cyberzagrożenia polegające na paraliżu strony lub usługi, zablokowaniu dostępu do zaszyfrowanych wcześniej plików wskutek ataku hakerskiego czy wycieku danych osobowych z firmowych serwerów. Polskie systemy często infekowane są poprzez ransomware, czyli tzw. „oprogramowanie szpiegujące”, które blokuje dostęp do systemu komputerowego, uniemożliwia odczyt zapisanych w nim danych lub pobiera dane osobowych klientów. Wiele cyberzagrożeń wynika też z nienależytego zabezpieczenia informacji zapisywanych w chmurach. Wdrożenie RODO ma zagwarantować osobom fizycznym skuteczną ochronę ich danych, zaś przedsiębiorcom zapewnić bezpieczny przepływ informacji.

Wyciek danych – w jakich okolicznościach do niego dochodzi?

Do wycieku danych osobowych dochodzi, gdy słabo zabezpieczona sieć zostaje zaatakowana, a dane osobowe klientów lub kontrahentów wykradzione. Wyciek danych – loginów i haseł dostępu, szczegółów kart kredytowych czy historii przeprowadzonych transakcji – często wiąże się z upublicznieniem poufnych informacji lub sprzedażą bazy danych innym podmiotom. Powszechną formą cyberzagrożenia jest także phishing – oszustwo zmierzające do nakłonienia użytkownika do podania danych osobowych poprzez podszywanie się pod znane użytkownikowi osoby lub organizacje. Niekiedy oszustwo phishingowe polega na utworzeniu przez hakera fałszywej witryny, łudząco podobnej do strony internetowej należącej do banku, sieci telefonii komórkowej lub urzędu. Działanie to ma na celu nakłonienie użytkownika do wprowadzenia danych logowania lub wykonania transakcji płatniczej.

Naruszenie RODO i obowiązek notyfikacji naruszeń ochrony danych osobowych

Wdrożenie RODO wiąże się z jeszcze jednym obowiązkiem, spoczywającym na administratorze danych osobowych. W myśl nowych przepisów, w sytuacji, gdy administrator danych osobowych stwierdzi naruszenie ochrony danych osobowych lub innych praw i wolności osób fizycznych, ma obowiązek niezwłocznie powiadomić o tym osoby, których naruszenie dotyczy, a także zgłosić ten fakt organowi nadzorczemu. RODO wyznacza administratorowi danych osobowych 72 godziny na zgłoszenie naruszenia ochrony danych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia o naruszeniu RODO przekazanego organowi nadzorczemu po upływie 72 godzin należy dołączyć wyjaśnienie przyczyn opóźnienia. Aby uniknąć cyberzagrożeń i konsekwencji naruszeń RODO, organizacje i urzędy powinny przygotować się do tego typu incydentów z wyprzedzeniem, opracowując strategię postępowania w sytuacji kryzysowej.

Naruszenie RODO – jakie sankcje mogą zostać nałożone na podmioty przetwarzające dane osobowe?

Niewywiązywanie się z wyżej wymienionych obowiązków może narazić administratora danych na sankcje w postaci administracyjnej kary pieniężnej w wysokości do 10 milionów euro, a w przypadku naruszenia RODO przez przedsiębiorstwo – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Naruszenie ochrony danych osobowych nie zawsze jest konsekwencją zbagatelizowania cyberzagrożeń, na które narażone są przedsiębiorstwa i instytucje. Niektóre incydenty wynikają z umyślnego działania podmiotów dokonujących przetwarzania danych (ujawnienia informacji osobom nieupoważnionym, świadomego zniszczenie danych, kradzieży służbowego sprzętu) lub zdarzeń losowych (awarii systemu, serwera lub dysku twardego).

W trosce o cyberbezpieczeństwo, należy unikać m.in. następujących naruszeń ochrony danych osobowych:

  • Nieprawidłowego zaadresowania korespondencji elektronicznej lub przesłania listy kontaktów do nieupoważnionego podmiotu,
  • Ujawnienia adresów e-mail adresatów podczas masowej wysyłki korespondencji,
  • Utraty nośników danych lub nieprawidłowego usunięcie danych osobowych,
  • Utraty danych logowania do chmury lub przekazania danych do logowania nieupoważnionym podmiotom.

powrót

Zobacz również: