Przetwarzanie danych w poczcie elektronicznej – bezpieczeństwo przede wszystkim
Oczywiste jest, że dane osobowe mogą być przetwarzane także za pośrednictwem poczty elektronicznej. Jakie ryzyka z tym się wiążą? Jakie środki bezpieczeństwa zastosować, aby zminimalizować niebezpieczeństwo naruszenia ochrony danych i zmniejszyć stopień narażenia na karę ze strony organu nadzorczego? Sprawdź w artykule.
Kto musi wyznaczyć IOD
Przypomnijmy, że, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (art. 32 RODO). W praktyce oznacza to, że nie ma jednego zestawu uniwersalnych zasad zapewnienia bezpieczeństwa danych osobowych. Każdy z administratorów danych osobowych powinien, po przeprowadzeniu analizy (w szczególności rozpoznanie ryzyka korzystania z poczty elektronicznej w danej firmie oraz dobór środków minimalizujących te ryzyka), wdrożyć właściwe w danym przypadku środki.
Jakie ryzyka wystąpią w związku z przetwarzaniem danych osobowych w poczcie elektronicznej? Przede wszystkim:
- nieuprawniony dostęp do poczty elektronicznej w wyniku włamania na niebezpieczny komputer, bądź pozostawienia hasła w widocznym miejscu albo udostępnienia konta innemu nieuprawnionemu pracownikowi,
- wyciek danych osobowych do osób nieuprawnionych w wyniku mylnego zaadresowania wiadomości,
- sabotaż komputerowy.
Środkami bezpieczeństwa w związku z przetwarzaniem danych osobowych za pośrednictwem poczty elektronicznej mogą być następujące rozwiązania:
- wprowadzenie procedury (polityki) korzystania z poczty elektronicznej oraz zobowiązanie pracowników do jej stosowania,
- instalacja na komputerach programów antywirusowych oraz zapory internetowej,
- wprowadzenie polityki haseł zakładające ich okresowe zmiany,
- przesyłanie danych osobowych w zaszyfrowanych załącznikach (szyfrowanie możliwe jest np. przy pomocy programu interesującego dane),
- wprowadzenie zakazu korzystania z poczty elektronicznej w przypadku połączenia z siecią Internet przez publiczne łącze (np. darmowe WiFi),
- objęcie poczty elektronicznej zasadą retencji danych, wprowadzenie zasad i terminów usuwania korespondencji, gdy wygasła podstawa prawna przetwarzania danych osobowych w niej zawartych.
- System zabezpieczeń przed smishingiem już działa
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Zgoda na przetwarzanie danych osobowych o zdrowiu musi być udokumentowana
- Księga główna przychodni zawiera dane osobowe o zdrowiu pacjentów
- Jak przeprowadzić analizę ryzyka dla danych osobowych w związku z wdrożeniem sztucznej inteligencji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
