Reguły bezpieczeństwa ochrony danych w firmie

Kategoria: Ochrona danych osobowych
Autor: Marcin Sarna
Data: 06-08-2014 r.

Firma, w której nie ma wewnętrznych regulacji dotyczących zasad bezpieczeństwa IT, naraża się na wyciek tajemnicy przedsiębiorstwa, naruszenie praw licencyjnych czy niezgodne z prawem przetwarzanie danych osobowych.

Spółka z ograniczoną odpowiedzialnością zajmowała się m.in. handlem węglem oraz biomasą. Interes szedł coraz lepiej, więc liczba handlowców rosła, zatrudniono także w zespole piątego informatyka. Z czasem zaczęły się jednak pojawiać problemy, których do tej pory nie było. Zaczęło się od zarzutu klienta, że spółka ujawniła bezprawnie jego dane osobowe podwykonawcy spółki. Dwa miesiące później dostawca oprogramowania oskarżył spółkę o rzekome naruszenie praw autorskich (chodziło o przekroczenie liczby instalacji).

Czary goryczy dopełnił przegrany przetarg na dostawy paliwa do jednego z zakładów produkcyjnych. Okazało się, że spółka straciła stałego, dużego klienta, ponieważ konkurent zaproponował cenę niższą o ok. 5% od ceny oferowanej przez spółkę.

Sprawie dokładnie przyjrzał się zarząd i nakazał przeprowadzenie wewnętrznego śledztwa. Okazało się, że nowy informatyk regularnie działał na szkodę firmy, był m.in. źródłem wycieku wielu poufnych danych. Powodem był brak jakichkolwiek zasad dostępu do informacji handlowych, niedokonanie podziału wewnętrznego obowiązków pracowników IT, a przede wszystkim nieustanowienie podstawowych choćby reguł bezpieczeństwa IT.

W konsekwencji zarząd spółki stwierdził, że potrzebne jest obiektywne i kompleksowe spojrzenie na te problemy z zewnątrz. Niezależnej firmie consultingowej zlecono audyt bezpieczeństwa zasobów informatycznych, sporządzenie strategii IT i podstawowych aktów regulacyjnych. Audytor zwrócił uwagę, że ze względu na przetwarzanie danych osobowych konieczne jest stworzenie polityki bezpieczeństwa. Sporządził więc projekt zasad ochrony i przetwarzania informacji osobowych w spółce, który zawierał m.in.:

  • oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji w odniesieniu do strategii i wymagań biznesowych;

  • mechanizm umożliwiający współużytkowanie informacji;

  • strukturę wyznaczania celów stosowania zabezpieczeń, w tym strukturę szacowania i zarządzania ryzykiem;

  • krótkie wyjaśnienie polityki bezpieczeństwa, zasad, norm i wymagań zgodności mających szczególne znaczenie dla organizacji; składały się na nie : zgodność z prawem, regulacjami wewnętrznymi i wymaganiami wynikającymi z umów, potrzeby dotyczące kształcenia, szkoleń i uświadamiania w dziedzinie bezpieczeństwa, zarządzanie ciągłością działania biznesowego, konsekwencje naruszenia polityki bezpieczeństwa;

  • definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji, w tym zgłaszania przypadków związanych z bezpieczeństwem informacji;

  • odsyłacze do dokumentacji uzupełniającej politykę.

Odsyłacze pozwalały zorientować się w układzie wewnętrznych regulacji IT, bowiem audytor stworzył jeszcze dwa dodatkowe dokumenty. Miały one charakter bardziej szczegółowych polityk bezpieczeństwa i procedur dotyczących poszczególnych systemów informatycznych. Chodziło o „Instrukcję korzystania z FlowPaliwo” (oprogramowanie do zarządzania zapasami paliwa, w którym zarządzano niemal wszystkimi poufnymi informacjami handlowymi) oraz „Zasady dostępu do repozytorium umów w SharePoint” (dokument wprowadzał gradację uprawnień dostępu do umów handlowych).

Sama polityka bezpieczeństwa w zakresie odnoszącym się do przetwarzania danych osobowych precyzowała:

  • obszar, w którym przetwarzane są dane osobowe (budynki, pomieszczenia);

  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania;

  • opis struktury baz danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

  • sposób przepływu informacji pomiędzy poszczególnymi systemami;

  • określenie środków niezbędnych dla zapewnienia poufności, integralności i przetwarzania danych.

Tego właśnie brakowało w dotychczasowym przetwarzaniu danych przez spółkę. Dlatego zarząd przyjął do stosowania regulacje przygotowane przez audytora. Równolegle zmieniono regulamin organizacyjny oraz regulamin pracy. W przypadku niektórych informatyków zawarto także aneksy do umów o pracę. Zmiany te miały na celu dostosowanie struktury organizacyjnej firmy, procesu pracy oraz obowiązków pracowniczych do nowych regulacji z zakresu bezpieczeństwa IT.

Spółka zdecydowała się także na rozwiązanie umowy o pracę z informatykiem w trybie natychmiastowym (bez okresu wypowiedzenia) z powodu ciężkiego naruszenia podstawowych obowiązków pracowniczych. Pozwała go także o odszkodowanie za wyrządzone straty.

Marcin Sarna, radca prawny
Zobacz także:

Tagi: dane osobowe, spółka z o.o., bezpieczeństwo IT

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Prawo do informacji o przetwarzanych danych osobowych

Prawo do informacji o przetwarzanych danych osobowych »
Odpowiedzialność administratora danych osobowych

Odpowiedzialność administratora danych osobowych »
Prawo do kopii danych osobowych

Prawo do kopii danych osobowych »
Array ( [docId] => 35468 )
Array ( [docId] => 35468 )