magazyn-firma

RODO wprowadzone zostało w polskim prawie w 2018 roku, ale w ciągu ostatnich kilku lat doczekaliśmy się kilkunastu nowelizacji prawa ochrony danych osobowych. Nic dziwnego że kursy RODO oraz szkolenia RODO cieszą się niesłabnącą popularnością. Co jednak warto wybrać? Szkolenia czy kursy RODO?

RODO

Co to jest RODO? Rozporządzenie Ogólne o Ochronie Danych Osobowych czyli RODO weszło w życie w całej Unii Europejskiej oraz w Polsce w maju 2018 roku. Zadaniem RODO jest uregulować i ujednolicić przetwarzanie danych osobowych na terenie Unii Europejskiej. Wejście w życie RODO wprowadziło cały szereg zmian do zasad przetwarzania danych osobowych. Dla osób fizycznych RODO wprowadza prawo dostępu do danych, prawo do bycia zapomnianym, a także prawo do przenoszenia i poprawiania danych osobowych. Dla przedsiębiorców natomiast RODO wprowadziło ściśle określone zasady zabezpieczenia i przechowywania danych osobowych, reguły informowania konsumentów o zasadach przetwarzania ich danych osobowych, uzyskiwania zgody na przetwarzanie danych osobowych oraz prowadzenia  dokumentacji przetwarzania danych. Zasady te są na tyle złożone, że wraz z wejściem RODO powstało zapotrzebowanie na liczne szkolenia RODO oraz kursy RODO, zarówno dla pracowników mających do czynienia z przetwarzaniem danych osobowych, jak i dla inspektorów ochrony danych osobowych.

Każda kolejna nowelizacja RODO wymaga zapoznawania się ze zmianami prawnymi, a następnie implementacji ich w postaci odpowiednich procedur czy zmian w systemach informatycznych. W celu zapewnienia dostępu do informacji jakie zmiany wchodzą oraz jakie działania powinny zostać podjęte przez przedsiębiorców powstały specjalistyczne szkolenia oraz kursy RODO.

Dlaczego RODO i ochrona danych osobowych są tak ważne dla przedsiębiorców?

Z punktu widzenia administratora danych osobowych ich ochrona jest ważna przede wszystkim ze względu na ewentualne konsekwencje prawne i finansowe, a także wizerunkowe. RODO przewiduje dotkliwe kary pieniężne w przypadku naruszenia przepisów o ochronie danych osobowych – mogą one wynosić nawet do 20 mln euro. Poza karami administracyjnymi finanse firmy mogą być dotknięte również na drodze postępowań cywilnych wytaczanych przez ofiary naruszenia przepisów o ochronie danych osobowych (czyli osoby, których dane wyciekły lub trafiły w niepowołane ręce). Administratorzy danych osobowych mogą też podlegać odpowiedzialności karnej za uchybienia, jak też nie można zapominać, że wyciek danych osobowych może negatywnie wpływać na wizerunek przedsiębiorcy i powodować utratę zaufania do firmy i spadek liczby klientów.

Jakie szkolenia RODO oraz kursy RODO dostępne są na rynku?

Rynek szkoleniowy oferuje cały szereg szkoleń oraz kursów z RODO i ochrony danych osobowych. Warto poświęcić chwilę na zrozumienie oferty w tym zakresie, tak aby wybrane szkolenie RODO lub kurs spełniły nasze oczekiwania. Pomocne w wyborze kursu RODO może być też skorzystanie z możliwości porównania ofert przygotowanych przez różne firmy szkoleniowe i organizatorów szkoleń z ochrony danych osobowych. Możliwość taką stwarzają portale szkoleniowe publikujące informacje o nadchodzących szkoleniach, kursach, konferencjach czy webinarach dotyczących RODO. Jedną z takich list znajdziemy TUTAJ , gdzie zgromadzono ponad setkę różnych szkoleń i kursów RODO, wraz informacjami o terminach, programie zajęć, cenach i warunkach uczestnictwa.

Forma szkolenia RODO:

Grupa docelowa szkolenia RODO, kursu RODO:

Czym są dane osobowe?

Mówiąc o ochronie danych osobowych, należy w pierwszej kolejności zdefiniować, czym one tak naprawdę są. Według RODO danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest z kolei ktoś, kogo tożsamość można określić na podstawie numeru identyfikacyjnego lub też ze względu na unikalne czynniki określające jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Według tej definicji za dane osobowe nie zawsze uważa się pojedyncze informacje, ponieważ często nie pozwalają one na identyfikację konkretnego człowieka – chyba że zestawi się je z innymi informacjami. Prawo nie określa jednak dokładnie, jakie informacje należy poddać ochronie wymaganej dla danych osobowych, dlatego podmioty przetwarzające tego typu informacje muszą w wielu przypadkach samodzielnie dokonywać oceny w tym zakresie.

Ochrona danych osobowych – czego wymaga prawo?

Pod pojęciem ochrony danych osobowych rozumiemy czynności mające zapobiec utracie, wyciekowi lub niepowołanemu dostępowi do nich, a więc zapewnienie bezpieczeństwa informacji osobowych, a także całego systemu przetwarzania informacji tego typu. Dlatego każdy podmiot, który dysponuje danymi osób fizycznych (zarówno pojedynczymi informacjami, jak i całymi zbiorami), ma według aktualnych przepisów obowiązek podjęcia wymaganych środków zapobiegawczych. Co ważne, regulacje prawne dotyczące ochrony danych osobowych nie precyzują, jakie zabezpieczenia należy wykorzystywać – wszystko zależy bowiem m.in. od rodzaju i rozmiaru jednostki organizacyjnej, która administruje danymi. Dlatego każda firma musi dobierać stosowane metody zgodnie ze swoimi potrzebami. Uzyskanie adekwatnego poziomu zabezpieczeń należy do architekta systemu przetwarzania danych. W zbudowanym przez niego systemie dane muszą być:

Ponadto ważne jest uzyskanie świadomej zgody danej osoby na przetwarzanie jej danych osobowych.

Wszystkie te kwestie i wymogi prawne poznać można w trakcie odpowiedniego szkolenia RODO bądź kursu RODO. Dobre dobranie szkolenia do potrzeb przedsiębiorstwa ma kluczowe znaczenie dla osiągnięcia celów biznesowych, dla których firma decyduje się wysłać przedstawiciela na szkolenie lub kurs.

Coraz więcej firm wprowadza taki model zarządzania „flotą” firmowych komórek, by wyeliminować ryzyko jakichkolwiek wycieków danych oraz szkód wywołanych przez szkodliwe oprogramowanie. Czy takie rozwiązanie ma sens? Po co firmie MDM?

Po co firmie MDM? Czy to ma sens?

Po co firmie MDM? Coraz więcej pracowników pyta o takie rozwiązanie. Spokojnie, to nie jest zakładowy "pegasus" śledzący zatrudnionych, a zaawansowane narządzie bezpieczeństwa.

W ręce pracowników trafiają coraz lepsze telefony komórkowe, jednak coraz więcej firm rezygnuje z możliwości wykorzystania 99% ich potencjału. Zakaz instalowania aplikacji na firmowym telefonie, to już bardzo popularna praktyka. Systemy typu Mobile Device Management (MDM) ograniczają bowiem możliwość zainstalowania w nich czegokolwiek, poza aplikacją do odbioru firmowej poczty elektronicznej, czytnikiem pdf, nawigacją satelitarną. No, i może paroma innymi, ale sprawdzonymi pozycjami.

Facebook? - Tylko dla osoby obsługującej social media w organizacji. Excel? - Wyłącznie dla tych, którzy go wykorzystują w pracy. Gry? Broń Boże – zakazane pod wszelką postacią” – zdradza nam jeden z pracowników IT.

CZYTAJ TAKŻE: Telefon służbowy w firmie. Pomyśl o oprogramowaniu EMM

Złośliwość wobec pracowników? Po co firmie MDM?

Wbrew pozorom, w takiej strategii nie chodzi o to, by pokazać pracownikowi, kto tu rządzi. Nie chodzi również o efektywne wykorzystanie czasy pracy. Filozofia systemów MDM jest mocno zakorzeniona w strategiach bezpieczeństwa. Zbyt duże jest bowiem ryzyko, że jedna niewinna aplikacja, spowoduje włamanie do poczty, lokalnej sieci z projektami, bazy klientów. Zagrożeń jest zbyt wiele, a słynne RODO w tym wypadku jest wyłącznie wisienką na torcie.

Bo MDM to nie tylko szlaban na aplikacje, ale także możliwość zaszyfrowania urządzenia w przypadku jego zagubienia lub kradzieży. Dzięki temu można zminimalizować ryzyka związane choćby z RODO, ale także tajemnicą przedsiębiorstwa.

MDM a zakupy drogich telefonów

Jednoczesne stosowanie MDM, mocno ogranicza możliwości wykorzystania firmowej komórki przez… samych pracowników. Wiele firm odkryło, że takie podejście do bezpieczeństwa generuje również oszczędności. Nie ma bowiem sensu kupować flagowych smartfonów, jeśli te mają służyć co najwyżej do wykonywania połączeń głosowych i odbierania poczty elektronicznej z załącznikami. Do tego zadania „z zapasem” nadają się średniaki, czyli telefony z półki 1.200 – 2.000 złotych. W swojej ofercie mają je także renomowani producenci smartfonów.

 

MDM a wykorzystanie danych

Mocno rozbudowany MDM to także dobry powód do tego, by renegocjować umowę z operatorem i ograniczyć pakiet danych. Nie ma bowiem uzasadnienia utrzymywanie pakietu kilkudziesięciu GB miesięcznie w telefonie, który jest mocno „wykastrowany” z możliwości. Są firmy, które przechodzą w takich wypadkach na „bezpieczny” plan 10 GB. Chyba że pracownik często pracuje w terenie i wykorzystuje swój telefon jako router Wi-Fi do pracy na służbowym laptopie.

Małe firmy też korzystają z MDM

Nieprawdziwa jest teza jakoby Mobile Device Management było rozwiązaniem wyłącznie dla średnich i dużych firm. Bezpieczeństwo urządzeń mobilnych stosowanych w firmie jest szalenie ważne w małych podmiotach. Również i one narażone są na wycieki danych, a nawet ich utratę spowodowaną szkodnikami typu malware. Dlatego stosowanie MDM można rozważyć już od… jednego urządzenia w firmie pozostawionego pracownikowi obsługującemu sklep, kierowcy, czy dozorcy na nocnej zmianie. W tym jednak przypadku wiele ograniczeń można wprowadzić z pozycji ustawień samego telefonu.

SMS-y rozsyłane przez cyberprzestępców mogą spowodować nie tylko włamanie na konto bankowe użytkownika, ale także być źródłem poważnego wycieku danych z firmy! Czym jest Flubot? Wyjaśniamy.

Czym jest Flubot i dlaczego jest niebezpieczny?

Wiele osób robiąc zakupy w internecie, decyduje się na przesłanie paczki do firmy. To wygodne i przecież nieszkodliwe rozwiązanie. Część z nich wpisuje w formularzu numer swojego telefonu służbowego, aby szybko otrzymać informacje o nadejściu przesyłki. To również nic złego. Problem pojawia się wtedy, kiedy na telefon przychodzi SMS z informacją o paczce, który wcale nie pochodzi od kuriera, ale od cyberprzestępcy. Tu warto powiedzieć o tym, czym jest Flubot.

Flubot to SMS, który może mieć przeróżną treść. Ostatnio dość często raportowane są wiadomości o rzekomych przesyłkach. Są napisane w taki sposób, by do złudzenia przypominać wiadomość od kuriera np. „Twoja paczka jest w drodze. Kliknij link, by śledzić jej trasę”. Problem w tym, że spełnienie tego oczekiwania i kliknięcie wskazanego tekstu sprawi, że cyberoszuści mają nas w garści.

Jak wygląda fałszywy SMS?

Kilka przykładów takich wiadomości ostatnio ujawnił zespół ekspertów bezpieczeństwa CERT Orange Polska. Zostały poddane szczegółowej analizie. Można się z nimi zapoznać tutaj. To, co je łączy to często dziwna interpunkcja, a nawet błędy ortograficzne lub gramatyczne. Doświadczenie pokazuje, że wiele ofiar Flubotów, mimo wszystko kliknęło wskazane linki w pośpiechu. I zaczęły się problemy.

CZYTAJ TAKŻE: Tego nie przewidziało nawet RODO. Wyciek danych z firmy przez... samochód!

Flubot w firmie

Kliknięcie linku w podejrzanej wiadomości kieruje do bardzo szkodliwej aplikacji, której działanie opiera się na trojanie Flubot. Urządzenie mobilne zostaje zaatakowane. I choć głównym celem przestępców jest wykradanie danych logowania do banku osoby fizycznej, problem może dotknąć naszej firmy. Tą drogą mogą zostać wykradzione np. dane do logowania do firmowej poczty lub chmury. Niestety trojan dobiera się także do zapisanych w telefonie SMS-ów, a przez to także do kodów dwuskładnikowego uwierzytelniania.

To jednak nie wszystko. Flubot jest w stanie przejąć całą skrzynkę adresową w telefonie, czyli dane naszych kontrahentów i innych pracowników. W ten sposób może rozsyłać szkodliwe SMS-y do innych osób. Sam fakt wycieku danych jest jednak poważnym problemem z punktu widzenia RODO.

Jak ochronić firmę przed Flubotem?

Po pierwsze porozmawiaj z pracownikami. W przypadku małych firm nie jest to trudne. Jeśli nie możecie się spotkać, roześlij maila np. z linkiem do tego artykułu (nie mamy nic przeciwko) do swoich podwładnych. Wyjaśnij, że SMS-y, szczególnie przypominające wiadomości od kurierów, sklepów internetowych, gazowni czy zakładu energetycznego mogą być bardzo niebezpieczne!

Rozwiązaniem jest korzystanie z gotowych aplikacji, które mają wszystkie duże firmy kurierskie. Warto także zrezygnować w ogóle z klikania linków znajdujących się w wiadomościach SMS. Nie jest powiedziane, że kolejne wersje Flubota, nie będą podszywały się pod kuriera, a naszych bliskich i znajomych. Warto mieć oczy szeroko otwarte!

„Siara mi dał”. Pamiętacie ten kultowy cytat z "Kilera"? Niektórzy telemarketerzy na pytanie, skąd mają nasze dane osobowe, zamiast słowa „Siara” mówią CEIDG. I wiele osób może się na to nabrać. W wielu przypadkach to wierutne kłamstwo, na którym złapaliśmy pewną miłą panią dzwoniącą z niepublicznej przychodni.

CEIDG i RODO

Od maja 2018 roku mamy RODO. Ochrona danych osobowych nastręcza wielu problemów i zmartwień, jednak nikt nie wątpi w to, że jest ona potrzebna. Przedsiębiorcy prowadzący własny biznes w domu pogodzili się już z tym, że ich adres zamieszkania można wyklikać w kilka sekund w CEIDG. Można mieć wątpliwości, jak ma się to do ochrony danych, ale nie o tym dzisiaj.

CEIDG stała się bowiem słowem wytrychem dla osób, które posługują się danymi osobowymi z dziwnych źródeł. Jeśli, ktoś drogi przedsiębiorco powie Ci, że ma Twoje dane z CEIDG, Ciebie to nie zdziwi. Prosto jest więc powiedzieć niczym „Siara mi dał”, zdanie: „Pani/Pana dane pozyskaliśmy z Centralnej Ewidencji i Informacji o Działalności Gospodarczej”. Równie trudno jest z tym dyskutować, chyba że... telemarketer właśnie spudłuje.

CZYTAJ TAKŻE: Prowadzisz biznes z Chinami? Uważaj na PIPL, czyli Chińskie RODO

Słowo wytrych

Nasz redakcyjny kolega należy do mniejszości, która posiada w domu telefon stacjonarny. Właściwie zabrał go sobie razem z numerem z rodzinnego domu jakieś 10 lat temu. Poprzednią właścicielką była jego matka. Pod koniec października, na numer ten zadzwoniła kobieta z przychodni z drugiego końca Polski i poprosiła o rozmowę z (i tu padło imię i nazwisko mamy naszego kolegi).

Z czystej ciekawości, zapytał rozmówczynię, skąd posiada dane osobowe do jego mamy. Różnie mogło być. Dane mogły być przekazane przy okazji loterii, konkursu, rejestracji na akcję badań. Zapytać zawsze warto. Odpowiedź telemarketerki była totalnym zaskoczeniem.

Dane? Mamy je z CEIDG!

Kobieta przez chwilę zamilkła. Powiedziała „już sprawdzam”, po czym dodała: „Dane Pani (imię i nazwisko) mamy z Centralnej Ewidencji i Informacji o Działalności Gospodarczej”.

Wyszło szydło z worka. Mama naszego kolegi nigdy nie miała firmy i nigdy nie figurowała w CEIDG, co sprawdziliśmy raz jeszcze. Odpowiedź telemarketerki była typowym zwrotem „na odczepne”, który trudno większości osób jakoś szczególnie zweryfikoiwać.

Na co uważać podczas rozmowy z telemarketerem?

Wygląda na to, że odpowiedź ta w przypadku części osób, które prowadzą lub prowadzili w przeszłości firmę zabrzmi… bardzo wiarygodnie. A nawet wśród tych, którzy firmy nie prowadzą hasło: Centralna Ewidencja i Informacja o Działalności Gospodarczej brzmi na tyle poważne, że więcej o nic nie zapytają.

A dane osobowe w tysiącach przeróżnych baz danych, żyją sobie własnym życiem.

Chińczycy pozazdrościli Unii Europejskiej RODO i stworzyli własną kopię, żeby nie powiedzieć mutanta dobrze znanych nam przepisów. Mowa o PIPL czyli Personal Information Protection Law, który ma działać eksterytorialnie. To oznacza, że będzie dotyczył także polskich firm handlujących z Państwem Środka. Czasu na zapoznanie się z pomysłem Pekinu mamy bardzo mało.

Co to jest PIPL?

PIPL to skrót od anglojęzycznej nazwy najnowszej chińskiej ustawy „Personal Information Protection Law”. Dokładnie rzecz biorąc, pełna nazwa tego aktu prawnego to „Ustawa o ochronie danych osobowych Chińskiej Republiki Ludowej”. Dla wtajemniczonych w język Państwa Środka lub szukających źródeł podajemy oryginalny zapis ustawy: 中华人民共和国个人信息保护法.

Najprościej rzecz biorąc, nasze europejskie RODO zainspirowało polityków z Pekinu, by podobny akt prawny stworzyć dla Chińskiej Republiki Ludowej. Zasadniczo dobrze to świadczy o unijnym prawie. Na satysfakcji dobre informacje się jednak kończą, bowiem nowa ustawa może wprowadzić do relacji z chińskimi firmami nieco złożonych formalności i biurokracji.

Warto zapoznać się z nowym prawem, bowiem PIPL będzie działał EKSTERYTORIALNIE, a zatem załamanie przepisów przez polskiego administratora danych, może wiązać się z naruszeniem chińskiego prawa, a nawet spowodować niemałe problemy. Witamy w globalnej wiosce!

CZYTAJ TAKŻE: Made in Germany, czy Made in China? Handel zagraniczny w dobie pandemii.

Kiedy PIPL dotyczy firm spoza firm?

Chińczycy wzorując się na europejskim RODO, również nadali swoim przepisom dużo szerszy zasięg niż granice ich kraju.

Co do zasady, mają one dotyczyć przedsiębiorców z państw trzecich wówczas, gdy celem przetwarzania danych jest np. dostarczenie produktów lub usług osobom fizycznym w Chinach. To oznacza, że np. twórca oprogramowania, aplikacji, czy gry, która trafia do Państwa Środka, musi się liczyć z tym, że PIPL go dotyczy. Inną sytuacją jest analizowanie lub ocena działań osób fizycznych w granicach. A zatem jeśli nasza aplikacja zbiera jakiekolwiek informacje o użytkowniku jego nazwisku, lokalizacji, danych kontaktowych, również podlegamy pod PIPL.

Co więcej, Chińczycy zastrzegają, że ten katalog może być rozszerzony w każdej chwili np. ustawą czy przepisem administracyjnym.

Kiedy PIPL wchodzi w życie?

Chiński odpowiednich europejskiego RODO został przyjęty przez Komisję Stałą XIII Krajowego Zjazdu Ludowego w dniu 20 sierpnia 2021 roku. Zgodnie z przepisami zawartymi w ustawie o ochronie danych wchodzi ona w życie w niedzielę, 1 listopada 2021 roku.

Jak działa chińskie RODO?

Jeśli wiemy, na jakiej zasadzie działa RODO, nie mamy problemu z poznaniem działania PIPL. Oba akty prawne bardzo podobnie określają takie kwestie jak dane osobowe oraz ich przetwarzanie. Pekin wychodzi z założenia, że przetwarzanie danych osób fizycznych będzie legalne, kiedy administrator określi jasny oraz uzasadniony cel. To oznacza, że osoba, których danych dotyczy przetwarzanie, musi się na nie zgodzić. Skąd my to znamy!?

Zadanie dla inspektora danych osobowych

Inspektor danych osobowych w Twojej firmie powinien ocenić, czy i w jakim stopniu PIPL dotyczy także Twojej firmy. Jeśli jednak spełniasz przedstawione wcześniej przesłanki, osoba odpowiedzialna za kwestie prawne związane z ochroną danych osobowych, powinna zapoznać się z przepisami chińskimi, które wchodzą właśnie w życie i przyjąć określone procedury. Większości przypadków będą one zbieżne z tym, co znamy już z RODO.

Jak sprawdzić czy pracownik się zaszczepił? - To pytanie zadaje wielu przedsiębiorców, obawiających się czwartej fali i ewentualnego ogniska choroby w firmie. Obiecanej ustawy jednak nie ma i nie zanosi się, by szybko pojawiła się w systemie prawnym.

Kiedy pracodawca sprawdzi czy pracownik się zaszczepił

Już w połowie sierpnia pojawiły się zapowiedzi przepisów, które miały umożliwić pracodawcy sprawdzenie, czy zatrudniona w firmie osoba przyjęła szczepionkę przeciw COVID-19. Latem wielu przedsiębiorców pytało, jak sprawdzić, czy pracownik się zaszczepił. Nie było jednak racjonalnej odpowiedzi. Jest RODO, a zatem takie rozwiązanie wymaga przynajmniej dodatkowej ustawy lub poprawek w już istniejących aktach prawnych. Wygląda jednak na to, że projekt do pilnych nie należy. Jak powiedział w TVN24 Adam Niedzielski, stosowna ustawa ma być przygotowywana na „trudniejsze czasy”, a obecnie propozycje przechodzą przez „standardową ścieżkę legislacyjną”.

Wiadomo, że choć Komitet Stały Rady Ministrów zatwierdził projekt, to jednak nie obeszło się bez uwag. Propozycja wymaga bowiem dopracowania, a to oznacza, że pytanie: „jak sprawdzić czy pracownik się zaszczepił?” - pozostanie bez konkretnej odpowiedzi. Tak naprawdę, nie wiadomo nawet, czy i kiedy sprawdzenie takiej informacji w ogóle będzie możliwe.

CZYTAJ TAKŻE: Schengen? Jakie Schengen? Wyjazd służbowy w czasie COVID to misja

Nowe przepisy ws. szczepień przeciw COVID-19

Tymczasem jak wynika z wypowiedzi ministra zdrowia, pojawiły się pytania, czy ewentualnej ustawy nie rozszerzyć na wyższe uczelnie, tak by rektorzy mogli sprawdzić, którzy studenci są zaszczepieni, a którzy nie. Można sobie wyobrazić jeszcze więcej sytuacji, w których dostęp do danych o zaszczepieniu mógłby wydawać się uzasadniony. A zatem, ustawa, jeśli w ogóle wejdzie w życie będzie szerokim katalogiem uprawnień różnych grup oraz listą ustępstw od RODO.

Jak sprawdzić czy pracownik się zaszczepił? Jeszcze długo nie będzie takiej szansy.

Najwyraźniej czwarta fala przechodzi dużo łagodniej niż wynikało to z sierpniowych, czy wrześniowych prognoz. W rządzie nie widać objawów paniki, czy pośpiechu. Może więc być tak, że wspomniane uprawnienie pracodawców, będzie sobie czekało w legislacyjnej szafie i niczym bezpiecznik będzie „odpalone” np. w razie gwałtownego wzrostu zachorowań.

Póki co, niczego takiego nie obserwujemy. To oznacza, że konkretna odpowiedź na pytanie „jak sprawdzić czy pracownik się zaszczepił” by może nigdy nie padnie. Bo porostu takiej możliwości jednak nie będzie. Chyba, że pandemia znowu radykalnie przyspieszy.

Kontrowersje wokół prawa przedsiębiorców ws. szczepionek

Tak jak cały temat COVID-19 oraz szczepień przeciwko tej chorobie, również omawiana propozycja prawna budzi ogromne emocje. Wielu pracowników boi się, że ewentualne ujawnienie braku szczepień, spowoduje np. zwolnienie z pracy lub nieprzedłużenie umowy zawartej na czas określony. Już jakiś czas temu politycy zapewniali, że jeśli takie prawo wejdzie w życie, pracownicy nie powinni bać się utraty zatrudnienia. Tego typu deklaracje nie zabrzmiały jednak uspokajająco.

Argumenty pracodawców

Swoje racje mają jednak także pracodawcy, którzy zwracają uwagę, że ewentualne wystąpienie ogniska choroby na terenie firmy, może uderzyć w fundamenty jej działalności. Może się stać tak, jeśli np. większość pracowników, w krótkim czasie „wyląduje” na kwarantannie. Historia ostatnich miesięcy zna takie przypadki. W niektórych firmach spowodowało to przestoje, opóźnienia a nawet utratę klientów i konieczność wypłaty wysokich kar wynikających z umów.

W dobie rozwoju rozwiązań chmurowych pendrive w firmie traci na popularności. Choć nadal jest gadżetem, chętnie dołączanym np. do materiałów reklamowych. Coraz więcej firm, w tym również małych, wprowadza zakaz używania tego typu przenośnej pamięci. Dlaczego? Jaka jest alternatywa?

Pendrive w firmie – zasady użytkowania

Rozwiązania typu pendrive w firmie przyjęły się już na początku XXI stulecia. W czasach raczkującego internetu stały się gwoździem do trumny dla dyskietek, a niedługo później pojemniejszych nośników jak CD czy DVD. Widok pracownika biurowego z pendrive’m na smyczy nie był niczym dziwnym. Niewielki gadżet mocno uelastycznił naszą pracę. Łatwiej można było ją „zabrać do domu” lub przenieść na inny komputer w firmie. Pamiętajmy, że był to czas, w którym przesyłanie większych ilości danych siecią nie było tak łatwe jak teraz.

Alternatywa dla pendrive'a

Mocną konkurencją dla tego typu rozwiązań stały się rozwiązania chmurowe oraz systemy typu NAS, nie mówiąc już o możliwości przesyłania danych takimi narzędziami jak np. wetransfer. Pendrive na smyczy wiszący na szyi pracownika może wyglądać już co najmniej staromodnie, jeśli nie obciachowo.

Tymczasem, abonament miesięczny lub roczny u dostawcy pamięci w chmurze osiągnął już dawno akceptowalne poziomy. 2 TB w iCloud kosztują dziś 39,99 PLN na miesiąc, czyli niecałe 480 zł rocznie. Z kolei za konkurencyjną chmurę Microsoftu za 1 TB rocznie zapłacimy 299,99 rocznie w ramach usługi 365 Professional. Jak to się ma do kosztów pendrive’a za kilkadziesiąt złotych, na którym spokojnie zmieścimy setki dokumentów czy arkuszy kalkulacyjnych? Tu sprawa nie rozbija się o cenę. Nie chodzi nawet o wygodę (choć to ważne), ale bezpieczeństwo danych.

CZYTAJ TAKŻE: NAS CZY PLIKI W CHMURZE?

Dlaczego zakazać pendrive w firmie

Specjaliści od bezpieczeństwa sieci firmowych zaznaczają, że dopuszczenie do używania nieograniczonej liczby pendrivów zarówno prywatnych, jak i służbowych w informatycznym ekosystemie organizacji, to droga do totalnej utraty kontroli nad danymi. W ten sposób wiele informacji można nie tylko łatwo „wynieść” poza jej mury. Ogromne niebezpieczeństwo wiąże się na przykład z zagubieniem miniaturowego nośnika. O konsekwencjach takiego zdarzenia pisaliśmy tutaj, na przykładzie… Sądu Rejonowego w województwie łódzkim, którego prezes musi zapłacić sporą karę. Powód: zgubiony pendrive przez pracownika

Co ciekawe nie mówimy tylko o dużych firmach, które często już mają za sobą rozwiązanie tego problemu przez zakaz lub ograniczenie używania pendrivów do jedynie zabezpieczonych przez IT nośników (np. poprzez szyfrowanie). Coraz więcej małych firm świadomie rezygnuje z pendrivów, z wymienionych wcześniej powodów.

Praca zdalna z danymi

Chmura rozwiązuje szereg problemów związanych z zarządzaniem danymi. Umożliwia także nadawanie uprawnień dla poszczególnych pracowników oraz zawężenie kręgu osób, które posiadają dostęp do tak ważnych informacji jak np. baza klientów, plany inwestycyjne czy oferty. Czas pandemii stał się dla wielu przyspieszonym kursem pracy na odległość, której fundamentem są zapisane w chmurze dane. Przy okazji trzeba było rozwiązać szereg problemów jak np. zabezpieczenie wrażliwych informacji. Jeszcze mocniej upowszechniło się stosowanie takich zabezpieczeń jak dwuetapowa weryfikacja czy VPN, którego popularność w firmach wzrosła o co najmniej 60%.

Zgubienie służbowego pendrive`a może słono kosztować. I choć dopuszcza się tego pracownik, odpowiada za to właściciel.

Nie wystarczy jedynie wydać polecenia. Jeśli nie przypilnujesz pracownika, możesz zapłacić wysoką karę. Chodzi o przepisy RODO, a konkretnie te, związane z koniecznością zabezpieczenia nośników danych. Przekonał się o tym prezes jednego z sądów, który musi zapłacić 10 tys. złotych.  

Kto powinien zabezpieczyć nośniki danych?

Zgodnie z RODO odpowiedzialność za ochronę danych ponosi ich administrator. Jeśli prowadzisz firmę, to Ty jesteś więc za to odpowiedzialny. Nie wystarczy, że powiesz pracownikom, by odpowiednio zabezpieczali nośniki z danymi klientów, czy dostawców.

Nawet jeśli wydasz takie polecenie na piśmie i zostanie ono podpisane, odpowiedzialność spada na Ciebie.

Prezes jednego z sądów rejonowych w województwie łódzkim, sam nie zabezpieczał służbowych nośników, na których znajdowały się dane. Polecił jednak pracownikom, by dokonali tego we własnym zakresie. Jak tłumaczy UODO – „Tymczasem to on, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiednie bezpieczeństwo danych”.

CZYTAJ TAKŻE: Tego nie przewidziało nawet RODO – wyciek danych z Twojej firmy może nastąpić przez… samochód

W tej sytuacji UODO nałożyło na prezesa karę administracyjną w wysokości 10 tysięcy złotych.

Kara za zgubienie pendrive’a

Wszystko zaczęło się od zgłoszenia samego prezesa sądu, który zgodnie z przepisami poinformował organ nadzorczy o naruszeniu przepisów ochrony danych osobowych. Jeden z pracowników sądu, konkretnie kurator sądowy, zgubił niezaszyfrowanego pendrive’a, na którym zapisane były dane czterystu osób, które podlegają nadzorowi kuratorskiemu. Stosowny komunikat o naruszeniu znalazł się nawet na stronie internetowej sądu.

Niestety, nieszczęsny pendrive nie został dotąd znaleziony. To oznacza, że osoby nieuprawnione mogą mieć dostęp (choć nikt takiego faktu nie stwierdził) do danych osobowych, które zostały na nim zapisane.

Administrator danych zawsze jest winny?

Administrator danych wyjaśnił, że w kierowanej przez niego instytucji wdrożony jest system ochrony danych osobowych i są ustanowione odpowiednie zasady. Wszelka dokumentacja jest aktualizowana i podlega audytowi inspektora ochrony danych. Mało tego – administrator wyjaśnił, że pracownicy sądu przeszli szkolenia stacjonarne oraz e-learningowe. Wprowadzane były dyżury oraz kontrole prowadzone przez inspektora i… Według UODO to za mało. Odpowiedzialność za taki stan rzeczy nadal ciąży na administratorze. W tym przypadku prezesa sądu rejonowego.

Czy wystarczy zobowiązać pracownika do zabezpieczenia danych?

Zgodnie z dokumentami, które posiadał administrator, obowiązek zabezpieczenia nośników spoczywał na ich użytkownikach, czyli pracownikach przetwarzających i przechowujących dane. Tymczasem zdaniem UODO, „takie podejście nie jest właściwe”.

Jak wyjaśnia urząd w komunikacie do tej sprawy „Postępowanie wykazało, że administrator  naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim”. Zatem tak, czy inaczej, winny całego zamieszania jest administrator.

UODO zwróciło uwagę m.in. na fakt, że w tej konkretnej sprawie, administrator nie wskazał pracownikom przykładowych zabezpieczeń, jakie mogą być zastosowane. Nie każdy z zatrudnionych musi mieć wiedzę w tym obszarze.

Konsekwencje zgubienia służbowego pendrive’a

W tym przypadku, kara 10 tys. złotych była i tak niska. UODO podaje, że przy jej wymierzaniu, wzięto pod uwagę okoliczność łagodzącą wynikającą z dobrej współpracy prezesa sądu z nadzorcą oraz działaniami, które docelowo miały złagodzić ewentualne negatywne skutki incydentu z pendrivem.

 

Rozporządzenie RODO, ochrona danych osobowych to pojęcia, które są z nami już od dłuższego czasu. Wciąż jednak pojawiają się pytania czy pracodawca może przekazywać numer telefonu pracownika

Czy numer telefonu pracownika jest daną osobową?

Odpowiedź na to pytanie będzie zależała od tego, czy numer, o którym mówimy wpisany jest jako telefon służbowy, czy jest to raczej numer prywatny. Jeśli udostępniamy pracownikowi telefon służbowy, do którego przypisany jest określony numer, to tak jak sam telefon (urządzenie) jest własnością firmy, tak i numer jest daną służbową.

CZYTAJ TAKŻE: Telefon służbowy w 5G – gdzie już można korzystać? (województwa)

I nie ma tu znaczenia, czy telefon ten jest abonamentowy, czy prepaid. Pracownik w tej sytuacji jest wyłącznie użytkownikiem i ponosi za telefon służbowy odpowiedzialność. W takiej sytuacji numer telefonu służbowego będzie związany z pracą i w związku z tym nie trzeba pytać o zgodę na jego udostępnienie.

Prywatny numer telefonu pracownika

W przypadku, gdy pracownik korzysta w pracy z prywatnego numeru, to sprawa nie jest już tak oczywista. Nawet wtedy, gdy wykorzystuje ten numer używając w trakcie rozmów telefonu (urządzenia) należącego do firmy.

Zdecydowanie najlepiej w takim przypadku będzie ustalenie sposobu dysponowania takim numerem telefonu przez firmę. Dobrze jest by pracownik wyraził zgodę na to by jego prywatny numer znalazł się na wizytówce firmowej, czy firmowej stronie internetowej.

Pracownik podaje swój numer. Czy można go udostępniać?

Wyobraźmy sobie sytuację, że pracownik podaje swój numer telefonu bo np. bierze udział w rekrutacji. Czy jego prywatny numer możemy udostępnić na zewnątrz? Może się wydawać, że tak, skoro przy CV kandydat zgodził się na przetwarzanie danych osobowych. Prawo jednak jest tu bardzo jednoznaczne. Jeśli pracownik przekazał numer podczas rekrutacji, to tylko w takiej sytuacji może być on przetwarzany.

Jeśli chcemy na wizytówce umieścić numer telefonu prywatnego pracownika, to potrzebujemy do tego specjalnej zgody.

Czy można podać prywatny numer pracownika?

Pracownik może w każdym momencie odwołać zgodę na przekazywanie prywatnego numeru telefonu . Jeśli więc pracownik dostaje telefony związane z pracą po godzinach, to ma prawo złożyć pismo z prośbą o to by zaprzestać przetwarzania danych, czyli numeru telefonu.

Służbowy numer telefonu

Właśnie dlatego dobrym rozwiązaniem jest przekazywanie pracownikom służbowych numerów telefonów. W takiej sytuacji mamy bowiem nieograniczoną praktycznie możliwość przekazywania tych numerów. Po zakończeniu współpracy, pracowników musi oddać służbowy telefon ale i firmowy numer co pozwala zachować ciągłość działań.

 

Brzmi to zupełnie nieprawdopodobnie, jednak ten problem może dotyczyć każdego z nas, jeśli tylko używamy nowoczesnego samochodu, który potrafi połączyć się z naszym telefonem. Auto przeznaczone do kasacji, może stać się skarbnicą danych o Twojej firmie! To, co swego czasu „wydobyli” z rozbitej Tesli specjaliści od cyberbezpieczeństwa jeży włosy na głowie.

Połączenie bluetooth aktywowane. Wybierz numer

Powyższe zdanie usłyszało wielu z nas. Wygodne prawda? Wsiadamy do auta, parujemy jego komputer z naszym telefonem i w wygodny sposób za pośrednictwem zestawu głośnomówiącego, możemy prowadzić rozmowy, nawijając na koła kolejne kilometry służbowych wyjazdów. Rzecz jasna każdy samochód działa pod tym względem inaczej.

Wszystko zależy od systemu. Warto jednak sprawdzić, jakie dane, w jaki sposób i gdzie konkretnie są zapisywane. W przeciwnym razie w sytuacji, w której odsprzedamy samochód dalej, oddamy komuś w użytek lub wyrzucimy na złom, może się okazać, że nasze dane, mogą trafić w niepowołane ręce.

Auto oddane do kasacji skarbnicą danych

Swego czasu świat obiegła informacja podawana przez amerykańskie media (m.in. CNBC) o rozbitej Tesli 3, którą eksperci od cyberbezpieczeństwa kupili tylko po to, by sprawdzić jakie dane można „wyciągnąć” z jej komputera pokładowego. Rezultat poszukiwań prawdopodobnie przeszedł ich najśmielsze oczekiwania. Okazało się, że komputer pokładowy posiadał dane zapisane z co najmniej 17 różnych urządzeń. Dodajmy tylko, że dane nie były zaszyfrowane.

Ustalono, że telefony komórkowe lub tablety „parowały się” z samochodem około 170 razy. Wrak oddany na złom nadal posiadał zapisanych 11 książek telefonicznych z kontaktami i informacjami, jakie znajdowały się na urządzeniach kierowców i pasażerów, którzy łączyli swoje telefony z komputerem pokładowym. Poza tym znaleziono wpisy do kalendarzy wraz z opisami oraz adresami mailowymi zaproszonych gości na zaplanowane spotkania. Dziennikarze skontaktowali się z częścią z osób, które sparowały swoje urządzenia z feralnym autem, weryfikując w ten sposób ich autentyczność.

CZYTAJ TAKŻE: Czy można upublicznić dane dłużnika? Co z RODO?

Zapisane dane posiadały także 73 cele podróży wraz z adresami m.in. klubu golfowego. Pewnie kolekcja danych jeszcze rosłaby w siłę i w objętość, gdyby nie wypadek. Wypadek, w wyniku którego doszczętnie został zniszczony samochód, ale nie zostały zniszczone zapisane w nim dane…  Trudno powiedzieć ile gigabajtów takich wrażliwych informacji, każdego roku trafia na złomowisko lub „zmienia” właściciela.

Instrukcja obsługi pozycją obowiązkową. Bo RODO

Czego uczymy się z tej historii? M.in tego, że warto przeczytać instrukcję obsługi samochodu oraz zapoznać się z systemami i rodzajem danych zapisywanych gdzieś w pamięci komputera pokładowego. Warto poznać to miejsce. Chociażby po to, by w momencie odsprzedaży samochodu lub oddania go na złom, nie odjechały od nas cenne dane, które tak wiele mogą powiedzieć o naszych kontrahentach czy naszym biznesie. To po pierwsze.

CZYTAJ TAKŻE: 10 pomysłów na prosty biznes dla młodej mamy

Po drugie, zabezpieczenie się przed taką ewentualnością może wymagać co najwyżej przywrócenia ustawień fabrycznych w momencie zbycia pojazdu – dokładnie tak samo jak dzieje się w przypadku telefonu komórkowego.

RODO. Czy powstanie nowa usługa usuwania danych z auta?

Tak jak przed sprzedażą samochodu, oddajemy go na myjnię oraz zlecamy czyszczenie tapicerek, może okazać się, że powinniśmy zastanowić się jak usunąć dane zapisane gdzieś na nośnikach pamięci. Niewykluczone, że pojawią się firmy, które będą oferowały taką możliwość.

Co ciekawe, coraz więcej przedsiębiorców decyduje się na profesjonalną i fizyczną utylizację dysków twardych z komputerów, kart pamięci i pendrive’ów używanych w pracy zawodowej, bowiem jak wiemy, samo skasowanie danych nie powoduje, że wprawiony specjalista nie będzie w stanie ich odzyskać. Być może pojawią się usługodawcy, którzy profesjonalnie wyczyszczą nośniki danych znajdujące się w systemie komputera pokładowego samochodu. Może już są? Jeśli tak, dajcie, prosimy znać.

CZYTAJ TAKŻE: Sprzedajesz samochody? Musisz znać ten trend.

Koszt wygody

Oczywiście producenci, oferując nowoczesne technologie, w tym parowanie telefonu z samochodem, mają na względzie naszą wygodę. Wiele marek w przemyślany sposób podchodzi do tego problemu. Komputery pokładowe nie zawsze importują dane z telefonu, a jedynie pośredniczą lub bardziej wspomagają jego obsługę w czasie jazdy. Niemniej warto dokładnie to sprawdzić w instrukcji obsługi lub zapytać o to specjalistów. Choćby dlatego, że dane powinny zostać utajnione dla naszego dobra oraz z powodu bardzo restrykcyjnego prawa, jakim jest RODO.

 

 

 

Magazyn Firma

Magazyn Firma to serwis dla przedsiębiorców sektora MŚP. Prosto, konkretnie i praktycznie pokazujemy to, co ciekawe w zarabianiu pieniędzy.

Odwiedź nas na:

Magazyn Firma 2022. All Rights Reserved.
magnifier