Formą wypełnienia obowiązku informacyjnego ciążącego na przedsiębiorcy jest publicznie dostępna polityka prywatności. Jest to dokument opisujący jakie dane przedsiębiorca przetwarza, w jakim celu, jak długo czy jakim podwykonawcom dane przekazuje. RODO stawia tylko jeden warunek dotyczący realizacji obowiązku informacyjnego – forma przekazu ma być jasna i zrozumiała dla odbiorcy. Dlatego oprócz tradycyjnych regulaminów możemy też spotkać polityki prywatności w formie piktogramów i innych graficznych form przekazu. Niezależnie od tego, jaką formę przekazu wybierzesz, musisz pamiętać, że polityka prywatności nie jest zbiorem życzeń. Nie może opisywać tego, co chcielibyśmy z danymi osobowymi robić tylko to, co rzeczywiście robimy. 

Często w polityce prywatności zawartych jest sporo szczegółów technicznych opisujących wykorzystywane systemy teleinformatyczne czy zasady postępowania osób zatrudnionych. Warto czasem wyjść z butów przedsiębiorcy i spojrzeć od strony konsumenta czy wszystkie informacje umieszczone w dokumencie niosą dla niego konkretną wartość, czy może jedynie bez potrzeby rozbudowują objętość dokumentu. Szczegółowe zapisy, w przypadku gdy ich nie spełniamy, mogą być też przyczyną nałożenia na nas kar przez UODO w przypadku kontroli i utraty wiarygodności, gdyby doszło do wycieku danych.

Przyjrzyjmy się zatem kilku zapisom, które można w politykach prywatności spotkać – zarówno od wartości merytorycznej ich umieszczania, jak i informatycznej strony ich spełnienia. Pamiętaj, proszę, że za to, co znajduje się w dokumencie, odpowiadasz Ty jako przedsiębiorca i musi ona odzwierciedlać sposób, w jaki Twoja firma działa oraz jak budujesz jej wizerunek. Dobrze skonstruowana polityka prywatności jest elementem wizerunkowym.

Kopie bezpieczeństwa

W celu ochrony danych Administrator regularnie wykonuje kopie bezpieczeństwa.

Na pewno cieszy fakt, że administrator wykonuje co najmniej okresowe kopie bezpieczeństwa posiadanych danych czy świadczonych usług – szczególnie gdyby były to usługi on-line, które zakupiliśmy w formie subskrypcji. Należy jednak zadać sobie pytanie, jak patrzeć na taki, zalecany nawet w Rozporządzeniu, proces?

Wykonywanie kopii zapasowej danych, jej przechowywanie, odtwarzanie danych z kopii zapasowej oraz usuwanie kopii zapasowej to cztery czynności związane z przetwarzaniem danych osobowych. Na pewno zatem powinniśmy ująć te czynności w Rejestrze Czynności Przetwarzania. Dyskusyjne zaś pozostaje czy robimy kopię zapasową, aby chronić powierzone nam dane osobowe, czy raczej własny interes jako administratora. W moim przekonaniu administrator danych osobowych wykonuje kopię bezpieczeństwa dla siebie, aby w przypadku awarii sprzętowej móc odtworzyć posiadane dane. Kopia zapasowe mogą też pomóc oszacować skalę wycieku danych osobowych, jeżeli w następstwie ataku hackerskiego dane zostaną z systemu IT firmy skopiowane, a następnie usunięte.

Należałoby też pomyśleć, czy wykonywanie samych czynności nie będzie obniżało bezpieczeństwa danych. Należy w tym celu zrozumieć, w jaki sposób działa sam proces tych czterech czynności. Tu łatwo o bolesny błąd. Przykładowo – przyjmijmy, że bazę danych klientów wraz z adresami do korespondencji przechowujemy w pliku Excela na służbowym komputerze. Dostęp do urządzenia chronionym silnym hasłem i włączyliśmy szyfrowanie dysku twardego. Można w takim wypadku zapewne uznać, że spełniamy obecne wymogi bezpiecznego przechowywania plików. Kopię zapasową tej bazy wykonujemy raz na tydzień. Nagrywamy plik z bazą na płytę CD, którą następnie stawiamy na półce we własnym biurze. Mimo że wykonaliśmy kopię zapasową, to tak naprawdę obniżyliśmy bezpieczeństwo powierzonych nam danych osobowych. Mimo iż na komputerze stosujemy szyfrowanie dysku twardego, to kopia pliku na płycie CD została wykonana bez żadnego szyfrowania. Co więcej, płyta stoi na półce w biurze, zatem nie można powiedzieć, by była odpowiednio zabezpieczona przed niepowołanym dostępem.

