Biznes, prawo, ochrona danych » administrator bezpieczeństwa informacji

Wrażliwe dane pracownika

admin — Thu, 27 Oct 2011 20:06:31 +0000

Ustawa o ochronie danych osobowych wyróżnia pewien szczególny typ danych a mianowicie dane sensytywne. Należą do nich między innymi informacje o stanie zdrowia lub karalności. Czy pracodawca może uzyskać takie dane od swoich pracowników?Danymi wrażliwymi są informacje o pracowniku ingerujące w głęboką sferę jego prywatności. Nie wszyscy chcą dzielić się wstydliwymi przypadłościami zdrowotnymi lub faktem, iż w przeszłości zdarzył im się konflikt z prawem. Pracodawca ze zrozumiałych względów chciałby jednak wiedzieć czy pracownik jest zdrowy i wiarygodny. Kodeks pracy upoważnia, a wręcz nakazuje pracodawcy przeprowadzenie badań okresowych i wstępnych. Co za tym idzie ma on możliwość uzyskania informacji o stanie zdrowia swojego pracownika. Jednakże wspomniane prawo pracy nie daje pracodawcy możliwości wglądu w wyniki badań. Może on jedynie otrzymać zaświadczenie o braku przeciwwskazań zdrowotnych do pracy na określonym stanowisku. Kodeks pracy nie upoważnia natomiast pracodawcy do gromadzenia jakichkolwiek informacji o niekaralności. Przetwarzanie tego typu danych będzie, zatem możliwe tylko wtedy, gdy przepisy innych ustaw na to zezwolą. Dotyczy to w szczególności określonych grup zawodowych mających dostęp np. do broni. Więcej informacji na temat stanu zdrowia lub karalności pracodawca może uzyskać jedynie wtedy, gdy pracownik udzieli mu na to pisemnej zgody. Należy przy tym pamiętać, że ochrona danych osobowych wymaga, aby zgoda była dobrowolna, co w przypadku pracodawców jest sprawą dyskusyjną ze względu na podległy charakter pracownika. Generalny Inspektor Ochrony Danych Osobowych podczas jednej ze swoich kontroli w instytucji finansowej uznał, że gromadzenie informacji o niekaralności pracowników oraz ich sytuacji finansowej mimo ich wcześniejszej pisemnej zgody jest sprzeczne z prawem. Narusza mianowicie zasadę, iż nikt nie może być obowiązany inaczej niż na podstawie przepisów prawa do udostępniania informacji na swój temat.

Inne ciekawe wpisy z tej grupy:

Bezpieczeństwo danych a szkolenia pracowników

admin — Fri, 11 Jun 2010 14:26:38 +0000

Podczas codziennej pracy biurowej borykamy się z dużą ilością problemów. Jednym z nich jest wiedza pracowników na temat bezpieczeństwa naszych danych. Cóż, bowiem pomogą nam najlepsze nawet zabezpieczenia sieciowe, jeśli dostęp do poufnych danych może uzyskać ktoś bez specjalistycznej wiedzy informatycznej?
Chroniąc dane osobowe w naszej firmie wydajemy majątek na zabezpieczenia informatyczne. Kupujemy drogi serwer, router, najnowsze komputery i oprogramowanie. Często też zlecamy obsługę informatyczną firmie zewnętrznej. Wprowadzamy hasła i szyfrowane połączenia. Wyznaczamy osobę odpowiedzialną za nadzór, którą jest administrator bezpieczeństwa informacji. Czy jednak to wystarczy? Pracownicy naszej firmy otrzymali najnowszy sprzęt komputerowy, informatyk zadbał, aby uprawnienia dostępowe były na jak najniższym poziomie…, Co się jednak stanie, jeśli do którejś z osób zadzwoni ktoś, kto przedstawi się, jako konserwator sieci, który właśnie przeprowadza badania ruchu sieciowego, aby zadbać, o jakość naszego połączenia sieciowego? Doda jeszcze, że dla prawidłowej analizy pakietów przechodzących z naszego komputera poprzez zdefiniowaną listę ACL routera do dostawcy musi na chwilę wyłączyć zaporę na tym stanowisku. Kontaktował się już z dyrektorem, ale ten skierował go do tego właśnie użytkownika żeby przesłał w mailu login i hasło. Oczywiście dla bezpieczeństwa spakowanym rar -em i zabezpieczonym dodatkowym hasłem żeby nikt postronny nie mógł odczytać tej wiadomości…
Jeśli osoba podająca się za konserwatora sieci trafi na nowego i nieprzeszkolonego pracownika dodatkowo zestresowanego ogromem pracy i nałożonymi na niego obowiązkami ma duże szanse hasła otrzymać. W takim wypadku ochrona danych osobowych przestaje działać. Zawinił najsłabszy element systemu ochrony informacji – człowiek. Wyobraźmy sobie jednak sytuację, w której potencjalny złodziej naszych danych trafia na pracownika po szkoleniu. Ten niewiele się zastanawiając informuje o incydencie administratora bezpieczeństwa informacji. Ten w porozumieniu z dyrekcją zawiadamia policję o próbie włamania do systemu informatycznego firmy. Niezależnie od wyników dalszych działań nasze dane pozostały bezpieczne i nienaruszone.

