Zapewnienie bezpieczeństwa ochrony danych osobowych

RODO wymienia przykładowe czynności jakie mogą pomóc w ochronie danych osobowych. Należy pamiętać, że nie każde z tych czynności będą miały zastosowania w danej firmie. Konieczne jest bowiem dopasowanie takich zabezpieczeń, które faktycznie w danym miejscu będą spełniały swoją rolę. Jak powinno wyglądać zapewnienie bezpieczeństwa ochrony danych osobowych?

Zapewnienie bezpieczeństwa ochrony danych osobowych - pseudonimizacja lub anonimizacja i szyfrowanie danych osobowych

Anonimizacja dotyczy procesu nieodwracalnego mającego na celu uniemożliwienie wykorzystania danych osobowych. W systemie księgowym gdzie dane wykorzystywane są dla konkretnych celów księgowych czyli czynności związanych z prawem, anonimizacja nie ma zastosowania z uwagi na prawny wymóg archiwizacji do czasu przedawnienia obowiązku podatkowego i/ lub roszczeń umownych.

Pseudonimizacja - jest to zamiana listy danych osobowych na np. numerki czyli pseudonimy, tak by nie można było w łatwy sposób rozszyfrować kogo dane są podawane. Stosowana jest od dawna np. na uczelniach - student Jan Kowalski na listach wyników widnieje zamiast pod imieniem i nazwiskiem to pod numerem indeksu - w ten sposób tylko znający numery indeksów są w stanie przypisać konkretny wynik do danej osoby fizycznej. Pseudonimizację wykorzystuje się często dla celów tworzenia statystyk. Zatem w praktyce dotyczy głównie sytuacji udostępniania danych na zewnątrz i to w określonych celach i sytuacjach co nie dotyczy systemu księgowego.

Szyfrowanie danych osobowych to zabezpieczenie wykorzystywane szczególnie przy czynności przesyłu danych. Poprzez szyfrowanie wszystkich danych wychodzących i wchodzących z/do aplikacji transmisja staje się bezpieczna. Protokół używany przez wfirma.pl SSL-EV jest takim wysokim zabezpieczeniem jakiego używają banki.  

Innym sposobem szyfrowania danych osobowych jest zabezpieczenie przesyłanych między firmami plików hasłem - jak bezpiecznie przesłać plik z danymi?

Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania

Osiąga się to dzięki:

• szyfrowanym kanałom przepływu danych ssl ev

• uwierzytelnieniu użytkownika - możliwość włączenia dwuetapowego logowania

• automatycznym procedurą wylogowania - na wypadek utraty zasilania

• zarządzaniu upoważnieniami dostępu do danych np. pomoc ekspertów serwisu wfirma.pl - eksperci nie mają dostępu do danych przechowywanych przez użytkowników serwisu, a ponadto w procesie relacji ekspert wfirma - użytkownik (przedsiębiorca) używana jest pseudoanonimizacja danych - ekspert widzi jedynie imię i numer ID (do listy ID przypisanych do konkretnych danych osobowych użytkowników upoważnienie mają jedynie pracownicy serwisu wfirma.pl, którym jest to niezbędne do realizacji zadań pracowniczych)

• stosowaniu wysokiej klasy zabezpieczeniom infrastruktury technicznej

• procedury związane z bezpieczeństwem serwisu wfirma.pl są monitorowane na bieżąco (system alertów), sprawdzane-testowane (w zależności od zakresu raz na kwartał lub raz na rok) i aktualizowane - dostosowywane do aktualnych wymogów prawa.   

Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego

W głównej mierze dotyczy to tworzenia kopii zapasowych. Przy tworzeniu kopii zapasowych zwraca się szczególną uwagę na to by miejsce przechowywania kopii zapasowych było w odmiennej lokalizacji niż serwer główny oraz na procedury i czynności dotyczące sprawdzania poprawności tworzenia backupów.

Dodatkowo wysokim standardem zabezpieczeń jest wprowadzona replikacja danych czyli proces powielania informacji pomiędzy różnymi serwerami baz danych w czasie prawie rzeczywistym (czyli minimalne opóźnienia). W razie awarii pozwala to na szybsze przełączenie i zachowanie ciągłości działania i dostępu do danych.

Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Zarówno serwis wfirma.pl jak i infrastruktura techniczna poddawana jest ciągłemu testowaniu i odtwarzaniu a prowadzona regularnie ocena ryzyka pozwala na ocenę skuteczności stosowanych środków technicznych i organizacyjnych zapewniających bezpieczeństwo.