W podobny sposób jako przedsiębiorca musisz myśleć, gdy kopia zapasowa wykonywana jest do usługi znajdującej się w chmurze publicznej. Sama chmura publiczna nie jest groźna, lecz łatwo popełnić błąd w ustawieniach zabezpieczeń. W tym miejscu należałoby przede wszystkim sprawdzić, w jaki sposób operator usługi zabezpiecza przechowywane kopie zapasowe i kontroluje dostęp do nich. Szyfrowanie zarówno transmisji danych z i do naszego komputera, jak i samych danych zapisanych na jego nośnikach to rzecz obowiązkowa. Operator, który nie ma jasnej, przejrzystej i weryfikowalnej polityki w tym obszarze powinien do razu być zdyskwalifikowany. Warto też rozważyć stosowanie własnego klucza szyfrującego, na co pozwala wiele usług tego typu – dzięki temu mamy gwarancję, że nawet pracownicy usługodawcy nie będą mogli odczytać naszej kopii zapasowej.

Moi pracownicy zmieniają hasła

W celu ochrony danych osobowych Administrator i pracownicy okresowo zmieniają swoje hasła.

Zmiana hasła Administratora lub pracownika albo wdrożenie polityki związanej z czasem ważności, stopniem komplikacji czy historią haseł to nie są czynności związane z przetwarzaniem danych osobowych. Zatem jako przedsiębiorcy nie mamy obowiązku informować o tym osoby, które nam swoje dane powierzyły. Często jednak takie zapisy znajdują się w polityce prywatności – moim zdaniem jest to zabieg wizerunkowy, który może się potencjalnie obrócić przeciwko przedsiębiorcy.

Jeszcze parę lat temu odpowiednia polityka haseł, w tym ich ważność i wymogi dotyczące skomplikowania hasła (ilość wymaganych znaków, konieczność zastosowania dużych i małych liter, cyfr, znaków specjalnych) stawiana była za podstawowy mechanizm bezpieczeństwa i kontroli dostępu. Do dziś wiele standardów, na przykład PCI-DSS odnoszący się do firm procesujący płatności, wymaga, by hasła zmieniać minimum co 90 dni. Prowadziło to do sytuacji, w której hasło stawało się utrudnieniem dla pracownika, a jak wiadomo jak coś przeszkadza należy niewygodny wymóg obejść. W jaki sposób zapamiętać często zmieniające się hasło? Na przykład zmieniając je co miesiąc wykorzystując do tworzenia hasła odpowiedni łatwy do zapamiętania szablon. Najprostszy to połączyć miesiąc i rok. W ten sposób hasłem pracownika w momencie publikacji artykułu mogłoby być „Czerwiec2019”. A co gdy administrator dodał konieczność stosowania znaków specjalnych? Nic trudnego, „Czerwiec2019!” nadal łatwo zapamiętać. Domyślasz się jakie hasło będzie ustawione za miesiąc?

Obecnie rekomendacje wiodących instytucji zajmujących się bezpieczeństwem takich jak National Institute of Standards and Technology (NIST), jak i ekspertów na co dzień zajmujących się tą tematyką idą w innym kierunku niż częsta zmiana hasła. Nawet Microsoft w ostatnich zaleceniach dotyczących najlepszych praktyk zabezpieczania systemu Windows nie rekomenduje już częstej zmiany hasła. Oczywiście, zalecenia nie polegają na wyłączeniu tej metody autentykacji użytkownika. Rekomenduje się dodanie drugiego składnika w postaci zmieniającego się 6-cyfrowego PIN-u odczytywanego z aplikacji na telefonie, potwierdzenia logowania w aplikacji telefonicznej, włożenia tokenu sprzętowego, czy tokena U2F. Tego typu drugi składnik jest wszystkim dobrze znany i wymagany choćby do potwierdzenia bankowej dyspozycji przelewu czy logowania do systemu bankowego lub Profilu Zaufanego. W takim wypadku, nawet gdy atakujący system pozna hasło nadal nie będzie się mógł zalogować, dopóki nie wprowadzi drugiego składnika. Metoda ma oczywiście swoje wady i jak każdy mechanizm nie gwarantuje stuprocentowej ochrony, niemniej zapewnia wyższy stopień ochrony niż samo, szczególnie nieskomplikowane hasło.

Niemniej ważne jest to, by nie stosować tego samego hasła do więcej niż jednego systemu. Aby Ty i Twój pracownik nie musieli pamiętać, albo co gorsza notować haseł i były one odpowiednio długie, skomplikowane i najlepiej losowe warto korzystań z managerów haseł. Są to aplikacje, które działają jak sejf przechowujący hasła do systemów – my musimy znać tylko jedno hasło, to otwierające sejf. 

No dobrze, ale dlaczego umieszczanie takiego zapisu w polityce bezpieczeństwa to zły pomysł? Po pierwsze możesz odstraszyć część świadomych klientów pokazując, że aktualne wytyczne są Ci obce albo, że oszczędzasz na bezpieczeństwie polegając tylko na hasłach. W przypadku wycieku danych i kontroli, gdyby wyszło na jaw, że rzeczywiście jedyną metodą zabezpieczenia dostępu były hasła biegły informatyk mógłby wykazać słabe strony lub wręcz udowodnić, że przyczyniło się to do udanego ataku. Zwiększa to poziom Twojej winy jako administratora i prawdopodobnie wysokość nałożonej kary. RODO mówi wprost, między innymi w treści artykułu 32, że „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”. Próba zaoszczędzenia paru złotych może się kosztownie zemścić.

Wyślij mi e-book i informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.pl, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO