Ochrona danych osobowych jako aspekt ważny, jednak bardzo pomijany w biznesie
Autor: Krzysztof Krawczyk
Postanowiłem napisać ten artykuł, aby przybliżyć Ci instytucję Generalnego Inspektora Danych Osobowych, jako wstęp do uregulowania w Twoim biznesie spraw związaną z ochroną danych. Obecnie wiele słyszy się na temat działalności GIODO przy różnego rodzaju akcjach.
Otóż Polska jako państwo członkowskie Unii Europejskiej musi przestrzegać dyrektywy 95/47/WE dotyczącej ochrony danych osobowych. W 1997 roku weszła w życie ustawa na ten temat, natomiast w marcu bieżącego roku znowelizowano ją . Zwiększyła ona pozycję Generalnego Inspektora do respektowania tej ustawy od przedsiębiorców. Wdrożenie ochrony danych osobowych w swojej firmie, w mojej ocenie, powinno być wstępem do profesjonalnego podejścia do bezpieczeństwa informacji.
Ile jest wart Twój komputer
Robiąc wdrożenia w firmach swoich Klientów, zauważyłem, że powierzają oni informację, które są dla nich warte sporą sumę pieniędzy. Większość osób myśli jednak, że wartość utraconego komputera nie jest wysoka, więc po co się zabezpieczać. Zgoda – dziś komputery nie są drogie. Ile kosztuje Twój komputer? 2 tyś, 3 tyś, 5 tyś zł? A ile warte są dla Ciebie dane, które się tam znajdują? Można rzec, jak w jednej reklamie – bezcenne. Otóż, o ile samo urządzenie kosztuje niewiele, o tyle wartość danych znajdujących się na nim jest dużo większa. Wyobraź sobie, że piszesz biznesplan firmy, która da Tobie przychody rzędu setek tysięcy złotych i nagle gubisz ten komputer lub pada on łupem złodzieja. Mówiąc krótko, trafia w niepowołane ręce. Wydostanie tych informacji z niezabezpieczonego komputera jest łatwe, wystarczyłoby tylko zaszyfrować dysk odpowiednim programem. Kolejną sprawą są kopie bezpieczeństwa, które chronią nas przed utratą danych. Są to jedne z nielicznych kwestii, jakie powinna zawrzeć firma budująca swoją markę w dokumencie o nazwie Polityka Bezpieczeństwa Informacji.
Jak myślisz, czy firma Sony bez swoich procedur nie odczułaby utraty swoich zysków po niedawnym wycieku danych ze swojej sieci ?
Kolejnym przykładem może być pewna firma z Polski produkująca mięso i wędliny. Parę lat temu dziennikarze wykryli, co robi się z tymi produktami, na pewno słyszałeś o tym przypadku. Efektem tego była konieczność zmiana marki, która nie kojarzyłaby się z tamtą. Kilka lat budowania pozycji poszło na marne. Akurat w tym przypadku nie bronię nikogo, jednak chciałbym uzmysłowić Tobie, Drogi Czytelniku, jak ważne są procedury bezpieczeństwa informacji w biznesie.
Ile kosztują dane osobowe z Twojej bazy
Handel danymi osobowymi kwitnie w Internecie od lat. Przyjmuje się, że wartość jednego rekordu bazy jest warta od 2,50 zł do 5 zł w zależności od tego, co się na nim znajduje. Ile rekordów ma Twoja baza ?
Właśnie instytucja taka jak GIODO została powołana po to, aby stać na straży tego, aby dane osobowe Twoich Klientów, które powinny być dla Ciebie najcenniejsze, nie wyciekały do osób niepowołanych.
Opracowanie Polityki Bezpieczeństwa Informacji na potrzeby rejestracji zbioru danych nie jest rzeczą trudną i skomplikowaną, ponieważ ograniczenie zabezpieczeń do minimum, jakie są w stosownych aktach prawnych, nie wymaga od nas dużych środków finansowych i nakładu pracy. Mając jednak na uwadze to, co napisałem wcześniej, wypada podnieść poprzeczkę.
Możesz mieć super strategie marketingowe przyciągające Klientów, jednak konkurencja nie śpi. Żyjemy w czasach, w których informacja jest najbardziej pożądanym towarem i wielu jest w stanie zapłacić za niego wiele. Czym będą te strategie, kiedy w pewnych okolicznościach trafią one w ręce Twojej konkurencji ?
Moja recepta
Rozwiązaniem tych dylematów bez względu na to na jaką skalę prowadzisz swój biznes powinieneś się zainteresować wprowadzeniem Polityki Bezpieczeństwa Informacji. Posiadając dobrze skonstruowany dokument, nie straszne będzie Tobie GIODO, widmo kar i ich kontroli. Działaj legalnie, obowiązek rejestracyjny baz istnieje, choć są od tego oczywiście wyjątki (Art. 43 ust. 1 ustawy o ochronie danych osobowych), jednak nie zwalnia on Ciebie od przestrzegania zasad ochrony danych osobowych.
Sama klauzula nie wystarczy
Większość firm wychodzi z założenia, że umieszczenie w swoich serwisach standardowej formułki „Wyrażam zgodę na przetwarzanie danych osobowych dla firmy w celach itd.” załatwia sprawę. Niestety, tak nie jest. Przetwarzając dane osobowe bez względu na to, czy rejestracja zbioru jest wymagana lub nie, nakłada na nas pewne inne obowiązki jakim jest:
- Posiadanie Polityki Bezpieczeństwa Informacji firmy, w którym przedstawimy zbiór spójnych procedur i instrukcji, jak należy postępować przy przetwarzaniu danych osobowych oraz co robić w przypadku ich utraty.
- Wyznaczenie osoby, która będzie pełniła nadzór nad respektowaniem tego dokumentu w firmie.
- Zaprowadzenie odpowiedniej ewidencji osób uprawnionych do przetwarzania danych osobowych.
Wdrażając ochronę danych osobowych w firmie, można zbudować bardzo mocne zaufanie Klienta do naszego sklepu, serwisu itp. Ucz się od największych. Wszystkie te wymagania spełniają liderzy na rynku. Czy będzie to największy serwis aukcyjny, czy polski serwis społecznościowy, czy firma rejestrująca domeny internetowe. Mógłbym tak wymieniać długo. Warto porównywać się do najlepszych. Wdrożenie ochrony danych osobowych wymaga od nas tylko trochę wysiłku i samozaparcia, a efekty będą wymierne przez lata.
Krzysztof Krawczyk, niezależny konsultant ochrony danych osobowych oraz doradca bezpieczeństwa IT. Tworzę swój blog na temat ochrony danych osobowych oraz zagadnień prawnych w biznesie
Licencjonowane artykuły dostarcza Artelis.pl.
Dość piękne słowa dotyczące urzędów, które mają chronić nasze dane osobowe, jednak prawda często jest zupełnie inna. Zauważono, że istnieje w dalszym ciągu tzw. handel bazami klientów do różnych firm, które wydzwaniają do nas z różnymi usługami. Teoretycznie nie wyraziliśmy na to zgody w umowie, aby nasze dane przekazywać firmom zewnętrznym, ale dziwnym trafem nasz numer telefonu krąży po tych zewnętrznych instytucjach, które proponują wiele rzeczy za niby tak niewiele. No cóż, nie wiem czy jest to prawnie jakoś uzasadnione, że mimo braku zgody dane sobie po prostu gdzieś krążą po różnych firmach, a ja o tym nie wiem. Czy pomoże tu adwokat? Wrocław to miasto z możliwościami, więc myślę, że w razie potrzeby dobrego prawnika można znaleźć. Mimo wszystko liczyłabym na odpowiedź w sprawie takiego procederu. Czy on jest legalny?
OdpowiedzUsuń