Kara o wartości ponad półtora miliona złotych (oryg. 400 000 EUR) z tytułu naruszenia RODO została nałożona na szpital w Portugalii.
400 000 Euro, czyli ok 1,7 mln zł w przeliczeniu – taką karę nałożyła Comissão Nacional de Proteção de Dados (CNPD) (Komisja Ochrony Danych) – Organ nadzorczy w Portugalii, na szpital Barreiro Montijo, położony vis a vis Lisbony, na przeciwległym brzegu rzeki Tag.
Powodem nałożenia kary był między innymi nieuprawniony dostęp do danych klinicznych udzielony osobom, które nie powinny mieć takiej możliwości.
„Pozwany działał umyślnie, wiedząc, że był zobowiązany do zastosowania technicznych i organizacyjnych środków niezbędnych do identyfikacji i uwierzytelniania użytkowników, a także do zarządzania i rozgraniczania ich dostępu do profili informacyjnych, warstwując je zgodnie z różnymi przywilejami[…]”
W szpitalu Barreiro Montijo pracuje 296 lekarzy, zaś system umożliwiał dostęp do danych klinicznych pacjentów z 985 aktywnych kont. Szpitalowi zarzuca się również brak wewnętrznych procedur tworzenia kont, lub różnicowania zakresu dostępu do danych. Zarzuca się również fakt dostępu do danych medycznych osobom do tego nieuprawnionym. Innym zarzutem jest niepodjęcie przez szpital niezbędnych kroków do weryfikacji, czy konta już nie pracujących w szpitalu osób zostały usunięte.
Szpitalowi zarzuca się naruszenie naruszenie zasad: integralności, poufności i minimalizacji danych.
Należy dodać, że szpital nie zgadza się z argumentacją CNPD, między innymi wskazując na ograniczenia funkcjonalne związane z użytkowaniem programu dostarczanego przez strony trzecie. Podnoszona jest również wątpliwość co do zdolności prawnej CNPD do nałożenia kary w związku z trwającym ciągle w Portugalii procesem legislacyjnym dotyczącym regulacji GDPR.
Dania pierwszym krajem, gdzie obowiązkiem staje się szyfrowanie poczty elektronicznej. Robisz biznes w lub z partnerami w Danii? – lepiej to przeczytaj.
Szyfrowanie poczty to zalecany sposób na ochronę danych przetwarzanych w internecie. W RODO pojawia się czterokrotnie : w motywie 83, oraz art. 6, 32 i 34. Od 1 stycznia 2019 w Danii, to zalecenie staje się obowiązkiem.
Duński organ ochrony danych osobowych zmienia obowiązującą od 2009 roku rekomendację szyfrowania na obligatoryjny nakaz. Szyfrowania będzie wymagała korespondencja biznesowa zawierająca szczególne kategorie danych (tzw. dane wrażliwe). Informację o tym fakcie możecie przeczytać w wiadomości o dźwięcznym tytule „ Skærpet praksis ift. krypteret e-mail ”.
Jest to pierwszy taki obowiązek w Unii Europejskiej i znamienny wskaźnik który pokazuje, że ochrona danych osobowych przestaje być sprawą drugorzędną i fakultatywną.
Przypomnijmy czym są opisane w art 9 RODO dane wrażliwe: są to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, danych biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby.
Duński obowiązek jest rezultatem poważnej interpretacji zapisów art. 9 RODO.
Czym jest szyfrowanie danych w poczcie elektronicznej?
Szyfrowanie danych to transformacja tych danych z postaci jawnej do postaci zaszyfrowanej, przez co ich treść jest (a ściślej – powinna być) niemożliwa do odczytania bez udziału odpowiedniego procesu odwrotnego, zwanego deszyfrowaniem.
Zgodnie z duńską regulacją to administrator danych, na podstawie oceny skutków przetwarzania podejmuje decyzję jaki sposób szyfrowania będzie w konkretnej sytuacji adekwatny do „wagi” przetwarzanych danych. – Czy będzie to szyfrowanie TLS czy też rozwiązanie „End to end”.
