GDPR nadchodzi, a z ochroną danych krucho

Wydawać by się mogło, że ogromne kary stojące za złamaniem zasad GDPR podziałają dyscyplinująco na firmy przechowujące i przetwarzające dane osobowe.

W końcu to wejścia w życie tej regulacji zostało 10 miesięcy. Nic bardziej mylnego. Poziom bezpieczeństwa danych nie wszędzie się poprawił, a co jeszcze gorsze poziom świadomości zarządów jest niski.

Świadczy o tym kilka poniższych przykładów. Wydaje się, że chyba musi dojść do kilku pierwszych kar nałożonych w związku z GDPR żeby firmy zaczęły myśleć o tym na poważnie. Jeśli zarząd nie jest pewien, jak się do tego przygotować, może skorzystać z usług firm zewnętrznych, takich jak Mediarecovery. W przypadku większych organizacji zalecamy zainteresowanie się GRC.

Przykład pierwszy:

Automobil Association w Wielkiej Brytanii. Na początku tego miesiąca pojawiły się informacje o wycieku danych o 117 tysiącach klientów. Dane „wyciekły” z 13GB kopii zapasowej. Jak tłumaczył szef AA, Edmund King, cała sprawa jest nieistotna, bo dane nie były poufne i były dostępne tylko „kilka razy”…

Co ciekawe, dane o których mowa obejmowały pełne imiona i nazwiska, adresy fizyczne, adresy IP oraz historię zakupów w sklepie AA. To zdecydowanie zostałoby zakwalifikowane jako dane osobowe w kontekście GDPR.

Przykład drugi:

WWE, rozpoznawalna marka globalna koncentrująca się wrestlingu. Kilka tygodni temu firma ujawniła dane 3 milionów klientów znajdujących się w dwóch bazach. Jedna z nich dotyczyła klientów z Europy. Tym razem problem dotyczył Amazon Web Services, używanego przez WWE.

Wśród ujawnionych danych były również te najbardziej wrażliwe, jak wykształcenie, zarobki, pochodzenie etniczne, adresy domowe, adresy e-mail, daty urodzin, wiek i płeć dzieci. Także tym razem oficjalne oświadczenie WWE dalekie jest od zrozumienia problemu ochrony danych. Firma uznała, że skoro nie było w tej bazie haseł i danych kart kredytowych to nie ma tu żadnego problemu.

Przykład trzeci:

Pokazuje, że również w Polsce nie jest najlepiej z ochroną danych osobowych. W połowie czerwca media informowały o swobodnym dostępie do serwera Samodzielnego Publicznego Zakładu Opieki Zdrowotnej w Kole. Zawierał m.in. informacje o 50 tysiącach pacjentów w tym imiona, nazwiska, numery PESEL, numery ubezpieczenia, informacje o grupach krwi. Na serwerze były też informacje o przebiegach badań – np. rejestr chorób zakaźnych dzieci w latach 2014-2017.

Co więcej wśród dokumentów na tym serwerze znalazły się również informacje o pracownikach i numerach ich kont bankowych, na które przelewano im wynagrodzenie. W ubiegłym roku Deloitte przeprowadził badanie szpitali w 9 krajach. Wynika z nich jednoznacznie, że większość z nich nie ma polityk bezpieczeństwa regulujących zasady ochrony danych pacjentów.

Governance, Risk, Compliance

W tym miejscu warto raz jeszcze wrócić do GRC, które łączy w sobie zarówno rozwiązania techniczne, jak i te prawno-organizacyjne. Opisuje zestaw najlepszych praktyk i narzędzi służących do zarządzania przedsiębiorstwem w trzech wymiarach biznesowych: zarządzanie organizacją (normy i procedury), ryzyko (w szczególności operacyjne) i zgodność (z prawem i wymaganiami).

W kontekście regulacji unijnej, GRC jest optymalnym rozwiązaniem dla dojrzałych i dostatecznie dużych firm, ze szczególnym uwzględnieniem bankowości i finansów.

2018-02-06T15:32:34+00:002017/07/19|
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <