Przejdź do treści

Zapobieganie naruszeniom prywatności i reagowanie na nie wg Office of the Privacy Commissioner of Canada

Nie powiem nic odkrywczego, jeśli powiem „ ochrona prywatności ma nie tylko twarz RODO”.

Polecam Wam szczerze w poszukiwaniu dobrych praktyk oglądanie się na wiedzę i praktykę pozaeuropejskich instytucji. Przykład na potwierdzenie moich tez, to publikacja Biura Komisarza ds. Prywatności Kanady, zestawienie praktyk w zakresie zapobiegania naruszeniom prywatności oraz postępowania w przypadku ich wystąpienia. Opracowanie jest z września 2018r. a jakże aktualne i jakże uniwersalne.

Komisarz ds. prywatności Kanady‎‎ jest ‎‎rzecznikiem praw obywatelskich‎‎ i urzędnikiem ‎‎parlamentu Kanady‎‎. Komisarz bada skargi dotyczące naruszeń federalnej ‎‎ustawy o ochronie prywatności‎‎, która dotyczy ‎‎danych osobowych‎‎ przechowywanych przez ‎‎rząd Kanady‎‎ lub ‎‎ochrony danych osobowych i dokumentów elektronicznych Act‎‎ (PIPEDA), która zajmuje się danymi osobowymi przechowywanymi w federalnie ‎‎regulowanych branżach sektora prywatnego‎‎.
‎Komisarz ds. prywatności jest uprawniony do ‎‎przeprowadzania audytów‎‎, publikowania informacji na temat praktyk przetwarzania danych osobowych w sektorze publicznym i prywatnym, prowadzenia ‎‎badań nad‎‎ kwestiami prywatności oraz promowania świadomości i zrozumienia kwestii prywatności ze strony społeczeństwa.

ZROZUMIEĆ ZAGROŻENIA, PRZED KTÓRYMI STOISZ

DOWIEDZ SIĘ, JAKIE DANE OSOBOWE POSIADASZ, GDZIE ONE SĄ I CO Z NIMI ROBISZ. Inwentaryzacja danych i mapy procesów pozwolą dokładnie określić, jakie dane osobowe należy chronić, a także kiedy i gdzie należy je chronić. Kiedy i gdzie gromadzone są dane osobowe? Gdzie te informacje są przekazywane? Kto ma do nich dostęp i co z nimi robi? Zanim zaczniesz chronić swoje dane, musisz je poznać!

POZNAJ SWOJE SŁABE PUNKTY. Przeprowadzenie oceny ryzyka i podatności na zagrożenia i/lub testów penetracyjnych w organizacji, aby zapewnić identyfikację zagrożeń dla prywatności. Nie skupiaj się jednak tylko na słabych punktach technicznych. Czy strony trzecie zbierają dane osobowe w Twoim imieniu bez odpowiednich zabezpieczeń? Czy używasz papierowych formularzy zgłoszeniowych, które są przesyłane do centralnej lokalizacji (ich utrata oznacza, że nie będziesz wiedział, kim są osoby, których dotyczą, ani jak je powiadomić)? Czy po modernizacji systemów stare systemy i bazy danych pozostają aktywne, nie są chronione ani łatane? Zidentyfikuj słabe punkty swojej organizacji, zanim naruszenie zidentyfikuje je za Ciebie!

POZNAJ SWOJĄ BRANŻĘ. Bądź świadomy naruszeń w swojej branży. Atakujący często ponownie wykorzystują te same ataki przeciwko wielu organizacjom. Zwracaj uwagę na alerty i inne informacje od stowarzyszenia branżowego lub innego źródła wiadomości branżowych – nie bądź kolejnym podatnym na atak celem!

MYŚL NIE TYLKO O HAKERZE

SZYFRUJ LAPTOPY, KLUCZE USB I INNE NOŚNIKI PRZENOŚNE. Organizacje często koncentrują się na naruszeniach prywatności spowodowanych przez hakerów, ale w ten sposób pomijają niektóre kluczowe zagrożenia. Prawdopodobnie najczęstszym rodzajem naruszenia, któremu można zapobiec, jest utrata lub kradzież niezaszyfrowanych laptopów, kluczy USB i innych nośników przenośnych. W wielu z tych incydentów zastosowanie odpowiednio silnego szyfrowania mogłoby sprawić, że naruszenie prywatności, które trafiło na pierwsze strony gazet, stałoby się drobnym problemem!