Szyfrowanie TLS –co to jest?
Szyfrowanie TLS to protokół, który zabezpiecza dane podczas ich transferu. Zabezpieczenie to jest trojakie i obejmuje poufność danych, integralność danych oraz zabezpieczenie przed przekierowaniem na niewłaściwą stronę internetową. Opisując protokół TLS obrazowo: przypomina to przesyłanie kartki pocztowej – wrzucasz pocztówkę do skrzynki i już jej nie widzisz. Osoby „z ulicy też nie” ale… – pracownicy firmy lub firm pocztowych, którzy Twoją kartkę transferują i przechowują – owszem. Dlaczego? – choćby dlatego, że odebrana przesyłka w postaci rozszyfrowanej jest dostępna na pocztowym serwerze. Idąc dalej tą analogią – Twoja kartka czeka teraz w skrzynce pocztowej adresata i każdy przechodzień widzi, że ona tam jest. Wystarczy wejrzeć przez przysłowiową dziurkę i… „miasto huczy” 😉
Bezpieczniejszym rozwiązaniem jest szyfrowanie „End to end”
Szyfrowanie End to end – co to jest?
Szyfrowanie End to end, to zabezpieczenie wiadomości podczas tranzytu i podczas spoczynku. Wracając do naszej pocztowej analogii, przypomina to wysłanie wiadomości w skrzynce zamkniętej na kłódkę. Nie dość, że obsługujący tranzyt nie widzą treści, to jeszcze trafia ona do konkretnego odbiorcy, który ma unikalny klucz do otwarcia kłódki. Jest to metoda, która wykorzystuje kryptografię asymetryczną, zwaną również kryptografią klucza publicznego i prywatnego.
Jak to działa? Jeśli Janek (nadawca) chce wysłać prywatną wiadomość do Anny (odbiorcy), to najpierw musi zaszyfrować wiadomość przy użyciu publicznego klucza Anny, który jest znany i dostępny dla wszystkich. Janek następnie wysyła zaszyfrowaną wiadomość na skrzynkę odbiorczą Anny, która może otworzyć i odszyfrować wiadomość za pomocą swojego klucza prywatnego, znanego tylko jej. W ten sposób Janek ma pewność, że wiadomość odczyta właśnie Anna, ponieważ bez użycia klucza, mail wygląda jak bezładny ciąg liter. Co ważne- zaszyfrowane wiadomości są chronione podczas tranzytu wiadomości do skrzynki odbiorczej odbiorcy oraz podczas przechowywania jej na serwerze pocztowym i kliencie poczty. Co ciekawe – ta metoda szyfrowania również zabezpiecza Janka… przed nim samym. Ponieważ wiadomości zaszyfrowanej przy użyciu klucza publicznego, Janek już tym kluczem nie rozszyfruje. Co innego, gdyby Janek i Anna szyfrowali pocztę symetrycznie – za pomocą jednego hasła – wówczas Janek miałby do swojej wiadomości dostęp, jak i każdy – komu Janek przekazałby hasło.
Jeśli temat szyfrowania danych zainteresował Cię, i chcesz go zacząć stosować, to mam dla Ciebie dobrą wiadomość: Są narzędzia, w tym bezpłatne, które możesz zastosować do szyfrowania End to end, nawet w celach komercyjnych. Ten temat jednak rozwinę w jednym z kolejnych wpisów.
Artykuł opracowałem między innymi na podstawie poniższych źródeł:
Zapraszam na szkolenie „Od Błędu do Obłędu” czyli odpowiedzialność prawna fizjoterapeuty”, na którym będę miał prelekcję dotyczącą RODO u fizjoterapeuty oraz skutecznego i bezpiecznego marketingu w działalności medycznej. Na szkoleniu poruszymy wiele istotnych spraw: Organizator przygotował solidną dawkę praktycznej wiedzy prawnej i operacyjne, którą będziecie Państwo mogli zacząć wdrażać u siebie w poradniach. Zapraszam.
20 000 PLN (4500EUR) -tyle wynosi pierwsza kara z tytułu naruszenia RODO w Austrii. Podstawą nałożenia było niewłaściwe zastosowanie monitoringu przez przedsiębiorcę. Sprawa jest zaskakująca o tyle, że austriacka ustawa o ochronie danych stanowi, że DSB (odpowiednik naszego UODO) w początkowym czasie będzie skupiał się na pouczeniach i wykonywaniem uprawnień naprawczych a nie na karach.
Powodem nałożenia kary był fakt, że kamera zainstalowana na froncie firmy przez przedsiębiorcę monitorowała także dużą część chodnika, co zostało uznane za monitorowanie na dużą skalę przestrzeni publicznej. Możliwe też, że kamera nie została wystarczająco oznaczona jako urządzenie prowadzące nadzór video.
W artykule, który jest podstawą mojego opracowania czytamy że „kara była jednak umiarkowana”. Czy można z tego wnosić, że kary RODO nie będą ‘milionowe’? Czas pokaże.
Przez pierwsze 100 dni obowiązywania RODO w Austrii DSB odebrała około 1000 skarg i zawiadomień o naruszeniach.
RODO w Firmie: Czy Pracodawca może czytać maile pracowników?
RODO w Firmie – temat „rzeka”. Pewnie wielokrotnie zastanawiali się Państwo, i to zarówno pracodawcy jak i pracownicy, czy Pracodawca może czytać maile pracowników?
Odpowiedź jest następująca:
-pod określonymi warunkami- może.
Podstawą prawną do takich działań może być art. 22(3) Kodeksu Pracy, który stanowi że „Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). § 2. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. § 3. Przepisy art. 222 § 6-10 stosuje się odpowiednio. § 4. Przepisy § 1-3 stosuje się odpowiednio do innych form monitoringu niż określone w § 1, jeśli ich zastosowanie jest konieczne do realizacji celów określonych w § 1.”
W praktyce oznacza to tyle, że pracodawca może korespondencję sprawdzać. Jednak tylko w celu lepszej organizacji pracy. „Sprawdzanie dla sprawdzenia” bez spełnienia powyższych przesłanek już nie wchodzi w grę. Mimo – że komputer udostępniony pracownikowi stanowi własność pracodawcy, stanowi narzędzie pracy i do wykonywania pracy jest przeznaczony.
Ale na tym nie koniec: nawet jeśli maile są monitorowane, to w przypadku natrafienia przez pracodawcę na mail prywatny – pracodawcy nie wolno zapoznać się z jego treścią, jako że byłoby to naruszenie tajemnicy korespondencji. I tu również warto odnieść się do kodeksu pracy, który w Art. 11(1) stanowi że: „Pracodawca jest obowiązany szanować godność i inne dobra osobiste pracownika.” zaś tajemnicę korespondencji do takich dóbr możemy zaliczyć.
RODO w firmie: Monitoring korespondencji mailowej pracowników a RODO.
Przede wszystkim pracodawca nie może tracić z oczu zapisów art. 5 RODO, który określa zasady dotyczące przetwarzania danych osobowych, a który powinien determinować zapisy wewnątrzzakładowych regulacji. Mam tu na myśli zasady: zgodności z prawem, rzetelności, przejrzystości, ograniczoności, minimalizacji, prawidłowości, ograniczenia przechowywania, integralności, poufności i rozliczalności.
W sytuacji, gdy Pracodawca zdecyduje się na monitoring poczty elektronicznej pracownika powinien go o tym poinformować. Zapisy (cele, sposób, zakres) monitoringu określa się w układzie zbiorowym pracy albo w regulaminie pracy. W przypadku braku obowiązku posiadania układu lub regulaminu – pracodawca czyni to w formie obwieszczenia. Pomocne w tym przypadku okażą się dla pracodawcy zapisy art 111 UODO z których wynikają zapisy art. 22 K.P.