Inne ciekawe wpisy z tej grupy:

Prywatność na portalach społecznościowych

admin — Wed, 21 Apr 2010 15:42:47 +0000

Od pewnego czasu powstała moda na tzw. portale społecznościowe. Dzięki nim docieramy do naszych znajomych, przyjaciół z przed lat a także poznajemy nowych ludzi. Nie zawsze jednak zdajemy sobie sprawę z tego, co tak naprawdę dzieje się z naszymi danymi.

Zwykła codzienność. Przyszedł do nas mail, że nasz znajomy chciałby nas zaprosić do grona swoich znajomych. Uśmiechnięci i zadowoleni z faktu, że odzyskaliśmy kontakt z przyjacielem ze starej szkolnej ławy rejestrujemy się na portalu, podajemy swoje dane osobowe, zgadzamy się na wyszukanie innych znajomych. W radosnej euforii nie zwracamy uwagi na drobny szczegół. Portal przeszukał nasze adresy mailowe, komunikator, pocztę, profile w innych portalach. Dążąc do dotarcia do dawnych miłości, sympatii i przyjaźni rozszerzamy liczbę informacji, jakie przetwarza administrator portalu. Podajemy datę urodzenia, zainteresowania, umieszczamy zdjęcia z dziećmi, rodzinami, samochodami. Portal pyta czy zapoznaliśmy się z polityką prywatności. Oczywiście nie czytając nudnawych klauzul zgadzamy się. Nie interesuje na ochrona danych osobowych czy prywatność. Chcemy mieć znajomych, odzyskać kontakty, umówić się z innymi osobami podzielającymi nasze zainteresowania. Bezmyślnie klikając „tak” docieramy do grona kolejnych znajomych. Istniejemy w wielkiej internetowej społeczności. Zastanówmy się jednak przez chwilę, jakie informacje posiada administrator portalu na nasz temat. Zakładamy, że witryna jest właściwie chroniona, administrator bezpieczeństwa informacji czuwa nad ochroną prywatności. Jednak serwer lub cały portal może znajdować się w kraju, w którym prywatność nie jest ważna. I tu zaczyna się problem. Do naszych informacji docierają osoby, którym w życiu codziennym nigdy nie powierzylibyśmy informacji o statusie majątkowym, naszych dzieciach czy gronie znajomych. A w portalu dane te istnieją. Wiele informacji łatwo wywnioskować. Można np. dowiedzieć się, że w czwartki chodzimy na aerobik a nasz dom stoi pusty. Skąd to wiemy? Na forum zainteresowań korespondujemy przecież z innymi osobami zainteresowanymi tą formą wypoczynku. Polecano nam klub niedaleko naszego domu. A grupa dla dorosłych jest tylko w czwartki. Do tego chwalimy się, że nasze dziecko spędza wakacje w egzotycznym kraju i pojechało tam z babcią. Wystarczy dodać informację, że jesteśmy rozwiedzeni i wnioski nasuwają się same. Pomimo polityki prywatności nieświadomie podaliśmy tak dużą ilość danych, że dopowiedzenie sobie pozostałych informacji jest tylko kwestią logicznego myślenia. Reasumując zanim podamy w Internecie wszystkie możliwe dane na nasz temat dobrze się zastanówmy czy poza oczywistymi i przedstawionymi nam korzyściami nie działamy na własną szkodę.

Inne ciekawe wpisy z tej grupy:

Jak stracić ważne dane

admin — Sun, 14 Mar 2010 11:18:00 +0000

W pracy biurowej każdego dnia gromadzimy wiele informacji. Tworzymy zestawienia, bilanse finansowe lub piszemy raporty dla naszych przełożonych. Dokumenty te często wymagają wiele godzin a nawet dni pracy. Czy jednak zastanawiamy się, co będzie, gdy któregoś dnia okaże się, że owoc naszego wysiłku po prostu zniknie?

W czasie zwykłego dnia pracy otrzymujemy do wykonania zadania. W pracy biurowej na ogół wiąże się to ze sporządzaniem dużej ilości dokumentów, które w różnej formie przekazujemy naszym przełożonym, urzędom lub prezentujemy klientom. W dzisiejszych czasach zanim ostatecznie wydrukujemy raport lub pismo jest ono wielokrotnie sprawdzane i poprawiane. Przez długi czas gromadzimy interesujące nas informacje a następnie staramy się w przystępnej formie ująć je w postaci Np. zestawienia finansowego. Pracując w dziale sprzedaży rywalizujemy z kolegami z firmy tworząc pliki zawierające dane osobowe klientów ich adresy, telefony a nierzadko również daty urodzin i zainteresowania osób, do których chcemy dotrzeć z naszym produktem. Departamenty finansowe tworzą na potrzeby firmy statystyki, które bywają podstawą do nagród i prowizji. Osoby odpowiedzialne za rozwój przygotowują szczegółowe plany biznesowe i projekty.

W natłoku codziennej rywalizacji nie dopuszczamy nawet możliwości utraty dokumentów, skrzętnie chowając nasz dorobek zanim tryumfalnie zaprezentujemy go naszym szefom czy klientom. Utrata danych może jednak być całkiem realna. Jakie błędy popełniamy najczęściej?

Wyobraźmy sobie dużą rozbudowaną organizację. Regulamin organizacyjny opisuje departamenty i działy, nad wszystkim czuwa prezes zarządu, specjaliści od IT oraz administrator bezpieczeństwa informacji. My jednak nie mamy zaufania do polityk stosowanych przez przełożonych. Nie interesuje nas ochrona danych osobowych ani próby przekonania nas do umieszczania danych na serwerze. Codziennie po pracy skrzętnie przegrywamy ważne dokumenty na pendrive. Ostatecznie na serwerze niedokończone projekty mogą przedwcześnie zostać odkryte przez przełożonego a wtedy efekt naszej pracy straci ostatecznie element zaskoczenia, nad którym ciężko pracujemy. Rezultat takiego postępowania może być jednak znamienny w skutkach.

Przede wszystkim serwery w przeciwieństwie do stacji roboczych czy laptopów są codziennie backupowane. Jeśli przydarzy nam się awaria dysku komputera, na którym pracujemy może okazać się, że odzyskanie danych będzie po prostu niemożliwe.

Po drugie pendrivy czy dyski przenośne pomimo swoich niewątpliwych zalet takich jak przeniesienie pracy do domu, są bardzo niebezpiecznym medium. Pendrdrive łatwo zgubić lub zniszczyć. Jeśli nie posiadamy kopii danych w innym miejscu efekty pracy tracimy bezpowrotnie. A co jeśli pendrive z danymi trafi do rąk konkurencji? W takim scenariuszu możemy narazić naszą firmę na realne straty rynkowe, co nie skończy się tylko na połajance szefa…

Inne ciekawe wpisy z tej grupy:

Bezpieczeństwo danych w firmie

admin — Sun, 21 Feb 2010 17:33:26 +0000

Prowadząc przedsiębiorstwo gromadzimy ogromne ilości informacji. Przechowujemy je w segregatorach, elektronicznych bazach danych czasem nawet na karteczkach przyklejonych do komputera. Co zrobić, jeśli wśród tej ogromnej ilości wiedzy pojawią się dane poufne lub informacje chronione prawnie?