OGRANICZ GROMADZENIE I PRZECHOWYWANIE DANYCH OSOBOWYCH. Powinieneś wiedzieć nie tylko, dlaczego zbierasz poszczególne dane osobowe, ale także dlaczego je przechowujesz. Tam, gdzie to możliwe, nie należy zbierać danych osobowych. Na przykład w większości przypadków uwierzytelniania tożsamości wystarczy zobaczyć, ale nie zapisywać dane identyfikacyjne danej osoby. Ponadto, jeśli dane osobowe są gromadzone tylko w ograniczonych celach, po ich spełnieniu należy się ich pozbyć w bezpieczny sposób. Zawsze pamiętaj: nie można stracić tego, czego się nie ma!

NIE ZANIEDBUJ KOŃCA ŻYCIA DANYCH OSOBOWYCH. Ważne jest, aby chronić dane osobowe przez cały cykl ich życia – w tym często pomijany koniec ich życia. Jasno określ swoje zasady i procedury bezpiecznego niszczenia danych osobowych i upewnij się, że są one przestrzegane. Nie pozwól sobie na ryzyko naruszeń spowodowanych przez dokumenty pozostawione podczas przeprowadzki lub wyrzucone do śmieci, a także przez niewłaściwe wymazanie informacji z wyrzuconych lub poddanych recyklingowi urządzeń elektronicznych. Podobnie jak bohaterowie filmów akcji, dane osobowe mają tendencję do przetrwania i ponownego pojawiania się, gdy ich zniszczenie nie zostanie doprowadzone do końca!

PRZESZKOL SWOICH PRACOWNIKÓW. Zasady mogą być skuteczne tylko wtedy, gdy osoby odpowiedzialne za ich wdrażanie i przestrzeganie są świadome ich treści, powodów ich istnienia oraz konsekwencji zaniedbania swoich obowiązków. Należy wdrożyć programy ciągłych szkoleń i podnoszenia świadomości w zakresie ochrony prywatności i bezpieczeństwa, które wykraczają daleko poza ćwiczenia polegające na „odhaczaniu pól”. Pracownicy, którzy w pełni rozumieją swoje role i obowiązki w zakresie ochrony danych osobowych, mogą być jedną z najlepszych linii obrony organizacji przed naruszeniem prywatności!

OGRANICZENIE I MONITOROWANIE DOSTĘPU DO INFORMACJI OSOBISTYCH. Dostęp pracowników do danych osobowych powinien być ograniczony do niezbędnego zakresu, zwłaszcza gdy są to informacje wrażliwe. Dzięki temu można mieć pewność, że nie staną się oni przyczyną naruszenia, czy to przypadkowo, czy celowo. Podobnie, monitorowane dzienniki dostępu mogą pomóc w identyfikacji nietypowych zachowań i potencjalnie zapobiec incydentowi przed jego wystąpieniem lub na wczesnym etapie. Nie obciążaj swoich pracowników większą ilością informacji, niż jest im to potrzebne do wykonywania pracy!

ALE NIE ZAPOMINAJ TEŻ O HAKERACH

UTRZYMUJ AKTUALNE OPROGRAMOWANIE I ZABEZPIECZENIA. To podstawa bezpieczeństwa: jeśli nie zabezpieczasz się przed znanymi lukami w zabezpieczeniach, znacznie zwiększasz prawdopodobieństwo naruszenia bezpieczeństwa. Należy ustanowić systematyczne, udokumentowane procesy zapewniające terminowe stosowanie poprawek związanych z bezpieczeństwem oraz usuwanie z systemu oprogramowania, które nie jest już używane. Należy również upewnić się, że definicje wirusów i złośliwego oprogramowania powiązane z oprogramowaniem antywirusowym i anty-malware są aktualne, umożliwiając im regularne aktualizacje. Działaj z prędkością napastników!

WDRAŻAJ I MONITORUJ SYSTEMY ZAPOBIEGANIA I WYKRYWANIA WŁAMAŃ. Pierwszym celem organizacji jest zapobieganie włamaniom i w tym celu należy dysponować odpowiednimi systemami. W rzeczywistości jednak nawet przy najlepszych zabezpieczeniach system może zostać naruszony. Środki takie jak systemy wykrywania włamań, zapory sieciowe i dzienniki audytowe mogą pomóc w identyfikacji i reagowaniu na naruszenia prywatności, zanim dojdzie do ich eskalacji – pod warunkiem, że zwraca się na nie uwagę. Upewnij się, że zabezpieczenia stosowane do monitorowania działań w sieci lub systemie oraz ograniczania zagrożeń zostały właściwie wdrożone i są proaktywnie monitorowane. Nie polegaj tylko na strażnikach, których postawiłeś przy bramie; wiedz, co dzieje się wewnątrz Twoich murów!

OGRANICZANIE SKUTKÓW NARUSZENIA I WSTĘPNA OCENA

Powinieneś podjąć natychmiastowe, zdroworozsądkowe kroki w celu ograniczenia naruszenia.

NATYCHMIAST POWSTRZYMAĆ NARUSZENIE (np. zaprzestać nieuprawnionych praktyk, odzyskać dokumentację, wyłączyć system, który został naruszony, unieważnić lub zmienić kody dostępu do komputera lub usunąć słabe punkty w zabezpieczeniach fizycznych lub elektronicznych).

WYZNACZ ODPOWIEDNIĄ OSOBĘ DO PROWADZENIA WSTĘPNEGO DOCHODZENIA. Osoba ta powinna mieć odpowiedni zakres kompetencji w organizacji, aby przeprowadzić wstępne dochodzenie i sformułować wstępne zalecenia. W razie potrzeby może być wymagane bardziej szczegółowe dochodzenie.

USTALENIE POTRZEBY ZEBRANIA ZESPOŁU, w skład którego mogą wchodzić przedstawiciele odpowiednich działów przedsiębiorstwa.

USTALENIE, KTO NA TYM WSTĘPNYM ETAPIE POWINIEN ZOSTAĆ POINFORMOWANY O INCYDENCIE wewnętrznie, a także potencjalnie zewnętrznie. Odpowiednio eskalować wewnętrznie, w tym poinformować osobę w organizacji odpowiedzialną za zgodność z zasadami ochrony prywatności.

Nie należy ograniczać możliwości zbadania naruszenia. NALEŻY UWAŻAĆ, ABY NIE ZNISZCZYĆ DOWODÓW, które mogą być cenne przy ustalaniu przyczyny lub umożliwić podjęcie odpowiednich działań naprawczych.

ZAPOBIEGANIE PRZYSZŁYM NARUSZENIOM: Po podjęciu natychmiastowych kroków w celu ograniczenia ryzyka związanego z naruszeniem, organizacje muszą poświęcić czas na zbadanie przyczyny naruszenia i rozważenie, czy należy opracować plan zapobiegania. Poziom wysiłku powinien odzwierciedlać znaczenie naruszenia oraz to, czy było to naruszenie systemowe, czy odosobniony przypadek. Plan ten może obejmować następujące elementy:
1. audyt bezpieczeństwa zarówno fizycznego, jak i technicznego;
2. przegląd polityk i procedur oraz wszelkie zmiany odzwierciedlające wnioski wyciągnięte z dochodzenia i regularnie wprowadzane po jego zakończeniu (np. polityki bezpieczeństwa, zasady przechowywania i gromadzenia dokumentacji itp.
3. przegląd praktyk szkoleniowych pracowników; oraz iv) przegląd partnerów świadczących usługi (np. dealerów, sprzedawców detalicznych itp.).

Kompilacja i redakcja treści: Patrycja Żarska-Cynk https://www.s2g.pl
Źródła zdjeć: Freepik (www.freepik.com)
Źródła informacji: Przedstawiony materiał stanowi robocze tłumaczenie, przygotowane przez SAFETY2gether Usługi Doradcze Patrycja Żarska-Cynk, artykułu dostępnego w oryginale na stronie https://www.priv.gc.ca/en/privacy-topics/business-privacy/safeguards-and-breaches/privacy-breaches/respond-to-a-privacy-breach-at-your-business/c-t_201809_pb/
Autorzy źródłowych informacji nie odpowiadają za opinię i sposób wykorzystania opublikowanych przez nich oryginalnych treści.

masz pytania? ten problem dotyczy Ciebie? umów się na konsultację link do Sesje Konsultacyjne