cyberzagro┼╝enia

Cyberzagro┼╝enia, czyli jak chroni─ç firm─Ö przed wyciekiem danych?

dr Katarzyna Schmidt ÔÇô Kwieci┼äska, Uniwersytet SWPS

Share on facebook
Share on twitter
Share on email
Share on linkedin
Share on facebook
Share on twitter
Share on email
Share on linkedin

Stale ro┼Ťnie liczba niebezpiecze┼ästw w cyberprzestrzeni. Rozw├│j nowych technologii generuje powstawanie luk w systemie ochrony danych w przedsi─Öbiorstwach.

Dynamika tych proces├│w uniemo┼╝liwia stworzenie jednolitego katalogu adekwatnych zabezpiecze┼ä. Obowi─ůzuj─ůce przepisy nie przystaj─ů do obecnego stanu nowych technologii. Przedsi─Öbiorcy musz─ů mierzy─ç si─Ö z zagro┼╝eniami wynikaj─ůcymi z korzystania z sieci publicznych, przechowywaniem danych w chmurze, instalowaniem oprogramowania w telefonach i tabletach, korzystaniem z urz─ůdze┼ä przeno┼Ťnych. Brak podstawowych procedur
i mechanizm├│w w wielu firmach prowadzi do powtarzaj─ůcych si─Ö incydent├│w zwi─ůzanych z wyciekiem danych.

Czy masz ochotę spłacać cudzy kredyt? Zapewne nie. Jak się zabezpieczyć, gdy zgubimy dowód osobisty lub mamy podejrzenie, że nasze dane wpadły w niepowołane ręce?

Prawo(1) nak┼éada na przedsi─Öbiorc├│w przetwarzaj─ůcych dane osobowe szereg obowi─ůzk├│w zwi─ůzanych z ich ochron─ů. Administrator Danych Osobowych ma swobod─Ö wyboru ┼Ťrodk├│w ochrony ale jest zobowi─ůzany wybra─ç takie, kt├│re zapewni─ů poziom bezpiecze┼ästwa odpowiedni do zagro┼╝e┼ä oraz charakteru danych obj─Ötych ochron─ů, przy uwzgl─Ödnieniu stanu wiedzy w tej dziedzinie oraz koszt├│w realizacji. W ustawie brakuje jednak skonkretyzowanego katalogu czynno┼Ťci, kt├│re administrator powinien zrealizowa─ç, aby w pe┼éni zabezpieczy─ç dane w formie elektronicznej. (2) Na poziomie prawodawstwa europejskiego r├│wnie┼╝ nie odnajdujemy skonkretyzowanego, zamkni─Ötego katalogu zabezpiecze┼ä, kt├│rych wprowadzenie by┼éoby jednoznaczne ze spe┼énieniem cho─çby minimalnego standardu ochrony danych w przestrzeni informatycznej. (3)

Jakie skutki niesie za sob─ů pomy┼éka w cenie na aukcji internetowej? Jak radzi─ç sobie z b┼é─Ödami na aukcji? Jak mo┼╝na uwolni─ç si─Ö od skutk├│w umowy zawartej pod wp┼éywem b┼é─Ödu? Przeczytaj WI─śCEJ.

Zestawienie ze sob─ů wymog├│w ustawodawcy z zabezpieczeniami stosowanymi w wielu polskich przedsi─Öbiorstwach prowadzi do konkluzji, ┼╝e wykorzystywane metody s─ů nieodpowiednie oraz niewystarczaj─ůce. Jednym z powod├│w takiego stanu rzeczy jest wyst─Öpowanie w ustawie jednolitego miernika dla wszystkich administrator├│w bez r├│┼╝nicowania ze wzgl─Ödu na wielko┼Ť─ç przedsi─Öbiorstwa oraz form─Ö prawn─ů prowadzenia dzia┼éalno┼Ťci. Mo┼╝e to prowadzi─ç do wniosku, ┼╝e jednakowe ┼Ťrodki zabezpieczenia powinien wprowadzi─ç zar├│wno mikroprzedsi─Öbiorca dzia┼éaj─ůcy w formie jednoosobowej jak i du┼╝a sp├│┼éka akcyjna. Pomimo, ┼╝e dysponuj─ů oni r├│┼╝nymi mo┼╝liwo┼Ťciami organizacyjnymi oraz bud┼╝etem na wdra┼╝anie rozwi─ůza┼ä informatycznych, zobligowani s─ů do zapewnienia w r├│wnym stopniu bezpiecze┼ästwa danych w przestrzeni informatycznej.

Administrator danych osobowych nie uzyska zatem od ustawodawcy oparcia w postaci skonkretyzowanych wytycznych wskazuj─ůcych konieczne do wdro┼╝enia sposoby zabezpieczenia danych elektronicznych. Przy doborze adekwatnych metod musi wi─Öc polega─ç na swojej wiedzy oraz posiada─ç odpowiednie rozeznanie w istniej─ůcych rozwi─ůzaniach informatycznych.

