Jak pracownicy powinni zabezpieczyć dane przesyłane elektronicznie
Prowadzenie korespondencji mailowej stanowi obecnie trzon codziennej działalności firm, a także podmiotów publicznych. Z mojego doświadczenia wynika, że osoby, które w imieniu administratora przesyłają oraz otrzymują wiadomości e-mail, zazwyczaj przechodzą przeszkolenie w zakresie przetwarzania danych osobowych zgodnie z RODO, jednakże na tych szkoleniach mówi się im jedynie o tym, że muszą dane zabezpieczać i nie ujawniać nieuprawnionym osobom. Bardzo rzadko szkoli się je z prowadzenia bezpiecznej korespondencji z odbiorcami, a jeszcze rzadziej wprowadza procedury w tym zakresie. W praktyce okazuje się, że pracownik nie do końca wie, jak powinien postępować – sam podejmuje decyzję, jakie rozwiązania zastosować.
Wysyłanie danych wewnątrz organizacji, np. przesyłanie danych pomiędzy dwoma pracownikami
To że dane są przekazywane wewnątrz organizacji, nie powinno usypiać naszej czujności. Często zdarza się, że na przykład pracownik działu kadr przesyła dane do pracownika działu płac lub na przykład kierownik działu przekazuje dane dotyczące wypracowanych przez pracowników akordów. W praktyce może zdarzyć się, że program pocztowy podpowie dane niewłaściwej osoby (często z tym się spotykam) lub osoba, do której ma trafić wiadomość jest nieobecna i przekierowała pocztę na inną osobę, która akurat w zakresie tych wiadomości nie jest uprawniona.
Rozwiązanie nr 1: dane powinny być wpisane do pliku (np. Wor, Excel), a następnie zabezpieczone hasłem, które będzie znane tylko odbiorcy. Można ustalić stałe hasło na wspólną komunikację.
Typowy błąd: zabezpieczenie danych hasłem i przekazanie hasła w tej lub kolejnej wiadomości e-mail.
Rozwiązanie nr 2: wrzucenie danych na wspólny serwer plików, do folderu, do którego dostęp mają tylko nadawca i odbiorca (ewentualnie wszystkie osoby uprawnione z danego działu).
Typowy błąd: wrzucenie danych na serwer plików do ogólnodostępnego folderu lub przesłanie za pośrednictwem zewnętrznego narzędzia, np. google drive, WeTransfer. W przypadku konieczności skorzystania z tych narzędzi, należy bezwzględnie wcześniej zaszyfrować dane kompresując je z hasłem (Instrukcja jak skompresować plik z hasłem )
Wysyłanie danych do innego podmiotu / osoby spoza organizacji
Bardzo często dotyczy to przekazywania list uczestników, zdjęć z wydarzeń, kopii dokumentów. Jeżeli główna działalność pracowników polega na udostępnianiu elektronicznych informacji, polecam zrobienie instrukcji przekazywania tych danych oraz udostępnienie jej wszystkim.
Rozwiązanie 1: założenie hasła na plik lub skompresowanie folderu z hasłem. Jest to dobre rozwiązanie dla pojedynczych plików oraz niewielkiej ilości danych. Dane powinny być wpisane do pliku (np. Wor, Excel), a następnie zabezpieczone hasłem, które będzie znane tylko odbiorcy. Można ustalić stałe hasło na wspólną komunikację.
Rozwiązanie 2: udostępnienie systemu/serwera FTP, z którego po uwierzytelnieniu odbiorca będzie mógł pobrać dane. W przypadku dużej liczby plików lub załączników, które „dużo ważą” jest to najlepsze rozwiązanie. Rozwiązanie powinien zapewnić administrator, a przeszkolić w zakresie umieszczania tam plików do pobrania oraz przekazania danych do uwierzytelnienia do odbiorcy.
Typowy błąd: wrzucenie danych na serwer plików do ogólnodostępnego folderu lub przesłanie za pośrednictwem zewnętrznego narzędzia, np. google drive, WeTransfer. W przypadku konieczności skorzystania z tych narzędzi, należy bezwzględnie wcześniej zaszyfrować dane kompresując je z hasłem.
Rozwiązanie 3: podmioty publiczne mogą skorzystać z platformy ePUAP do komunikacji z drugą osobą.
Otrzymywanie danych osobowych od odbiorcy
Przynajmniej raz w tygodniu jestem proszona o przesłanie moich danych, np. do zawarcia umowy lub do załatwienia sprawy. Kilka lat temu prowadziłam szkolenia w oparciu o umowy zlecenia, wówczas za każdym razem miałam problem z bezpiecznym przesłaniem skanu mojego oświadczenia zleceniobiorcy. Gdy pytam „w jaki sposób mogę przekazać dane bezpiecznie”, po drugiej stronie jest konsternacja i zdziwienie. Gdy zabezpieczałam plik hasłem, osoba po drugiej stronie nie radziła sobie z odszyfrowaniem. Wielu administratorów szkoli pracowników w zakresie bezpiecznego wysyłania danych, natomiast pomija kwestię zapewnienia osobom, których dane dotyczą możliwości bezpiecznego przekazania danych administratorowi. Jest to równie ważne, jak wysyłanie.
Rozwiązanie 1: udostępnienie systemu/serwera FTP, na który po uwierzytelnieniu będzie można wgrać niezbędne pliki z danymi.
Rozwiązanie 2: ustalenie z odbiorcą hasła lub kanału komunikacji innego niż e-mail, przez który będzie mógł przekazać hasło do pliku z danymi, który prześle w wiadomości e-mail.
Rozwiązanie 3: w przypadku podmiotów publicznych, prowadzenie sprawy i przekazywanie danych poprzez ePUP.
Zwracam szczególną uwagę, że administrator ma obowiązek przeszkolić pracowników z bezpiecznego wysyłania oraz odbierania danych. Pracownik musi umieć zakładać hasło na plik, kompresować dane z użyciem hasła, korzystać z serwerów plików uwierzytelnionych przez administratora i wiedzieć, jakie ryzyka wiążą się z przekazywaniem danym poprzez „bezpłatne, ogólnodostępne źródła”.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
