„Co wiemy o ochronie danych” – podsumowanie badania

Okazuje się, że najwięcej osób korzysta z internetu za pomocą laptopów i smartfonów. Dane przechowywane na laptopach są najczęściej chronione za pomocą haseł, programów antywirusowych i poprzez szyfrowanie, chociaż tylko 27% badanych deklaruje, że korzysta z tej ostatniej metody. Zdaniem fundacji, która przeprowadziła badanie, szyfrowanie nie jest zbyt powszechne przede wszystkim dlatego, że nie jest tak łatwo dostępne, jak programy antywirusowe. Najczęściej wymaga kupna licencji i jest nieco trudniejsze w samodzielnej instalacji. Najprawdopodobniej większość użytkowników uważa, że hasło wystarczająco dobrze chroni ich zasoby znajdujące się na urządzeniach.

Urządzenia mobilne najczęściej chronione są za pomocą PIN-u, mocnego hasła lub wzoru na ekranie. Część badanych wskazała także na zabezpieczenia biometryczne i blokadę ekranu urządzenia. Okazuje się też, że 8 na 10 badanych wykonuje kopie zapasowe swoich danych.

Jak wynika z badania, respondenci nie boją się nieodwracalnej utraty swoich danych. Tylko 12% z nich uznało, że takie ryzyko jest wysokie, a 6% ocenia je jako bardzo wysokie. Uczestnicy badania podobnie ocenili zagrożenie kradzieżą danych i inne możliwości ich utraty. Zdaniem badanych największym niebezpieczeństwem dla danych osobowych są organizacje, które chcą zwiększać swoje zyski, wykorzystując dane osobowe bez zgody osób, których dotyczą, przestępczość internetowa i nieprzywiązywanie dostatecznej uwagi przez różne podmioty do ochrony danych osobowych swoich klientów/interesariuszy, kontrahentów i pracowników.

Jedna trzecia ankietowanych stwierdziła, że ich prawo do prywatności zostało naruszone. Najwięcej osób wskazało na niechciane telefony z ofertami marketingowymi (83%) i niezamówione e-maile/spam (79%). Co ciekawe, ponad 40% badanych stwierdziło, że ich dane nigdy nie zostały wykorzystane bez ich zgody. Tylko 35% respondentów, których prawo do prywatności zostało naruszone, zgłosiło to do jakiejś instytucji. Osoby, które tego nie zrobiły, twierdziły, że dochodzenie swoich praw wiązałoby się ze zbyt dużym zachodem, zgłoszenie niewiele by dało, część osób twierdziła też, że „nic takiego się nie stało”.

Spośród wszystkich badanych 26% stwierdziło, że w ich firmach zdarzały się incydenty naruszające bezpieczeństwo danych, a 7% z nich wskazało, że zdarzyło się to kilkukrotnie. Zdaniem 42% respondentów w ich organizacji nigdy nie doszło do incydentów związanych z ochroną danych.

Zdaniem Przemysława Szczurka, product managera ds. bezpieczeństwa informacji w TUV NORD Polska zastanawiające jest, że aż 42% respondentów twierdzi, iż w ich organizacjach incydenty nigdy się nie wydarzyły, gdyż takie zdarzenia w organizacjach są rzeczą naturalną, dochodzi do nich niemal w każdej firmie i trudno wyobrazić sobie organizację, w której nigdy nikt nie dowiedział się o czymś, o czym nie powinien, bądź też gdzie nie wystąpiła nigdy awaria skutkująca brakiem dostępu do pewnych informacji. Przemysław Szczurek twierdzi, że należy przypuszczać, że w takich organizacjach nie ma zdefiniowanej ścieżki obsługi incydentów bezpieczeństwa informacji bądź też wiedza na temat tego, czym są incydenty bezpieczeństwa informacji wśród pracowników, jest niewielka.

W ramach badania Fundacja Wiedza To Bezpieczeństwo zapytała pracowników, kadrę zarządzającą i ABI o stan przygotowań do wdrożenia nowych przepisów unijnych z zakresu ochrony danych osobowych w podmiotach, z którymi są związani. Ponad połowa badanych stwierdziła, że w ich organizacjach wprowadzono już zmiany w procedurach przetwarzania danych osobowych, w związku ze zmianą przepisów o ochronie danych osobowych. Odpowiedziała na nie twierdząco ponad połowa (51%) respondentów. 26% badanych stwierdziło, że zmiany nie zostały jeszcze wprowadzone, a 23% nie miała wiedzy na ten temat. Prawie połowa osób stwierdziła, że w ich organizacji jest planowane wyznaczenie inspektora ochrony danych.

Blisko 90% badanych stwierdziło, że zna nowe przepisy o ochronie danych osobowych, ale jedynie co piąty uznał, że jego wiedza jest w pełni wystarczająca. Pozostali chętnie dowiedzieliby się czegoś więcej. Potrzebę uczestniczenia w szkoleniu i poszerzenia wiedzy z obszaru ochrony danych osobowych odczuwa aż 68% ankietowanych. W grupie specjalistów z zakresu ochrony danych osobowych jest to 100%, podczas gdy wśród managementu jest to 67%, a pracowników 63%. Tylko co 10 osoba biorąca udział w badaniu wskazała, że nie czuje potrzeby pogłębiania swojej wiedzy poprzez szkolenie.

41% przedsiębiorców twierdzi, że ich pracownicy zostali kilkukrotnie przeszkoleni z zakresu ochrony danych osobowych, a 31%, że miało to miejsce jeden raz. Niestety 28% przyznaje, że nigdy nie przeszkoliło swoich podwładnych.

Z badania wynika, że ponad połowa ankietowanych przedsiębiorców i osób zarządzających firmami wie, jakie obowiązki na organizacje nakłada unijne rozporządzenie o ochronie danych. Niecała połowa zaś przeprowadza szacowanie ryzyka przy przetwarzaniu danych osobowych – a to jeden z ważniejszych elementów dostosowania procedur do unijnego rozporządzenia. Zaledwie jedna trzecia badanych stwierdziła, że wie, jakie będą ich nowe obowiązki w związku z ogólnym rozporządzeniem o ochronie danych.

Z badania wynika także, że 75% pracowników zajmujących się ochroną danych osobowych w firmach ma także inne obowiązki – często są także prawnikami lub informatykami. Ponad połowa ABI twierdzi, że ma wystarczającą wiedzę, by pełnić funkcję IOD. Podobny odsetek twierdzi także, że szczegółowo zna zakres zmian, jakie wprowadza ogólne rozporządzenie.

Co niepokojące, blisko 70% badanych stwierdziła, że przygotowania do wymogów unijnego rozporządzenia o ochronie danych osobowych rozpocznie dopiero 25 maja 2018 r., czyli od dnia, kiedy nowe przepisy zaczną być stosowane.