Za ochronę danych osobowych odpowiadają przede wszystkim administratorzy danych, czyli osoby zarządzające organizacjami. Warto jednak pamiętać, że do przestrzegania przepisów zobowiązane są także wszystkie osoby, które pracują lub współpracują z daną firmą i przetwarzają w jej imieniu dane osobowe. Według przeprowadzonego przez Fundację Wiedza To Bezpieczeństwo badania, 42% osób uważa, że w firmach, z którymi są związani, incydenty bezpieczeństwa danych osobowych nigdy się nie zdarzyły.
Stan wiedzy pracowników
Prawie połowa zatrudnionych (48%) wskazuje, ryzyko kradzieży jako średnie – wynika z raportu, a prawie jedna trzecia (30%) jako niskie. Dość optymistycznie brzmiące odpowiedzi respondentów wynikają z zaufania do pracodawców i stosowanych przez nich metod ochrony danych, lub z własnej znajomości zagrożeń.
– Ankietowani w 42% stwierdzili, że incydenty związane z ochroną danych osobowych nigdy nie zdarzyły się w ich organizacjach, a 32% wskazało, że nie wie o takich sytuacjach. Wyniki mogą świadczyć o braku zdefiniowanej ścieżki obsługi incydentów bezpieczeństwa informacji w firmie, bądź też o niewielkiej wiedzy, czym te incydenty są – mówi Maciej Kaczmarski, Fundacja Wiedza To Bezpieczeństwo.
Wyprzedzając incydenty
Świadomość aktywnych zawodowo jest różna. Wynika to głównie z polityki organizacji, która ich zatrudnia. Dlatego w każdym przedsiębiorstwie warto rozważyć wdrożenie procedur związanych z zarządzaniem incydentami i zobowiązać osoby pracujące do stosowania zasad bezpieczeństwa:
- Hasła do komputerów, kont czy poczty, na których przechowywane są dane osobowe powinny być szczególnie chronione. Nie chodzi tu tylko o przekazanie hasła, np. koledze w pracy, ale również o pozostawianie karteczek z hasłem, doczepianych do ekranu komputera czy schowanych pod klawiaturą. Hasło w takim wypadku nie pełni już funkcji zabezpieczającej.
- Komputery, po opuszczeniu stanowiska, muszą zostać odpowiednio zablokowane. Ogranicza to bowiem możliwość korzystania z niego przez osoby nieuprawnione.
- Należy przestrzegać tzw. zasady czystego biurka. Wszystkie niepotrzebne dokumenty powinny być niszczone w niszczarce, pozostałe chowane, np. w zamykanej szufladzie.
- Dane osobowe (np. dane kadrowe) powinny być przetrzymywane w zamykanych szafach i w zabezpieczonych pomieszczeniach.
- Każdy pracownik powinien zachować ostrożność ujawniając jakiekolwiek dane osobowe podczas rozmowy telefonicznej. Należy zawsze weryfikować tożsamość rozmówcy.
– Zgodnie z art. 51 ustawy o ochronie danych osobowych, za niedopełnienie powyższych obowiązków, grozi kara grzywny, kara ograniczenia wolności lub w najgorszym przypadku kara pozbawienia wolności do dwóch lat. Sankcje za nieumyślne naruszenie obowiązków są niższe. Sprawcy grozi kara grzywny, kara ograniczenia wolności lub kara pozbawienia wolności do roku – dodaje Maciej Kaczmarski, Fundacja Wiedza To Bezpieczeństwo.