Ochrona Danych WG » Zabezpieczenia osobowe

Zabezpieczenia osobowe w kontekście RODO i cyberbezpieczeństwa

Zabezpieczenia osobowe stanowią jeden z kluczowych elementów systemu ochrony danych osobowych oraz bezpieczeństwa informacji. Obejmują one zasady, procedury i działania odnoszące się do osób, które mają dostęp do danych osobowych, systemów informatycznych, dokumentacji, infrastruktury technicznej lub informacji poufnych. Ich celem jest zapewnienie, aby dane były przetwarzane wyłącznie przez osoby uprawnione, odpowiednio przeszkolone, świadome swoich obowiązków i działające zgodnie z przepisami prawa oraz wewnętrznymi regulacjami organizacji.

W praktyce nawet najlepiej zabezpieczony system informatyczny może zostać naruszony, jeżeli użytkownicy nie znają zasad bezpieczeństwa, udostępniają hasła, otwierają podejrzane załączniki, korzystają z nieautoryzowanych narzędzi lub przekazują dane osobom nieuprawnionym. Dlatego zabezpieczenia osobowe są równie ważne jak zabezpieczenia techniczne, takie jak zapory sieciowe, szyfrowanie, systemy antywirusowe, kopie zapasowe czy kontrola dostępu.

Z punktu widzenia RODO zabezpieczenia osobowe służą realizacji zasady poufności, integralności, rozliczalności oraz minimalizacji dostępu do danych. Administrator powinien zapewnić, aby każda osoba przetwarzająca dane działała wyłącznie na jego polecenie, w określonym zakresie i zgodnie z nadanymi uprawnieniami. Z punktu widzenia cyberbezpieczeństwa zabezpieczenia osobowe ograniczają ryzyko błędu ludzkiego, nadużycia uprawnień, socjotechniki, phishingu, nieuprawnionego dostępu oraz niezamierzonego ujawnienia informacji.

Znaczenie zabezpieczeń osobowych

Zabezpieczenia osobowe mają szczególne znaczenie, ponieważ człowiek jest jednym z najważniejszych, ale jednocześnie najbardziej podatnych elementów systemu bezpieczeństwa. Pracownicy, współpracownicy, wolontariusze, stażyści, administratorzy systemów, osoby obsługujące klientów, księgowość, kadry, IT czy osoby zarządzające dokumentacją mogą mieć dostęp do danych osobowych i informacji poufnych. Każda z tych osób powinna znać swoje obowiązki oraz rozumieć, jakie konsekwencje może mieć nieprawidłowe postępowanie z danymi.

Zabezpieczenia osobowe mają na celu ograniczenie ryzyka, że dostęp do danych uzyska osoba nieuprawniona, osoba bez odpowiedniego przygotowania albo osoba, której zakres obowiązków nie uzasadnia dostępu do określonych informacji. Dotyczy to zarówno dostępu do systemów informatycznych, jak i dokumentów papierowych, poczty elektronicznej, nośników danych, pomieszczeń, archiwów oraz narzędzi komunikacji.

Upoważnienia do przetwarzania danych osobowych

Jednym z podstawowych zabezpieczeń osobowych jest nadawanie upoważnień do przetwarzania danych osobowych. Każda osoba, która w ramach wykonywania obowiązków ma dostęp do danych osobowych, powinna posiadać odpowiednie upoważnienie lub działać na podstawie innego udokumentowanego polecenia administratora.

Upoważnienie powinno określać zakres danych, do których dana osoba może mieć dostęp, cel przetwarzania, systemy lub zbiory danych, z których może korzystać, oraz okres obowiązywania upoważnienia. Zakres upoważnienia powinien być zgodny z zasadą minimalnych uprawnień, co oznacza, że użytkownik powinien mieć dostęp wyłącznie do tych danych i funkcji, które są niezbędne do wykonywania powierzonych mu zadań.

Administrator powinien prowadzić ewidencję osób upoważnionych do przetwarzania danych. Ewidencja ta powinna być aktualizowana w przypadku zatrudnienia nowej osoby, zmiany stanowiska, zmiany zakresu obowiązków, zakończenia współpracy albo odebrania dostępu do danych.

Zasada minimalnych uprawnień

Zasada minimalnych uprawnień oznacza, że dostęp do danych osobowych, systemów i zasobów informacyjnych powinien być nadawany wyłącznie w zakresie koniecznym do realizacji obowiązków służbowych. Osoba zatrudniona w jednym dziale nie powinna mieć dostępu do danych innego działu, jeżeli nie jest to uzasadnione jej zadaniami.

Przykładowo pracownik administracyjny może potrzebować dostępu do danych kontaktowych klientów lub uczestników projektów, ale niekoniecznie do pełnej dokumentacji kadrowej. Pracownik działu kadr może potrzebować dostępu do akt osobowych pracowników, ale nie musi mieć uprawnień administratora systemu informatycznego. Z kolei osoba odpowiedzialna za obsługę informatyczną może mieć dostęp techniczny do systemu, ale nie powinna wykorzystywać danych w celach innych niż administracja i utrzymanie systemu.

Stosowanie zasady minimalnych uprawnień ogranicza skutki ewentualnego błędu, ataku lub nadużycia. Jeżeli konto użytkownika zostanie przejęte, zakres szkody będzie mniejszy, jeżeli konto posiadało tylko niezbędne uprawnienia.

Weryfikacja osób przed nadaniem dostępu

Przed przyznaniem dostępu do danych osobowych lub systemów informatycznych organizacja powinna upewnić się, że dana osoba rzeczywiście potrzebuje takiego dostępu oraz że została zapoznana z obowiązującymi zasadami bezpieczeństwa. Dotyczy to zarówno pracowników etatowych, jak i osób współpracujących na podstawie umów cywilnoprawnych, stażystów, praktykantów, wolontariuszy, konsultantów oraz zewnętrznych administratorów systemów.

W praktyce przed nadaniem dostępu należy określić zakres obowiązków danej osoby, przypisać jej odpowiednie role i uprawnienia, wydać upoważnienie, odebrać oświadczenie o zachowaniu poufności oraz przeprowadzić szkolenie wprowadzające z ochrony danych osobowych i cyberbezpieczeństwa.

Zobowiązanie do poufności

Każda osoba mająca dostęp do danych osobowych i informacji poufnych powinna zostać zobowiązana do zachowania poufności. Obowiązek ten powinien obejmować zarówno okres współpracy z organizacją, jak i czas po jej zakończeniu. Poufność oznacza, że osoba upoważniona nie może ujawniać danych osobom nieuprawnionym, omawiać spraw służbowych w miejscach publicznych, przesyłać danych niezatwierdzonymi kanałami ani wykorzystywać informacji w celach prywatnych.

Zobowiązanie do poufności powinno obejmować w szczególności dane osobowe, informacje kadrowe, dane finansowe, dokumentację projektową, informacje techniczne, hasła, dane dostępowe, informacje o zabezpieczeniach, dane kontrahentów, tajemnicę przedsiębiorstwa oraz wszelkie inne informacje, które nie są przeznaczone do publicznego ujawnienia.

Szkolenia i budowanie świadomości

Szkolenia są jednym z najważniejszych elementów zabezpieczeń osobowych. Osoby przetwarzające dane powinny znać podstawowe zasady RODO, wewnętrzne procedury organizacji, zasady korzystania z systemów informatycznych, poczty elektronicznej, Internetu, nośników danych oraz urządzeń mobilnych.

Szkolenia powinny być prowadzone nie tylko przy rozpoczęciu współpracy, ale również okresowo, zwłaszcza w przypadku zmian przepisów, wdrożenia nowych systemów, wystąpienia incydentów, zmiany procedur lub pojawienia się nowych zagrożeń cyberbezpieczeństwa.

Zakres szkolenia powinien obejmować m.in.:

zasady przetwarzania danych osobowych;
podstawowe obowiązki użytkownika;
zasady poufności;
rozpoznawanie phishingu i prób wyłudzenia danych;
bezpieczne korzystanie z poczty elektronicznej;
bezpieczne korzystanie z Internetu;
ochronę haseł i danych dostępowych;
korzystanie z urządzeń służbowych;
zasady pracy zdalnej;
postępowanie z dokumentacją papierową;
zgłaszanie naruszeń i incydentów bezpieczeństwa.

Szkolenia powinny być dokumentowane, na przykład poprzez listy obecności, potwierdzenia zapoznania się z procedurami, testy wiedzy lub zapisy w systemie szkoleniowym.

Odpowiedzialność użytkownika

Każda osoba mająca dostęp do danych osobowych powinna być świadoma, że odpowiada za prawidłowe korzystanie z powierzonych jej informacji i narzędzi. Użytkownik powinien przetwarzać dane wyłącznie w zakresie swoich obowiązków, nie udostępniać danych osobom nieuprawnionym, nie kopiować danych bez potrzeby, nie przesyłać ich prywatnymi kanałami i nie wykorzystywać ich do celów innych niż służbowe.

Użytkownik powinien również chronić swoje dane logowania, blokować komputer przy odejściu od stanowiska, korzystać z silnych haseł, nie podłączać nieznanych nośników, nie instalować nieautoryzowanego oprogramowania, ostrożnie otwierać załączniki i linki oraz niezwłocznie zgłaszać podejrzane zdarzenia.

Odpowiedzialność użytkownika powinna być jasno określona w dokumentach wewnętrznych, takich jak polityka bezpieczeństwa informacji, regulamin pracy, instrukcja korzystania z systemów informatycznych, polityka poczty elektronicznej, polityka korzystania z Internetu lub procedura ochrony danych osobowych.