Dylematy te staj─ů si─Ö szczeg├│lnie wa┼╝ne w kontek┼Ťcie planowanego za dwa lata (4) rozporz─ůdzenia Parlamentu Europejskiego i Rady, kt├│re na┼éo┼╝y na administratora obowi─ůzek uwzgl─Ödnienia najnowszych osi─ůgni─Ö─ç technicznych oraz koszt├│w wdro┼╝enia rozwi─ůza┼ä w zakresie ochrony danych osobowych zar├│wno w momencie ustalania ┼Ťrodk├│w niezb─Ödnych do przetwarzania, jak i podczas przetwarzania przy wdro┼╝eniu odpowiednich ┼Ťrodk├│w i procedur technicznych i organizacyjnych, w taki spos├│b by przetwarzanie gwarantowa┼éo ochron─Ö praw podmiotu danych. Takie sformu┼éowanie akcentuje konieczno┼Ť─ç dynamicznego doskonalenia si─Ö administratora danych osobowych w obszarze nowych technologii. Jest zobowi─ůzany do znajomo┼Ťci i monitorowania nowych zagro┼╝e┼ä i rozwi─ůza┼ä im zapobiegaj─ůcym. Przywo┼éane rozporz─ůdzenie akcentuje ci─ůg┼éo┼Ť─ç dzia┼éa┼ä administratora w obszarze ochrony danych.

Niew─ůtpliwie kwestia ochrony danych osobowych w zwi─ůzku z wej┼Ťciem w ┼╝ycie unijnego rozporz─ůdzenia stanie si─Ö istotnym wyzwaniem dla polskich przedsi─Öbiorc├│w. Istotn─ů konsekwencj─ů unijnej reformy jest tak┼╝e zaostrzenie kar dla przedsi─Öbiorc├│w, kt├│rzy b─Öd─ů gromadzi─ç i udost─Öpnia─ç dane w spos├│b sprzeczny z przepisami. Oczekiwanie wzgl─Ödem administratora danych osobowych
w zakresie znajomo┼Ťci najnowszych technologii sk┼éoni wiele firm do powo┼éania Administratora Bezpiecze┼ästwa Informacji. Takie rozwi─ůzanie pozwoli delegowa─ç obowi─ůzki zwi─ůzane z ochron─ů danych na osob─Ö, kt├│ra posiada stosown─ů wiedz─Ö w tym zakresie. Umo┼╝liwi tak┼╝e sta┼ée podnoszenie kwalifikacji ABI w zakresie nowych technologii, zgodnie z wymogami rozporz─ůdzenia.

dr Katarzyna Schmidt ÔÇô Kwieci┼äska, radca prawny, Uniwersytet SWPS Wroc┼éaw

***

(1) Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2015 r. poz 2135 z p├│┼║n. zm.)

(2) Pewne standardy wprowadza za┼é─ůcznik do rozporz─ůdzenia Ministra Spraw Wewn─Ötrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunk├│w technicznych i organizacyjnych jakim powinny odpowiada─ç urz─ůdzenia i systemy informatyczne s┼éu┼╝─ůce do przetwarzania danych (Dz. U. z 2004 r. Nr 100, poz. 1024). Wymienione w za┼é─ůczniku poziomy bezpiecze┼ästwa: podstawowy, podwy┼╝szony i wysoki wydaj─ů si─Ö niewystarczaj─ůce. W─ůtpliwo┼Ťci co do adekwatnych sposob├│w zabezpiecze┼ä w ┼╝aden spos├│b nie rozstrzyga dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 pa┼║dziernika 1995 r. w sprawie ochrony os├│b fizycznych w zakresie przetwarzania danych osobowych i swobodnego przep┼éywu tych danych.

(3) Art. 17 ust. 1 dyrektywy obliguje ADO do wprowadzenia odpowiednich ┼Ťrodk├│w technicznych i organizacyjnych w celu ochrony danych.

(4) Zast─ůpienia dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 pa┼║dziernika 1995 r. w sprawie ochrony os├│b fizycznych w zakresie przetwarzania danych osobowych i swobodnego przep┼éywu tych danych rozporz─ůdzeniem w sprawie ochrony os├│b fizycznych w zwi─ůzku z przetwarzaniem danych osobowych i swobodnym przep┼éywem takich danych (og├│lne rozporz─ůdzenie o ochronie danych) (Art. 23 ust. 1)

Zarejestruj si─Ö aby otrzyma─ç newsletter

 

Na tej stronie wykorzystujemy cookies. Uzyskujemy do nich dost─Öp w celach analitycznych oraz w celu zapewnienia prawid┼éowego dzia┼éania strony. Je┼╝eli nie wyra┼╝asz na to zgody, mo┼╝esz zmieni─ç ustawienia w swojej przegl─ůdarce. Zobacz wi─Öcej w Polityce Prywatno┼Ťci.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close