Wzmocnienie bezpieczeństwa danych osobowych w salonie kosmetycznym/fryzjerskim

    Wielu pracodawców w związku z koronawirusem przeniosła swój personel do pracy zdalnej. Pracownicy zamiast wykonywać obowiązki związane z zakresem wykonują prace promocyjne, szkoleniowe dla salonu. Tym samym korzystając z danych osobowych klientów.

    Nie ma w tym nic dziwnego, bo wiele branż korzysta obecnie z pracy zdalnej. Istotą jest jednak odpowiednie przestrzeganie przepisów z zakresu danych osobowych oraz odpowiednie zabezpieczenia tych danych.

    O ile w branżach, gdzie praca zdalna nie była niczym nowym i pracodawcy bez problemu przenieśli swoje zasoby na proces zdalny, o tyle w branży beauty niekoniecznie tak jest. Najzwyczajniej w świecie nikt się nie spodziewał takiego obrotu sprawy. Nie zmienia to jednak faktu, że ta sytuacja pokazuje jak źle stoi zakres badania ryzyka w salonie beauty oraz jak źle wygląda zabezpieczenia salonu na takie przypadki. Dlatego też przygotowałam kilka istotnych aspektów, które będą miały znaczenie w zakresie minimalizacji naruszeń danych osobowych w przypadku pracy zdalnej.

    Na potrzeby niniejszej pracy warto wskazać czym jest “naruszenie ochrony danych osobowych” zgodnie z Rozporządzeniem oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; W skrócie za osobę nieuprawnioną rozumiemy każdą osobę, która nie powinna mieć dostępu do danych informacji a co za tym idzie nie posiada zgody (powierzenia danych) administratora aby dysponować danymi osobowymi.

    Ostatnio na facebooku jedna z osób zadała mi pytanie czy dotyczy to też członków rodziny i czy członek rodziny pracownika, który ma powierzone dane jest osobą nieuprawnioną. Odpowiedź jest pozytywna, albowiem to, że między domownikami jest zaufanie nie oznacza, że jeden z nich może udostępniać dane osobowe klientów firmy, w której pracuje swoim najbliższym. Więź zatem nie ma znaczenia. Wręcz takie udostępnienie danych osobowych byłoby naruszeniem, które należałoby zgłosić zgodnie z Rozporządzeniem.

    Warto w tym miejscu wskazać, że czym innym jest naruszenie przepisów z zakresu ochrony danych osobowych, a czym innym jest naruszenie ochrony danych osobowych. W pierwszym przypadku mamy do czynienia z sytuacją w której dochodzi do naruszenia przepisów (RODO), w drugim zaś przypadku jest mowa o naruszeniu ochrony tych danych, a co za tym idzie naruszeniu bezpieczeństwa z nimi związanymi.

    Z perspektywy bezpieczeństwa informacji warto wskazać na normę ISO 27001, która słynie z jej korzystania w wielu firmach. Dotyczy ona właśnie bezpieczeństwa. W jej ramach można wyróżnić 3 kategorie:

    • integralność danych,
    • poufność danych,
    • dostępność danych.

    Z naruszeniem integralności danych w salonie kosmetycznym będziemy mieli do czynienia w sytuacji, w której dojdzie do nieuprawnionej modyfikacji. Modyfikacja ta też może być przypadkowa.

    Z naruszeniem poufności danych spotykamy się w sytuacji, w której skutkiem będzie nieuprawnione ujawnienie danych. Przykładem może być jak wcześniej zostało to wspomniane dostęp do tych danych przez osoby nieuprawnione.

    Naruszenie dostępności przeważnie ma miejsce w sytuacjach, w których dochodzi do nieuprawnionego dostępu jak np. włamanie do zbioru danych osobowych lub wyciek tych danych.

    Najistotniejszymi punktami zagrożeń w prowadzeniu biznesu przy wykorzystywaniu pracy zdalnej są:

    1. Wykorzystywanie narzędzi (prywatny laptop, prywatna komórka, messengery, aplikacje) które nie zostały zatwierdzone przez pracodawcę a są wykorzystywane przez pracowników w pracy w domu.
    2. Nawet jeżeli pracodawca wyraża zgodę na wykorzystywanie takich narzędzi jak wskazane powyżej (albo sam z nich korzysta) powoduje to poszerzenie ryzyka związanego z naruszeniem samych danych lub ochrony tych danych
    3. W każdej sytuacji, w której pracownicy (lub sam właściciel) pracują zdalnie powinna być do tego celu stworzona procedura i w jej ramach informacja jakie czynności powinno się wykonywać i w jaki sposób.
    4. Problematyczne jest również używanie darmowych komunikatorów, sieci społecznościowych.
    5. Coraz częściej w ramach informacji związanej z epidemią pojawiają się fałszywe informacje rozsyłane na maila, w sieciach społecznościowych pod pretekstem ważnej informacji (phishing)
    6. Przenoszenie dokumentów fizycznie do domu, w których znajdują się dane osobowe w tym dane wrażliwe.
    7. Brak przeszkolenia pracowników z zakresu ochrony danych osobowych na wypadek pracy zdalnej

    Co można zrobić, aby zminimalizować powyższe zagrożenia?

    Szczerze pisząc najlepiej nie używać do celów biznesowych prywatnych urządzeń a tylko te, które są służbowe i w odpowiedni sposób zabezpieczone. Prywatne urządzenia wykorzystujemy na różne sposoby, ściągamy pliki, wielokrotnie nawet nie wiedząc, że posiadamy np. na telefonie złośliwe oprogramowanie.

    1. Konieczne jest zatem szyfrowanie zasobów, w których mieszczą się dane osobowe oraz ustawienie silnego hasła do domowego wifi. Jeżeli nazywasz wifi “mariolka” “albo inaczej – nie daj boże nazwą firmy, licz się z tym, że zwracasz na siebie uwagę potencjalnym hakerom.
    2. Przygotuj procedurę z planem awaryjnym jak pracować zdalnie.
    3. Postaraj się całkowicie zrezygnować z korzystania, z darmowych komunikatorów czy sieci społecznościowych – szczególnie jeżeli wymiana informacji dotyczy spraw służbowych. Lepiej zainwestować w własny komunikator, który będzie odpowiednio zabezpieczony lub posiadał wszelkie niezbędne licencje i da pewność bezpieczeństwa informacji.
    4. Przeprowadź szkolenia ze swoimi pracownikami w zakresie obowiązków związanych z bezpieczeństwem informacji – wiem, że to jak mantrę się powtarza i że oni powiedzą Ci, że “znowu RODO”? Odpowiedź powinna być TAK! bo z RODO nie ma żartów!

    Pamiętaj! Zgodnie z 85- RODO – Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

    W tym miejscu bardzo polecam Ci portal www.niebezpiecznik.pl – jest miejsce, gdzie dowiesz się wszystkiego co trzeba wiedzieć o bezpieczeństwie danych, ale nie tylko, jest tam dużo wiadomości z zakresu bezpieczeństwa informacji, odpowiedniego zabezpieczenia ich, szkoleń z tego zakresu, aktualnych wiadomości z zakresu oszustw internetowych – jednym słowem strona internetowa, którą powinien znać każdy przedsiębiorca.

    A tu w najbliższą niedzielę 29 marca odbędzie się webinar na temat bezpieczeństwa pracy zdalnej realizownny przez portal “niebezpiecznik.pl szczegóły tu: https://niebezpiecznik.pl/post/kolejny-termin-webinara-dotyczacego-bezpieczenstwa-pracy-zdalnej/