W obliczu postępującej cyfryzacji, bezpieczeństwo danych stało się jednym z kluczowych wyzwań dla właścicieli firm. Choć cyfryzacja stwarza ogromne szanse, wiąże się również z zagrożeniami, nie tylko ze strony cyberprzestępców. Szczególnie aktualne stają się kwestie zabezpieczenia danych firmowych przed zdarzeniami losowymi, takimi jak zalanie czy pożar.
Konsekwencje pożaru serwerowni OVH i sposoby zapobiegania
Katastrofalny w skutkach pożar serwerowni OVH, który miał miejsce 10 marca 2021 roku, dotknął tysiące biznesów na całym świecie, w tym wiele firm z Polski. W wyniku zdarzenia spłonęło centrum danych SGB2, a SGB1 uległo częściowemu uszkodzeniu. Konsekwencją był przestój wielu serwisów korzystających z tej infrastruktury, co pokazało, że dane w chmurze nie są niezniszczalne.
Choć pożary serwerowni są rzadkie, ich skutki mogą być dotkliwe. W starciu z żywiołem, jakim jest pożar, ochrona przed zdarzeniami losowymi jest kluczowa. Jedną z podstawowych metod zabezpieczenia się przed uszkodzeniem lub utratą danych jest tworzenie kopii zapasowych, czyli tzw. backup. Dotyczy to zarówno dużych korporacji, jak i małych i średnich firm.
Zasady tworzenia kopii zapasowych
Przy tworzeniu backupu danych należy przestrzegać dwóch złotych zasad:
- Kopie zapasowe powinny być wykonane przynajmniej na dwóch różnych urządzeniach (poza oryginalnym nośnikiem).
- Przynajmniej jedna z tych kopii powinna znajdować się w innej lokalizacji niż oryginalne dane.
W przypadku stron internetowych opartych na systemach takich jak WordPress czy PrestaShop, można zainstalować specjalne rozszerzenia (np. UpdraftPlus, PrestaBackup), które umożliwiają tworzenie pełnych kopii zapasowych strony i zapisywanie ich w chmurze, najlepiej na zupełnie innym hostingu niż ten, na którym działa aplikacja. Szczególnie ważna jest regularna kopia bazy danych - minimalnie raz dziennie. Pliki strony można backupować rzadziej, np. raz w tygodniu lub raz w miesiącu.
Bardziej zaawansowane firmy, których istnienie zależy od dostępności w internecie, stosują rozwiązania oparte na chmurze podzielonej na regiony i strefy. Tworzy się wirtualne serwery w różnych serwerowniach z automatycznym podziałem ruchu, co zapewnia ciągłość działania nawet w przypadku awarii jednej z nich.
Należy pamiętać, że hostingodawca nie zawsze jest odpowiedzialny za przechowywanie kopii zapasowych. Zapisy w umowie mogą jasno wskazywać, że o kopie bezpieczeństwa musimy zadbać sami. Jeśli umowa nie gwarantuje wykonywania backupów w kilku różnych lokalizacjach, należy to zrobić samodzielnie, np. przechowując kopie u innego hostingodawcy lub na dyskach w biurze.
Planowanie awaryjne: Disaster Recovery Plan i Business Continuity Plan
Pożar serwerowni to zdarzenie losowe, ale planowanie biznesowe powinno uwzględniać wszystkie jego aspekty, włącznie z możliwością utraty danych. Kluczowe jest opracowanie i wdrożenie Disaster Recovery Plan (DRP) oraz Business Continuity Plan (BCP). DRP określa procedury odtwarzania danych i systemów po awarii, natomiast BCP ma na celu zapewnienie ciągłości działania firmy w sytuacjach kryzysowych.
Nawet w małej firmie warto mieć plan działania pozwalający ograniczyć straty wynikające z nieprzewidzianych zdarzeń. Warto rozważyć przegląd aktualnego stanu posiadanych rozwiązań z niezależnym konsultantem IT.
Ochrona danych osobowych w świetle RODO i polskiego prawa
Bezpieczeństwo danych osobowych jest kluczowe, a regulacje prawne, takie jak Ogólne Rozporządzenie o Ochronie Danych (RODO), nakładają na administratorów danych szereg obowiązków. Zgodnie z polskim prawem, dane osobowe należy zabezpieczyć przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów oraz nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
Podstawowe zasady przetwarzania danych osobowych
Podstawą przetwarzania danych osobowych jest szereg przesłanek legalności, w tym:
- Zgoda osoby, której dane dotyczą: musi być dobrowolna, jednoznaczna i może być odwołana w każdym momencie.
