Ochrona danych osobowych
Obostrzenia prawne w tej materii dotyczą firm przetwarzających dane osobowe. Należą do nich: agencje oraz pośrednictwa pracy, instytucje finansowe, instytucje świadczące usługi telekomunikacyjne i te wszystkie przedsiębiorstwa, które gromadzą dane osobowe swoich klientów lub petentów.
Władza ustawodawcza narzuca określone wymagania dotyczące baz danych, m.in.:
Administrator danych przetwarzanych w systemie informatycznym jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, zwłaszcza, gdy przekazuje się je za pomocą urządzeń teletransmisji danych.
Oznacza to, że system gromadzący dane osobowe musi posiadać funkcję rejestrowania zachowań użytkowników, którzy wykorzystują bazy danych – choćby je jedynie przeglądali. W praktyce wygląda to na przykład tak, że gdy rekruter tylko pobieżnie zapozna się z określonymi danymi kandydata, system odnotuje to w odpowiednim rejestrze, czyli w profilu osoby ubiegającej się o pracę. Kto? kiedy? co zrobił? – odpowiedzi na te pytania powinny się tam znajdować.
Powyższe wymagania systemowe eliminują przechowywanie danych w nieprzeznaczony do tego sposób, np. w arkuszach excelowskich, w programach pocztowych czy katalogach na dysku komputera.
Jak pracownik może w prosty sposób przejąć źle przechowywane dane osobowe?
- Zgrać plik na pamięć zewnętrzną (ang. memory stick) – trwa to do kilkunastu sekund.
- Przekopiować plik na płytę CD – ta czynność zazwyczaj zajmuje do kilkunastu sekund.
- Po spakowaniu (format ZIP) wysłać przez przeglądarkę internetową – potrwa to do kilku minut.
- Skompresować i wysłać plik na serwer zewnętrzny FTP – potrzeba na to maksymalnie kilku minut.
Do tego dochodzą zagrożenia, m.in.:
- włamanie z kradzieżą i utrata danych zapisanych na komputerach – tracimy wszystkie informacje przy założeniu, że nie jest robiona kopia bezpieczeństwa danych (ang. backup copy);
- nieautoryzowany dostęp osób trzecich - wynika on z braku procedur bezpieczeństwa i zabezpieczeń stacji roboczych;
- włamania za pośrednictwem sieci – brak odpowiednich zabezpieczeń w postaci programów antywirusowych czy zapory sieciowej (ang. firewall).
Oprócz wystąpienia negatywnych konsekwencji dla firmy, wynikających z wycieku lub zniszczenia bardzo cennych informacji, zostanie ona również pociągnięta do odpowiedzialności prawnej.
Zbiór danych osobowych musi zostać wpisany do rejestru zbiorów danych osobowych Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Wychodząc naprzeciw problemom naszych Klientów, które wiążą się z zabezpieczeniem osobowych baz danych, stworzyliśmy wyspecjalizowaną komórkę do tego rodzaju działań. Do jej zadań należy:
- stworzenie polityki bezpieczeństwa;
- zgłoszenie zbiorów danych osobowych do GIODO;
- pełnienie funkcji Administratora Bezpieczeństwa Informacji;
- reprezentowanie naszych Klientów przed organami państwowymi w ww. zakresie.
Więcej informacji znajdą Państwo na naszej stronie internetowej.
Brak komentarzy:
Prześlij komentarz