Również każda nowo zatrudniona osoba, przed dopuszczeniem do pracy, powinna być informowana o tym fakcie. Przy czym – na stojąc na gruncie RODO wiadomość ta zgodnie z art. 12 RODO ma być przekazana w formie pisemnej, w sposób prosty, jasny i zrozumiały. Warto również przypomnieć jeszcze raz o zasadzie rozliczalności. W przypadku kontroli, administrator musi wykazać fakt poinformowania pracownika w sposób nie budzący wątpliwości. RODO w firmie tego wymaga.
O RODO w internecie napisano już wiele. Jednak najczęściej pisze się o tym przy okazji omawiania obszaru jakim bezpieczeństwo przetwarzania i ochrona danych osobowych w ogóle.
RODO w internecie -przetwarzaj dane bezpiecznie
I słusznie – bo RODO w internecie to część całego procesu przetwarzania. Jednak zauważyłem, że rzadko wymieniane są konkretne czynności jakie należy wykonać. W dzisiejszym wpisie przedstawię procesy na które powinieneś zwrócić uwagę w przetwarzaniu danych osobowych w internecie. Po lekturze tego wpisu będziesz wiedział na co zwrócić uwagę i gdzie RODO w internecie wdrożyć.
RODO w internecie -dlaczego jest takie ważne
„Jeśli Cię nie ma w internecie to najprawdopodobniej nie ma Cię w ogóle” głosi znane porzekadło. I jest w tym wiele, jeśli nie cała prawda. Skoro czytasz ten wpis -to właśnie korzystasz z dobrodziejstwa tego medium. Ja z kolei właśnie zachęcam Cię do kontaktu ze mną abyśmy razem współpracowali przy wdrożeniu RODO w firmie, którą reprezentujesz. Jeśli skorzystasz z mojej zachęty – rozpoczniemy proces przetwarzania danych osobowych.
Podobnie zapewne i Ty drogi Czytelniku masz swój serwis www, korzystasz z poczty elektronicznej, być może prowadzisz sklep online. To Wszystko takie cyber-rury, którymi strumieniujesz dane osobowe. Internet to medium masowe – tutaj przetwarzanie danych na dużą skalę możesz wywołać (oby świadomie) za pomocą jednego kliknięcia. Większa skala przetwarzania – większy wpływ i skala naruszenia. I to właśnie dlatego przestrzeganie RODO w internecie jest takie ważne.
RODO w internecie- gdzie wdrożyć?
Czas na część praktyczną. Poniżej opiszę na jakie obszary należy zwrócić uwagę aby przetwarzanie danych osobowych w internecie było w Twoim wykonaniu kompletne i bezpieczne.
Obowiązek Informacyjny – zawrzyj go na stronie internetowej, spraw by był łatwo dostępny a przy pierwszej wizycie nawet obowiązkowy do przeczytania dla użytkownika. Pamiętaj aby obowiązek informacyjny RODO na stronie internetowej był adekwatny do celu i zakresu danych jakie za pomocą tego kanału przetwarzasz.
Polityka Prywatności – jeśli ją masz- dostosuj ją do obowiązujących przepisów o ochronie danych osobowych. Opisz w jaki sposób chronisz dane użytkowników, w jakim celu, zakresie i czasie będziesz je przetwarzał. Nie zapomnij o opisaniu komunikacji marketingowej jeśli do niej zachęcasz na swojej stronie. Jeśli Polityki Prywatności jeszcze nie masz – rozważ jej wprowadzenie – ten dokument pozwoli Ci określić jasne zasady przetwarzania dla Użytkownika i co bardzo ważne: również dla Ciebie
Regulamin serwisu www: Jeśli masz sklep internetowy lub inny serwis posługujący się regulaminem -to zaktualizuj informacje o przetwarzaniu danych osobowych. Przyda Ci się treść Twojego Obowiązku Informacyjnego oraz Polityka Prywatności.
Formularz kontaktowy: Tutaj również wprowadź odpowiednie zgody, przetwarzanie danych osobowych użytkownika odbywało się zgodnie z prawem. Zastanów się nad celami i zakresem zbieranych danych. Przemyśl gruntownie minimalizację podawanych danych. Pamiętaj, że rezultaty tej analizy powinny się znaleźć w treści zgody. Wprowadź je również w takich dokumentach jak obowiązek informacyjny i polityka prywatności.
Zapis na newsletter -formularz: Nie mylić z formularzem kontaktowym. Tutaj bowiem wkraczasz w komunikację marketingową. Przemyśl cel, zakres i okres retencji danych osobowych. Minimalizację danych przemyśl x2. Na podstawie analizy opracuj treść zgody. Pamiętaj, że zgoda na przetwarzanie danych w celu marketingu to najsłabsza podstawą prawna przetwarzania. Zadbaj o odpowiedni skrypt lub zapis na stronie www aby wycofanie zgody było równie łatwe jak jej udzielenie. Przemyśl konsekwencje wycofania zgody -co będzie trzeba czyścić i jakim kosztem?
Polityka prywatności Cookies: Zadbaj aby informacja o przetwarzaniu ciasteczek przez Twoją witrynę pojawiła się przed wejściem na serwis. Dowiedz się jakiego rodzaju ciasteczka przetwarzasz. Choć krążą różne opinie i interpretacje zakresu ciasteczek na które powinno się udzielać zgody i w jakim stopniu podstawą prawną może być tutaj uzasadniony interes administratora – nadal najbezpieczniejszym instrumentem jest wyraźna zgoda użytkownika. Można to wywnioskować z wytycznych tzw. Grupy Roboczej Art.29, -ciała doradczego powołanego przy UE, pomagającego interpretować RODO.
Jeśli profilujesz dane użytkowników w sposób automatyczny – to zadbaj o odpowiednie zapisy w takich dokumentach jak: obowiązek informacyjny, polityka bezpieczeństwa, regulamin serwisu, treść zgód. Automatyczne profilowanie opiszę wkrótce w osobnym wpisie.
Jeśli przechowujesz dane użytkowników na serwerach w chmurze, to zadbaj o umowy na powierzenie przetwarzania danych osobowych z dostawcami rozwiązań chmurowych. Uważnie przeczytaj proponowane przez tych dostawców umowy. Sprawdź czy powierzone dane osobowe lokowane są na serwerach na obszarze Unii Europejskiej.
Jeśli opracujesz powyższe obszary RODO w internecie, to możesz się czuć znacznie bezpieczniej a Twoje przetwarzanie danych osobowych w internecie przybierze profesjonalny kształt.
RODO Olsztyn – a właściwie RODO w Olsztynie – jak z nim „stoimy’? Wydaje mi się, że jeśli chodzi o świadomość faktu, że jest takie prawo i że dane osobowe należy chronić szczególnie starannie – to „stoimy dobrze”. Niestety- dobra świadomość to jedno, zaś dobre wykonanie to drugie…
Ostatnio mam przykrą ‘przyjemność’ poprawiania pracy po tzw ‘specjalistach’ w RODO dorywczo ‘pomagającym’ firmom. Najczęściej spotykam niestarannie przygotowane dokumenty, sporządzone w oderwaniu od działalności operacyjnej firmy. Czasem o zgrozo, są to nawet proste informacje – wymieniane punkt po punkcie w rozporządzeniu, które po prostu wystarczy wpisać do dokumentu, no chyba… że się nie zna rozporządzenia… Nie wspomnę już o analizie innych podstaw prawnych, nowelizacji kodeksów i ustaw branżowych. Później taka firma poza wydatkiem finansowym uzyskuje niestety fałszywy spokój że już wszystko wykonuje w zgodzie z RODO, tymczasem pamiętajmy – to Administrator danych osobowych odpowiada za wszystkie działania i zaniechania związane z przetwarzaniem danych osobowych i to on jest adresatem roszczeń, uwag i kontroli. Nie ma możliwości przekazania odpowiedzialności Administratora na inny podmiot. Dlatego tak ważne jest aby procedury i treść dokumentacji RODO w firmie oprzeć o rzetelną identyfikację procesów i analizę operacyjną.
Aby się tego ustrzec poniżej podaję obszary działalności firmy, gdzie powinny się pojawić dokumenty lub / i procedury zgodne z RODO. Zasada jest prosta. Państwo pytają jakie działania fachowiec planuje wykonać w tym konkretnym obszarze – a on odpowiada i uzasadnia ‚dlaczego właśnie tak’. Są to:
-Kadry (relacje firma -pracownik, pracownik -firma, (dotyczy pracowników ale też stażystów, praktykantów, proces rekrutacji elektronicznej oraz osobistej)
-Zakupy i logistyka (relacje firma – dostawcy)
-Sprzedaż dla klienta indywidualnego (relacje firma – klient)
-Sprzedaż dla klienta instytucjonalnego (relacje – firma – klient)
-Marketing i sprzedaż klasyczna (zgody na wykonywanie działalności marketingowej, prawa autorskie)
-Marketing i sprzedaż internetowa (zgody na poszczególne aktywności, wzajemna komunikacja, regulaminy, polityki, prawa autorskie)
-Strona www (polityki – prywatność i cookies, zgody i prawa autorskie na materiały na stronie)
-Księgowość (fakturowanie)
-IT -zabezpieczenia logiczne i fizyczne zasobów informatycznych
-Zarząd (polityka bezpieczeństwa firmy, odpowiedzialność administratora, przeszkolenie pracowników, ew. powołanie inspektora,obowiązek raportowania naruszeń do Urzędu)
Podsumowując temat ” RODO Olsztyn „: Jest dobrze o tyle, że wiemy, że trzeba dane chronić. …A będzie wspaniale jeśli wdrożenia i analizy powierzymy specjalistom.
Zapraszamy do kontaktu i do zapoznania się z naszą ofertą
Naruszenie RODO- czy rzeczywiście wszystko w Twoich rękach?
Wiele słyszymy o wysublimowanych cyberatakach, które kończą się wyłudzeniem danych, tymczasem naruszenia i incydenty, z którymi przychodzi mi się mierzyć w mojej praktyce najczęściej dotyczą… nieuwagi użytkowników.
Naruszenie RODO czasami masz dosłownie „pod klawiszem”. O czym mowa? O wysyłaniu korespondencji mailowej do wielu odbiorców. Znamy ten sposób… W treści pola „Do” wpisujemy najczęściej adres email z którego wysyłamy korespondencję. W polu „kopia ukryta” dodajemy adresy naszych korespondentów. Dzięki temu zabiegowi faktyczni adresaci wiadomości nie widzą się nawzajem. Teoretycznie tak właśnie powinno być. Praktycznie właśnie tutaj nietrudno o ludzki błąd, który jest naruszeniem RODO. Jest tutaj kilka niebezpieczeństw o których warto wspomnieć.
Najczęstsze pomyłki to:
-Wpisanie innego odbiorcy w polu wiadomości „Do”, w szczególności gdy korzystasz z podpowiadanego przez klienta poczty adresu;
-Wpisanie adresów odbiorców do pola „kopia” zamiast do pola „kopia ukryta”;
-Tworzenie maila nie jako nowej wiadomości ale w odpowiedzi na wcześniejszą wiadomość korzystając z przycisku”Odpowiedz” a nawet (o zgrozo!) „Odpowiedz wszystkim”.