W natłoku codziennej pracy kumulujemy olbrzymie ilości danych. Zapisujemy notatki ze spotkań, wysyłamy maile, tworzymy plany działań czy też uzupełniamy bazy danych klientów. W dzisiejszych czasach dostęp do takich informacji jest bezcenny. Wraz z rozwojem komputerów i Internetu tworzone są ogromne bazy danych, do których możemy zajrzeć praktycznie z dowolnego miejsca na świecie. Posiadanie wglądu do interesujących nas wiadomości w każdej chwili i o każdym czasie pozwala na szybkie podejmowanie strategicznych decyzji i wyprzedzanie konkurencji. Jednak zbyt łatwy dostęp do danych niesie za sobą także zagrożenia. Jeśli posiadamy proste hasło lub możemy w każdej chwili niezauważeni zajrzeć do segregatora może to zrobić także ktoś nieupoważniony. Konsekwencje poznania naszych planów przez konkurencję lub wykasowania bazy danych kontrahentów mogą zaważyć o istnieniu na rynku. Czasem wręcz narazić nas na odpowiedzialność karną. Dlatego też bezpieczeństwo danych jest takie ważne. W jaki sposób poradzić sobie z ochroną danych?

Przede wszystkich powinniśmy skategoryzować nasze dane. Oddzielić informacje powszechnie dostępne od poufnych i chronionych prawnie. To pozwoli nam na ustalenie właściwego poziomu ochrony dla każdej kategorii. Dane strategiczne, dane osobowe i finansowe powinniśmy chronić najbardziej. W tym celu powinniśmy stworzyć zestaw reguł, jakich należy przestrzegać operując na tych informacjach. Instrukcje postępowania powinny szczegółowo opisywać, kiedy, kto i na jakich zasadach może mieć wgląd do danych. W przypadku elektronicznych baz danych powinniśmy precyzyjnie określić zasady zabezpieczeń i backupowania danych. Niezwykle ważną kwestią jest poinstruowanie użytkowników o konieczności cyklicznej zmiany hasła i wymogach złożoności a także informowania o podejrzeniu nieautoryzowanego dostępu lub choćby dziwnego zachowywania się komputera. Polityka bezpieczeństwa firmy powinna także zawierać plan awaryjny tak abyśmy mogli od razu poinformować odpowiednie służby lub osoby odpowiedzialne w przypadku naruszenia bezpieczeństwa naszych danych. Osobą odpowiedzialną za całą ochronę może być wyznaczony administrator bezpieczeństwa informacji. ABI będzie dbał o właściwy poziom bezpieczeństwa, aktualizował instrukcje. Do obowiązków ABI powinno należeć także uświadamianie użytkowników o zagrożeniach wynikających z pracy na chronionych danych oraz płynących stąd obowiązkach. Ważne jest, aby nasza polityka bezpieczeństwa nie stała się kolejnym dokumentem zalegającym w szufladzie prezesa, ale istniejącym i przestrzeganym procesem. W ten sposób możemy zminimalizować możliwość niekontrolowanego wycieku informacji lub ich bezpowrotnej utraty.

Inne ciekawe wpisy z tej grupy:

Jak zabezpieczyć się przed wyciekiem naszych danych osobowych

admin — Sat, 30 Jan 2010 11:48:15 +0000

Jakże często podpisując umowę ubezpieczeniową lub zawierając umowę z bankiem na prowadzenie rachunku podpisujemy stos dokumentów i umów. Przy kolejnej stronie nudnej lektury zapisów pomijamy drobne klauzule z napisem „wyrażam zgodę…” zaznaczając mechanicznie wszystkie rubryki podsuwane nam przez sympatyczną konsultantkę. Pani z miłym uśmiechem informuje nas, że zgody każdy podpisuje i nie ma to dla nas większego znaczenia. Czy rzeczywiście nie ma to znaczenia? Klauzule napisane drobnym druczkiem na umowach i ankietach powinny zawierać bardzo istotne informacje. Przede wszystkim w treści zgody posiadamy wzmiankę o tym, kto jest administratorem naszych danych a więc o tym, kto odpowiada za nasze dane osobowe. Podmiot będący administratorem danych ma obowiązek wdrożyć zabezpieczenia wymagane przez Ustawę o ochronie danych osobowych. Na system zabezpieczeń składają się wewnętrzne procedury i instrukcje oraz sposoby zabezpieczeń baz danych. Właściwa ochrona danych osobowych to również konieczność sporządzenia na nasze żądanie szczegółowych informacji m.in. na temat tego, komu nasze dane zostały udostępnione. Proces przetwarzania danych osobowych może nadzorować wyznaczony Administrator Bezpieczeństwa Informacji. Zgoda obejmuje również cel przetwarzania, czyli mówiąc potocznie, – co firma może z naszymi danymi osobowymi zrobić oraz komu nasze dane może przekazać. Najczęściej celem przetwarzania naszych danych będzie marketing towarów i usług administratora danych oraz wszelkich podmiotów powiązanych. Oznacza to, że zaznaczając kolejną „mało istotną” rubryczkę w istocie zgadzamy się, aby nasze dane osobowe wędrowały poprzez międzynarodowe korporacje i powiązane z nimi spółki, a każda z nich będzie miała prawo do zasypania nas promocjami i ofertami. W takich warunkach dane mogą w łatwy sposób trafić do osób niepowołanych i co gorsza za naszą zgodą. Dlatego też, jeśli nie musimy nie zgadzajmy się na każdą „mało istotną” klauzulę. Jeśli klauzule te są bez znaczenia to i konsultantka nie będzie się przy nich upierać a my zyskamy większą kontrolę nad naszą prywatnością.

Inne ciekawe wpisy z tej grupy:

Ochrona danych a bezpieczeństwo informatyczne

admin — Mon, 18 Jan 2010 17:12:22 +0000

W codziennej pracy biurowej często napotykamy utrudnienia związane z dostępem do danych. Dział IT wymyśla nowe sposoby na utrudnianie nam życia takie jak comiesięczna konieczność zmiany hasła lub ciągłe aktualizowanie systemu. Czasem zdarza się nawet, że nie możemy trzymać danych kontaktowych naszych klientów w zwykłym Excelu, ale wymaga się trzymania numerów telefonów w systemach CRM, do których także musimy pamiętać skomplikowane hasła. Pomijając kwestie organizacyjne spróbujmy przyjrzeć się sytuacji prawnej danych, jakie przetwarzanych w naszych systemach informatycznych. Dane osobowe to zgodnie z definicją Ustawy o ochronie danych osobowych wszelkie informacje, poprzez które możemy zidentyfikować osobę fizyczną. „Wszelkie” znaczy, że jeśli wiemy, kto kryje się za informacjami, które posiadamy – dysponujemy danymi osobowymi tej osoby. „Przetwarzanie” jest to, zgodnie z Ustawą, każda czynność wykonywana na danych osobowych a więc także i przetrzymywanie ich w systemie informatycznym. Ustawa o ochronie danych osobowych nakłada na każdego administratora danych obowiązek zabezpieczenia przetwarzanych danych. Funkcje nadzoru sprawuje Administrator Bezpieczeństwa Informacji chyba, że podmiot przetwarzający sam pełni te obowiązki. Bezpieczeństwo informatyczne przetwarzanych danych osobowych opisane zostało w Rozporządzeniu Ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Jakie wymagania musi spełniać taki system? Jeżeli nasza sieć podłączona jest do Internetu a w naszej bazie znajdują się dane osobowe każda aplikacja, w której są takie dane musi posiadać 8 znakowe hasło o odpowiedniej złożoności. Ponadto administrator danych musi zadbać o zabezpieczenie przed programami szpiegującymi oraz kontrolę ruchu pomiędzy naszą siecią oraz Internetem. Brak takich zabezpieczeń może spowodować konsekwencje karne dla administratora, ale także dla osób niestosujących się do wymagań Administratora Bezpieczeństwa Informacji

Inne ciekawe wpisy z tej grupy: