Pracownik zakładu ubezpieczeń nadal najsłabszym ogniwem bezpieczeństwa danych

0
830

Praktyka pokazuje, że najczęściej występującym rodzajem naruszeń ochrony danych osobowych w zakładach ubezpieczeń pozostają te z udziałem pracowników. Oczywiście nie myli się jedynie ten, kto nic nie robi, musimy jednak mieć na względzie, iż zgłoszenie do organu nadzorczego naruszeń tego samego rodzaju stanowi „zaproszenie” do przeprowadzenia u nas kontroli przez prezesa UODO, co zresztą sam organ na jednej z konferencji przyznał.

Najczęstsze rodzaje naruszeń

Nie możemy zapominać, że zabezpieczenia organizacji są tak silne jak jej najsłabsze ogniwo. W omawianym przypadku będzie to człowiek. Najczęściej występującym rodzajem naruszenia ochrony danych osobowych jest przesłanie do klienta danych innego klienta. Tu z reguły ma to miejsce przy procesie likwidacji szkody, przy wysyłce polis, jak i decyzji o przyznaniu odszkodowania.

Niestety w zakładach niekorzystających z technicznych rozwiązań w tym zakresie winny jest pracownik, który często w pośpiechu lub bez zastanowienia wysyła taką korespondencję w formie e-maila. Na liście najczęściej występujących incydentów znajdziemy również zgubiony sprzęt firmowy (telefon, laptop), poprzez który osoba nieupoważniona może dostać się do zasobów firmowych, w tym skrzynki e-mail, w której przechowujemy przecież liczne dane osobowe.

Zarządzanie naruszeniem ochrony danych

W zależności od rodzaju naruszenia koniecznie musimy podjąć działania w celu minimalizacji jego skutków, tzw. działania zaradcze. To, jak ważne jest wdrożenie takich działań, pokazała również decyzja prezesa UODO ws. Morele.net. W nawiązaniu do treści przedmiotowej decyzji administrator danych osobowych nie powinien podejmować jedynie minimalnych środków zaradczych, ale powinien podjąć wszelkie możliwe rozwiązania, w tym dostępne rozwiązania techniczne w celu minimalizacji powstałego już naruszenia i jego skutków. Kroki, jakie powinniśmy po kolei podjąć w sytuacji wystąpienia zdarzenia z „udziałem” danych osobowych, to:

  • środki minimalizujące skutki naruszenia (np. odłączenie sieci zewnętrznej od sieci wewnętrznej przy atakach hackerskich, kontakt z osobą, która otrzymała błędne dane, z prośbą o usunięcie otrzymanej korespondencji, zdalne usunięcie danych z zagubionego urządzenia mobilnego itd.);
  • natychmiastowe zawiadomienie inspektora ochrony danych;
  • przeprowadzenie analizy ryzyka (ma ona na celu m.in. wykazanie istnienia konieczności zgłaszania naruszenia do prezesa UODO);
  • zawiadomienie o naruszeniu prezesa UODO oraz osoby dotkniętej naruszeniem (w zależności od wyników analizy ryzyka);
  • sporządzenie dokumentacji wewnętrznej naruszenia;
  • wprowadzenie środków profilaktycznych mających na celu uniknięcie wystąpienia w przyszłości ponownie konkretnego naruszenia ochrony danych osobowych.

Wprowadzenie działań profilaktycznych

Z każdego naruszenia ochrony danych powinny zostaćwyciągnięte wnioski w postaci działań mających na celu eliminację powtórzenia się sytuacji w przyszłości. Wysoka świadomość pracowników jest tu orężem zakładu ubezpieczeń chroniącym go przed powtórzeniem się naruszenia. Niestety często zdarza się, że organizacje o tym zapominają.

Po każdym incydencie z udziałem pracownika w firmie powinna zostać rozesłana informacja z przypomnieniem najważniejszych zasad ochrony danych osobowych, a osoby biorące udział w naruszeniu powinny zostać ponownie przeszkolone.

Inne przykłady działań zapobiegawczych to: wprowadzenie czujników zalania w archiwum (przy incydencie zalania archiwum), wdrożenie odpowiednich zabezpieczeń na komputerach w celu eliminacji ataków z zewnątrz, odpowiednie zabezpieczenie sprzętu firmowego itd.

Adw. Anna Dmochowska

koordynator zespołu prawnego

ODO24

Anna Dmochowska, adwokat, ekspert ds. ochrony danych osobowych, przeprowadza audyty w zakresie ochrony danych osobowych, prowadzi szkolenia, tworzy wewnętrzne procedury i dokumentację, oraz sporządza opinie prawne. Audytor wiodący ISO 9001 oraz ISO 22301. Zajmuje się bezpieczeństwem informacji w podmiotach prowadzących działalność ubezpieczeniową. Posiada doświadczenie w zakresie bieżącej obsługi korporacyjnej podmiotów gospodarczych oraz przygotowywaniu i negocjowaniu umów. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Współautorka: Unijna reforma ochrony danych osobowych, Ustawa o ochronie danych osobowych komentarz, RODO Nawigator.

ODO 24 sp. z o.o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z dziedziny m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne. odo24.pl/zespol-odo24