Istnieje 65% szans, że w najbliższym roku Twoja firma padnie ofiarą naruszenia RODO. Jakie dane są najczęściej naruszane? Czy można zapobiec takim wydarzeniom?

Większość organizacji gromadzi dużą ilość informacji, niezbędnych do bieżącej działalności operacyjnej. Wśród nich znajdują się dane, które muszą podlegać bezwzględnej ochronie, m.in. informacje finansowe. W wielu przedsiębiorstwach nie wdrożono odpowiednich środków technicznych i organizacyjnych, które zabezpieczałyby dane w stopniu odpowiadającym istniejącemu ryzyku. Według raportu Związku Firm Ochrony Danych Osobowych (ZFODO) aż 92% incydentów stanowią działania nieumyślne. Ich przyczyną jest więc najczęściej błąd ludzki. Nawet najlepsi pracownicy nie są nieomylni. W jaki sposób i gdzie najczęściej dochodzi do utraty lub ujawnienia informacji? 

Wstępowanie naruszeń danych

Według danych ZFODO, większość incydentów miała miejsce w sektorze prywatnym. Przedsiębiorcy są narażeni na ataki hakerów oraz wycieki danych, niezależnie od branży, w której działają. Warto jednak zwrócić uwagę̨ na to, że 35% wszystkich incydentów ma miejsce w obszarze handlu/e-commerce oraz finansów/ubezpieczeń.

Zidentyfikowane naruszenia najczęściej dotyczą̨ danych osobowych zwykłych tj. imienia i nazwiska (23%) lub adresu e-mail (22%). W 20 % badanych incydentów doszło do naruszenia związanego z numerem PESEL. Warta uwagi jest również skala naruszeń, które dotyczyły danych finansowych (14%).

Ryzyko incydentu występuje w każdej organizacji i nie ma znaczenia sektor czy branża jaką reprezentuje. Istotne jest to jakie dane gromadzi przedsiębiorstwo. Większe ryzyko występuje, gdy przetwarzane są informacje dotyczące np. stanu zdrowia bądź numeru karty kredytowej – ich utrata niesie za sobą większe konsekwencje osobiste i finansowe – wskazuje Maciej Kaczmarski, prezes ODO 24. Przedsiębiorcy są w takich sytuacjach narażeni na wiele problemów prawnych – np. ryzyko nałożenia kary administracyjnej. Warto także wspomnieć o elemencie, który powinien mieć ogromne znaczenie, choć nie wiąże się bezpośrednio ze stratami finansowymi. Każda firma, która straci dane, może także stracić wypracowaną renomę, a co za tym idzie, także swoich klientów – dodaje.

Jak uchronić się przed wyciekami

Nasze dane mogą zostać utracone lub ujawnione zarówno w wyniku działalności przestępców, jak i w wyniku własnego błędu, zwykłej ludzkiej niefrasobliwości. Zdecydowana większość́ incydentów jest skutkiem pomyłek personelu organizacji – czytamy w raporcie ZFODO.

Przykładem takiego błędu może być wysłanie wiadomości e-mail na niewłaściwy adres. Łatwo w ten sposób ujawnić poufne dane nieodpowiedniemu adresatowi. Co więcej, jeżeli omyłkowo wskazaliśmy w nieukrytych polach „Do:” lub „DW:” adresy e-mail zdradzające tożsamość innych adresatów, dodatkowo dochodzi do nieuprawnionego ujawnienia danych tych osób. 

W przypadku działalności sklepów internetowych, za typowy i powtarzający się przykład naruszenia należy uznać: dołączanie do przesyłek z zamówionym przez klienta produktem, dokumentów zawierających dane innego klienta (rachunków, faktur czy formularzy odstąpienia od umowy). 

Bardzo istotne jest systematyczne szkolenie pracowników w zakresie ochrony danych. W obecnych czasach przedsiębiorcy szczególnie powinni kłaść nacisk na odpowiednią edukację oraz wprowadzane procedury, które w znaczący sposób mogą zminimalizować ryzyko wynikające z błędów popełnianych podczas pracy zdalnej – wskazuje Maciej Kaczmarski, prezes ODO 24.

Odpowiednio przeszkolony personel to podstawa, nie można jednak zapomnieć o wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zabezpieczą dane na właściwym poziomie. 

Nie wystarczy stosować jakichkolwiek środków bezpieczeństwa IT – wskazuje Maciej Kaczmarski, prezes ODO 24. Podejmowane działania muszą być adekwatne do zagrożeń a te ustalone na bazie przeprowadzonej analizy ryzyka, a w sytuacjach prawem przewidzianych, także po dokonaniu oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA). Prawidłowa analiza może niekiedy wymagać wsparcia merytorycznego ze strony profesjonalistów w tej dziedzinie – podsumowuje.