Dobre praktyki ochrony danych – bezpieczeństwo fizyczne

Autor: Soczko i Partnerzy — w kategorii Komunikaty IOD-y — 15 kwietnia 2023

15

kwi
2023
 

Aktualizacja publikacji z dnia 18 maja 2021 r.

W grudniu 2019 roku Brytyjski organ nadzorczy ukarał firmę farmaceutyczną za nieodpowiednią ochronę danych osobowych szczególnej kategorii.

Firma London Pharmacy otrzymała karę w wysokości 275 tysięcy funtów za przechowywanie dokumentów z danymi osobowymi na tyłach swojej siedziby w niezamkniętych kontenerach.

Zbiór danych liczył około 500 tyś. dokumentów i zawierał takie dane jak: imiona i nazwiska, adresy zamieszkania, daty urodzenia oraz informacje o zdrowiu wraz z przepisanymi receptami.

Czynności kontrolne zostały rozpoczęte w wyniku zawiadomienia złożonego przez brytyjską agencję ds. leków i produktów zdrowotnych.

Jak widać właściwa ochrona danych nie tylko chroni przed ich wyciekiem, ale pozwala uniknąć ewentualnych kontroli zainicjowanych przez świadków łamania zasad bezpieczeństwa przechowywania danych, np. przez kontrolerów innej instytucji, tak jak to miało miejsce w w/w przypadku.

Co więcej właściwa dbałość o bezpieczeństwo fizyczne danych zmniejsza prawdopodobieństwo wystąpienia ataku oraz skuteczność jego przeprowadzenia, np. dane zawarte w wyrzuconych na śmieci (niezniszczonych) dokumentach papierowych, dotyczące korespondencji służbowej z dostawcą usług IT, mogą zostać wykorzystane do przeprowadzenia skutecznego ataku socjotechnicznego – atakujący może wcielić się w przedstawiciela dostawcy usług IT i zmanipulować osobę dla osiągnięcia własnych celów.

Poniżej kilka zasad, których przestrzeganie pozwoli zmniejszyć ryzyko wycieku danych:

WPROWADŹ ZASADĘ „CZYSTEGO BIURKA”

W przypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu, umieść wszystkie dokumenty i nośniki zawierające dane osobowe w bezpiecznym miejscu, np. zamykanej na klucz szafce. Dzięki temu uniemożliwisz dostęp do danych osobom nieuprawnionym.

STOSUJ ZASADĘ „CZYSTEGO EKRANU”

Unikaj korzystania z komputera w miejscach, w których nie ma pewności, że obraz wyświetlany na ekranie nie zostanie podejrzany przez osobę nieupoważnioną lub nie będzie zarejestrowany przez kamery monitoringu.

Pracując nad dokumentami w miejscach publicznych (tj. kawiarnie, pociągi, autobusy, samoloty itp.) zachowaj poufność danych, tak aby osoby nieupoważnione nie miały do nich dostępu (w tym nie mogły ich przeczytać). Odwróć się co jakiś czas, by sprawdzić, czy ktoś nie patrzy w Twój monitor. W miarę możliwości korzystaj z filtrów prywatyzujących.

ZABEZPIECZ SWÓJ KOMPUTER

Opuszczając (nawet na chwilę) stanowisko pracy zablokuj lub wyłącz komputer. Zamykaj na klucz pomieszczenie, w którym nikt nie został i nie pozostawiaj w nim osoby nieuprawnionej bez opieki. Intruz może zainstalować do komputera (zwłaszcza stacjonarnego) niewielkie urządzenia szpiegujące, takie jak np. keylogger.

ROZWAŻNIE KORZYSTAJ Z URZĄDZEŃ PRZENOŚNYCH

Zabezpiecz urządzenie przenośne (tj. laptop, telefon, tablet) przed kradzieżą. Nie zostawiaj ich w  miejscach publicznych. W hotelach przechowuj je w sejfie, a w samochodach przewoź w bagażniku. Wysiadając ze środków komunikacji publicznej (zwłaszcza taksówek) zwracaj uwagę, czy nie zostawiłeś/aś w nim sprzętu.

W sytuacji, gdy w pamięci urządzenia znajdują się dane osobowe, upewnij się przed wyniesieniem go z pracy, że dysk twardy został zaszyfrowany.

AKTUALIZACJA

NIE KORZYSTAJ Z PRYWATNYCH NOŚNIKÓW PAMIĘCI

Decyzją z dnia 19 stycznia 2023 r. Prezes UODO nałożył administracyjną karę pieniężną w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie. Powodem ukarania było niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.

We wrześniu 2020 r. administrator zawiadomił organ nadzorczy o naruszeniu ochrony danych osobowych polegającym na zgubieniu trzech nośników pamięci typu pendrive. Znajdowały się na nich projekty orzeczeń i uzasadnień, które zawierały dane osobowe z okresu od grudnia 2004 r. do sierpnia 2020 r.

W toku postępowania stwierdzono, że pracownicy sądu przez wiele lat korzystali na komputerach służbowych z prywatnych nośników danych. Były one niezabezpieczone i niezweryfikowane przez dział IT. W sądzie zgodnie z obowiązującymi procedurami zakazane było korzystanie z prywatnych nośników danych. Mimo to prezes sądu nie prowadził nadzoru umożliwiającego sprawdzenie czy pracownicy stosują się do uregulowań w tym zakresie. Ustalono, że administrator nie wdrożył środków uniemożliwiających stosowanie zakazanych praktyk (np. blokady portów USB, które uniemożliwiłyby korzystanie z prywatnych nośników).

Jak podkreśla UODO „Wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia”. W  omawianym stanie faktycznym regularny nadzór nad stosowaniem środków bezpieczeństwa pozwoliłby sprawdzić, czy pracownicy stosują się do obowiązujących procedur.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.