Jak zaszyfrować dane osobowe w małej firmie zgodnie z RODO?
25 maja 2018 zaczyna obowiązywać w Polsce unijne rozporządzenie RODO. Dostosować muszą się do niego wszyscy przedsiębiorcy przetwarzający dane osobowe. Artykuł 32. RODO wskazuje szyfrowanie jako środek zapewniający odpowiedni poziom bezpieczeństwa danym w wersji elektronicznej.
RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych to unijne rozporządzenie obowiązuje wszystkie firmy i organizacje przetwarzające dane osobowe (klientów, pracowników, kontrahentów itp.). Dotyczy zarówno jednoosobowych działalność gospodarczych, jak i największych światowych korporacji. Do 25 maja wszystkie organizacje powinny być dostosowane do RODO - nie będzie już żadnego okresu przejściowego.
Szyfrowanie danych osobowych
Wśród wielu innych obowiązków RODO w Art. 32. ("Bezpieczeństwo przetwarzania") wskazuje szyfrowanie danych jako środek do zapewnienia odpowiedniego poziomu bezpieczeństwa danych w wersji elektronicznej.
Szyfrowanie uniemożliwia dostęp niepowołanym osobom do zapisanych informacji. Jest to szczególnie istotne w razie utraty nośników z danymi osobowymi czyli np. kradzieży lub zgubienia laptopa lub dysków przenośnych.
RODO wprowadza obowiązek zgłaszania tego typu ,,incydentów bezpieczeństwa" do organu nadzorczego - Urzędu Ochrony Danych Osobowych (PUODO), w ciągu 72 godzin. W pewnych przepadkach należy również poinformować o incydencie wszystkie osoby, których danych incydent dotyczył. Zgłaszanie informacji do PUODO postrzegane jest przez wielu przedsiębiorców jako "składanie donosu na samego siebie".
Zgodnie z Art. 34. punktem 3. działania te nie są konieczne jeśli przedsiębiorca będzie w stanie wykazać, że dane zostały odpowiednio zabezpieczone - takie możliwości daje szyfrowanie danych.
Na co zwrócić uwagę wybierając szyfrowanie?
Na rynku można znaleźć wiele różnych produktów do szyfrowania . Do wyboru mamy rozwiązania darmowe i płatne, od światowych producentów lub małych wyspecjalizowanych firm. Warto przemyśleć na jakich funkcjach nam zależy i zwrócić uwagę czy rozwiązanie będzie kompatybilne z naszym prawem.
Co szyfrować?
Niezbędne jest zaszyfrowanie wszystkich plików zawierających dane osobowe, komputery z danymi np. z księgowości, zamówienia, faktury, adresy potrzebne do wysyłek, dane osobowe pracowników itp. Zdecydowanie najlepszym rozwiązaniem jest zaszyfrowanie wszystkich dysków komputera oraz urządzeń przenośnych (pendrive, dyski przenośne).
Narzędzia szyfrujące pojedyncze pliki lub foldery wbrew temu co twierdzą ich producenci nie są wystarczające. Programy typu Word tworzą i przechowują dane dodatkowo np. w plikach tymczasowych, plikach pamięci itp. Powoduje to, że dane znajdują się nie tylko w jednym świadomie zaszyfrowanym pliku, ale też w kilku innych miejscach, o których użytkownik najczęściej nie ma pojęcia.
Czy istnieją darmowe rozwiązania?
Systemy operacyjne Windows 7 w wersji Enterprise oraz Windows 8 i Windows 10 w wersjach pro i wyższych, umożliwiają szyfrowanie zawartym w nich narzędziem o nazwie Bitlocker. Dużym minusem tego rozwiązania są jego mocno ograniczone funkcje oraz przede wszystkim brak możliwości wykazania przed organem kontrolującym, że dane zostały zabezpieczone. W przypadku incydentu bezpieczeństwa wiąże się to z koniecznością zgłoszenia go do PUODO.
Łatwość użytkowania
Zaawansowane systemy szyfrujące potrafią porazić mnogością opcji. To co ważne dla użytkownika w małej firmie, to by cały proces szyfrowania odbywał się w sposób niewidoczny i nieprzeszkadzający w codziennej pracy. Różnica w pracy z komputerem z system szyfrującym, powinna sprowadzać się do podania jednego dodatkowego hasła podczas uruchomienia systemu.
Zainstalowanie rozwiązania szyfrującego to kilka kliknięć myszy , ustawienie haseł dostępu i wydrukowanie kluczy ratunkowych, na wypadek zapomnienia hasła. Zaszyfrowanie wszystkich danych odbywa się w tle, a po ich zakończeniu informacja o tym zostaje zapisana, co pozwala na wykazanie potencjalnego incydentu bezpieczeństwa przed organem kontrolnym.
Wszystkie operacje szyfrowania pomimo swej prostoty, są działaniami na danych i należy przed ich wdrożeniem wykonać kopie zapasową. Warto jest wybrać rozwiązanie producentów, oferujących polskojęzyczną pomoc telefoniczną, dzięki czemu w przypadku jakichkolwiek pytań i wątpliwości mamy do kogo zadzwonić.
IKARIA Sp. z o.o. Sp. k. to ekspert bezpieczeństwa IT z 16 letnim doświadczeniem. Dostarcza najlepsze światowe rozwiązania do kilkunastu tysięcy firm różnej wielkości. Dla użytkowników szukających szyfrowania, inżynierowie firmy uruchomili specjalną stronę, która pozwala małym firmom dobrać i zamówić rekomendowany produkt, a większym organizacjom skontaktować się bezpośrednio z inżynierami, w celu porównania kilku różnych systemów szyfrujących.