- Realizacja obowiązku prawnego: np. wynikającego z przepisów o ochronie przeciwpożarowej.
- Realizacja umowy: gdy jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą.
- Cele realizowane dla dobra publicznego: gdy przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.
Administrator danych musi stosować odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednie do zagrożeń.
Bezpieczny obszar przetwarzania danych
Jednym z ważnych elementów ochrony fizycznej jest bezpieczny obszar przetwarzania danych. Należy zadbać o zabezpieczenie budynków, pomieszczeń lub ich części, w których dane są przetwarzane. Po godzinach pracy dostęp do tych pomieszczeń powinien być ograniczony i rozliczalny.
Należy unikać pozostawiania dokumentów i nośników zawierających dane osobowe w łatwo dostępnych miejscach. Klucze do szaf czy pomieszczeń, w których są przechowywane dane, powinny być przechowywane w sposób kontrolowany, np. w kasetach na klucze zamykanych na szyfr.
Zgłaszanie naruszeń ochrony danych osobowych
W przypadku stwierdzenia naruszenia ochrony danych osobowych, administrator danych (ADO) ma obowiązek zgłoszenia tego faktu organowi nadzorczemu, którym jest Prezes Urzędu Ochrony Danych Osobowych (UODO), w ciągu 72 godzin od stwierdzenia naruszenia. W określonych przypadkach konieczne jest również zawiadomienie osób, których dane osobowe zostały naruszone.
Ocena wagi naruszenia leży po stronie administratora. Nie każde naruszenie wymaga zgłoszenia, jeśli jest mało prawdopodobne, by skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Dane osobowe w szczególnych kontekstach
Kwestie ochrony danych osobowych pojawiają się w wielu specyficznych kontekstach, takich jak:
Dane osobowe a e-lekcje
Podczas e-lekcji nauczyciele i uczniowie mają do czynienia z danymi osobowymi. Należy zadbać o to, aby przetwarzanie tych danych odbywało się zgodnie z RODO, w tym poprzez stosowanie bezpiecznych platform edukacyjnych i edukację w zakresie ochrony prywatności.
RODO w Wirginii
Prawo stanu Wirginia w USA wprowadza własne regulacje dotyczące ochrony danych osobowych konsumentów, które mają pewne podobieństwa do RODO, na przykład prawo do dostępu do danych, ich poprawiania i usuwania.
Wycieki danych z ZUS i dostęp do numerów PESEL
Zdarzają się przypadki wycieku danych osobowych, jak np. w ZUS-ie, gdzie zarejestrowano podejrzenia naruszeń ochrony danych związanych z wysyłką formularzy PIT-11A. Kwestia publicznego dostępu do numerów PESEL szefów spółek budzi wątpliwości prawne i etyczne.
"Paszport covidowy" a RODO
Propozycje wprowadzenia "paszportów covidowych" budzą pytania o ich zgodność z RODO, zwłaszcza w kontekście potencjalnego gromadzenia i wykorzystywania danych medycznych.
Program prac Europejskiej Rady Ochrony Danych (EROD)
EROD opracowuje programy prac mające na celu ujednolicenie stosowania przepisów o ochronie danych osobowych w Unii Europejskiej. Wśród przyjętych dokumentów znajdują się wytyczne dotyczące m.in. wirtualnych asystentów głosowych i pojazdów połączonych.
Newsletter UODO
Urząd Ochrony Danych Osobowych (UODO) publikuje newslettery informujące o bieżących działaniach i nowościach w zakresie ochrony danych osobowych, w tym o programach prac EROD.
Projekt KRZ
Projekt Krajowego Rejestru Zadłużonych (KRZ) ma na celu ułatwienie dostępu do informacji o dłużnikach. Istnieją obawy, że dostęp do danych zawartych w KRZ może być zbyt prosty, co rodzi pytania o ochronę danych osobowych.
Wspólna opinia EROD i EIOD
EROD i Europejski Inspektor Ochrony Danych (EIOD) wydają wspólne opinie dotyczące interpretacji przepisów o ochronie danych osobowych, na przykład w odniesieniu do rozporządzeń dotyczących prywatności i łączności elektronicznej.
Odszkodowanie za odsprzedaż używanego laptopa z danymi
Odsprzedaż używanego sprzętu elektronicznego, który zawiera dane osobowe, bez ich wcześniejszego usunięcia, może prowadzić do roszczeń o odszkodowanie ze strony właściciela danych.