Wszystkich tych kłopotów można uniknąć – wystarczy zachować ostrożność i sprawdzić to co się zrobiło- napisało i wkleiło 3 razy zanim klikniesz „Wyślij”. Zwłaszcza w sytuacji, gdy korzystasz z list mailingowych. Dzięki temu unikniesz przepraszania, rekompensat, autodonosu do Urzędu Ochrony Danych Osobowych, nieprzyjemnego postępowania a nawet postępowania prokuratorskiego (są i takie przypadki). O jednym z takich właśnie przypadków możesz przeczytać w artykule na portalu niebezpiecznik.pl Pamiętaj proszę -sprawdź 3 razy. Wtedy Twoja głowa będzie spokojna, kieszeń zasobna a ja nie będę miał co robić. OK? 😉
„Proszę Pana, to będzie martwy przepis” – często słyszę to zdanie. Tak to już jest, że są Ci zapobiegliwi, którzy pomni na wcześniejsze doświadczenia (np. z klauzulami abuzywnymi w regulaminach na stronach www), już wykonali dokumentację i zabezpieczyli swoje firmy. I są Ci, którzy uważają, że „z wielkiej chmury mały deszcz”. Obie postawy są zrozumiałe. Ale obok postaw są jeszcze fakty- jak podaje portal Niebezpiecznik, który uzyskał informację, że w okresie między 25 maja a 29 czerwca, więc przez okres nieco więcej niż miesiąca od „RODO – DAY” do urzędu wpłynęło ponad 320 zgłoszeń naruszeń. Czyli blisko 10 dziennie. Czy więc aby na pewno będzie to martwy przepis? Więcej szczegółów przeczytacie w artykule na Niebezpieczniku, który gorąco polecam.
RODO w Firmie czyli „Teraz nie da się go odwrócić…”
RODO w firmie to nie tylko paragrafy i procedury. To również spostrzegawczość i tak często wspominana przeze mnie analiza operacyjna firmy. Czasami najprostsze rozwiązania są najtrudniejsze do zauważenia.
Oto przykład: skupiamy się z klientem na metodzie szyfrowania pamięci przenośnych (pendrive). Zastanawiamy się jak w tej, konkretnej sytuacji biznesowej w firmie spowodować, by dyski były zaszyfrowane, policzone i… zgodnie z RODO w firmie – rozliczone. (pamiętacie? Zasada rozliczalności). Jednocześnie trzeba to zrobić tak, by dało się z tym jakoś żyć, bo nie sztuka zaszyfrować klientowi firmę ‚bo tak trzeba’, tylko sztuka dobrać rozwiązania tak aby było bezpiecznie i dało się pracować.
Tymczasem… jeden z pracowników podchodzi do kontuaru z komputerem w recepcji i obraca ekran do siebie… o jakieś 45stopni aby… sprawdzić dane na ekranie 🙂 Sytuacja nikogo nie dziwi: ani pracowników, ani klientów ani nawet właściciela 😉 Wygląda to tak, jakby czynność ta nie była czymś niezwykłym. Słowem chyba tak robią codziennie… Cała zawartość ekranu ukazała się osobom w poczekalni w pełnym majestacie. Wystarczyło tylko dobrze popatrzeć albo zrobić zdjęcie telefonem komórkowym. Potem to przesłać do mediów… (tak tak – niestety -nie wiem czy zauważyliście – ale z naruszeniem bardzo często idzie się najpierw do mediów a dopiero potem do nieszczęśnika, któremu się nieszczęście przytrafiło) No i incydent gotowy…
Na szczęście nie chodziło tu o dane osobowe ale… gdyby o nie chodziło???
Jak łatwo się domyślić, odwracanie monitora było po prostu łatwiejsze niż obejście kontuaru, cóż- natura ludzka taka jest.
Postanowiliśmy naturze przeciwstawić…naturę i … 🙂
Niezwłocznie postawiliśmy monitor bezpośrednio na biurku, poniżej półki kontuaru na której do tej pory stał. Teraz nie da się go odwrócić… Chyba że razem z meblem 🙂
