Udostępnianie danych osobowych – jak robić to bezpiecznie

Do administratorów danych trafiają e-maile lub dzwonią instytucje podszywające się pod Generalnego Inspektora Ochrony Danych Osobowych, urzędy skarbowe czy Urząd Ochrony Konkurencji i Konsumenta z zapowiedziami kontroli lub informacjami o obowiązku realizacji często nieistniejących przepisów. Są to działania, które mają na celu wyłudzenie bezpodstawnych opłat lub instalację złośliwego oprogramowania zaszytego w zainfekowanych odnośnikach i załącznikach. Jakie działania należy zatem podjąć, aby dokumentacja zawierająca dane osobowe była bezpieczna?

Najprostszą obroną i reakcją w takich sytuacjach jest rozsądek, uwaga, ograniczone zaufanie, potwierdzenie prawdziwości informacji i uwierzytelnienie nadawcy lub korzystanie z praktycznych, mądrze wdrożonych procedur dotyczących bezpieczeństwa informacji i ochrony, w tym udostępniania danych osobowych. Szczególne znaczenie ma to w podmiotach, które przetwarzają dane wrażliwe, szczególnie chronione, dotyczące między innymi stanu zdrowia.

Dokumentacja zawierająca dane osobowe może być udostępniana za pośrednictwem środków komunikacji elektronicznej. Nie należy przesyłać takich dokumentów e-mailem bez odpowiedniego zaszyfrowania pliku czy zabezpieczenia załączników hasłem. Przy korespondencji e-mailowej czy podczas rozmów telefonicznych nie przekazuj szczegółowych informacji osobie, co do której tożsamości nie masz pewności.

Z kolei wysyłając e-mailem zabezpieczony hasłem dokument czy plik do uprawnionego odbiorcy, hasło do otworzenia załącznika prześlij SMS-em lub inną drogą, a nie w treści tego samego e-maila.

Nie należy udostępniać szerszego zakresu informacji niż wskazany we wniosku i uważać, aby nie trafły one do nieuprawnionej osoby czy instytucji. Osoba wnioskująca o udostępnienie danych może się przedstawić jako urzędnik, komornik czy policjant, dlatego udostępniający dane ma obowiązek to zweryfkować, potwierdzić tożsamość i ewentualne uprawnienia danego podmiotu. Przy takich kontaktach trzeba zachować czujność i pamiętać, że nigdy nie wiadomo, kto jest po drugiej stronie. Szczególnie uczulone muszą być na to podmioty przetwarzające dane wrażliwe.

1. Prowadź systematyczną analizę zagrożeń.

2. Opracuj i stosuj procedury zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania.

3. Stosuj środki bezpieczeństwa adekwatne do zagrożeń.

4. Na bieżąco kontroluj funkcjonowanie wszystkich organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także okresowo oceniaj skuteczność tych sposobów.