Zarządzanie dostępem w cyklu zatrudnienia

Zabezpieczenia osobowe powinny obejmować cały cykl współpracy z daną osobą: od momentu rekrutacji lub przyjęcia do organizacji, przez okres wykonywania obowiązków, aż do zakończenia współpracy.

Przed rozpoczęciem pracy należy określić zakres dostępu, przeszkolić użytkownika, wydać upoważnienie i nadać odpowiednie konta w systemach. W trakcie współpracy należy monitorować, czy zakres uprawnień pozostaje aktualny, zwłaszcza przy zmianie stanowiska, awansie, przeniesieniu do innego działu lub zmianie zakresu obowiązków.

Po zakończeniu współpracy należy niezwłocznie odebrać dostęp do systemów, poczty elektronicznej, dokumentacji, pomieszczeń, nośników danych, sprzętu służbowego oraz innych zasobów. Należy również rozliczyć przekazany sprzęt, identyfikatory, karty dostępu, tokeny, klucze i dokumentację. Opóźnienie w odebraniu dostępu byłemu pracownikowi lub współpracownikowi może prowadzić do poważnego naruszenia bezpieczeństwa.

Kontrola przestrzegania zasad

Administrator powinien zapewnić mechanizmy kontroli przestrzegania zasad bezpieczeństwa przez użytkowników. Kontrola nie powinna mieć charakteru nadmiernego ani naruszać prywatności pracowników, ale powinna umożliwiać wykrywanie nieprawidłowości i reagowanie na zagrożenia.

Kontrola może obejmować przegląd uprawnień, analizę logów systemowych, weryfikację sposobu korzystania z poczty elektronicznej i Internetu, sprawdzanie aktualności upoważnień, kontrolę dokumentacji, audyty wewnętrzne, testy socjotechniczne, testy świadomości phishingowej oraz ocenę przestrzegania procedur.

Ważne jest, aby zasady kontroli były transparentne, opisane w dokumentacji wewnętrznej i znane użytkownikom. Osoby korzystające z systemów powinny wiedzieć, jakie działania mogą być monitorowane i w jakim celu.

Bezpieczeństwo pracy zdalnej i mobilnej

Zabezpieczenia osobowe mają szczególne znaczenie przy pracy zdalnej i mobilnej. Poza siedzibą organizacji trudniej zapewnić fizyczną kontrolę nad dokumentacją, sprzętem i otoczeniem pracy. Użytkownik powinien pracować w warunkach zapewniających poufność danych, unikać pracy z dokumentami w miejscach publicznych, nie pozostawiać laptopa bez nadzoru i nie prowadzić rozmów służbowych w sposób umożliwiający osobom postronnym zapoznanie się z informacjami.

Przy pracy zdalnej należy korzystać wyłącznie z zatwierdzonych urządzeń i systemów, zabezpieczonych hasłem, szyfrowaniem, aktualnym oprogramowaniem i mechanizmami ochrony. Dokumenty papierowe powinny być wynoszone poza siedzibę organizacji tylko wtedy, gdy jest to niezbędne i dopuszczone przez procedury. Użytkownik powinien również stosować zasady czystego biurka i czystego ekranu również w miejscu pracy zdalnej.

Zasada czystego biurka i czystego ekranu

Zasada czystego biurka polega na tym, że dokumenty zawierające dane osobowe lub informacje poufne nie powinny pozostawać bez nadzoru na biurku, drukarce, kserokopiarce, sali konferencyjnej ani w innym ogólnodostępnym miejscu. Po zakończeniu pracy dokumenty powinny być zabezpieczone w szafach, szufladach lub pomieszczeniach z ograniczonym dostępem.

Zasada czystego ekranu oznacza obowiązek blokowania komputera przy każdorazowym odejściu od stanowiska pracy oraz takie ustawienie monitora, aby osoby nieuprawnione nie mogły odczytać wyświetlanych informacji. Jest to szczególnie istotne w pomieszczeniach współdzielonych, recepcjach, punktach obsługi klienta, salach szkoleniowych oraz podczas pracy zdalnej lub mobilnej.

Zgłaszanie naruszeń i incydentów

Jednym z najważniejszych obowiązków użytkownika jest niezwłoczne zgłaszanie incydentów i podejrzeń naruszeń. Użytkownik nie powinien samodzielnie ukrywać błędów, usuwać dowodów ani podejmować działań, których nie przewiduje procedura. Szybkie zgłoszenie pozwala ograniczyć skutki naruszenia, zabezpieczyć dane, ustalić przyczyny zdarzenia i podjąć działania naprawcze.

Zgłoszeniu powinny podlegać w szczególności:

wysłanie wiadomości e-mail do niewłaściwego odbiorcy;
utrata dokumentów, laptopa, telefonu lub nośnika danych;
podejrzenie przejęcia konta;
ujawnienie hasła;
otrzymanie podejrzanej wiadomości;
kliknięcie w podejrzany link;
otwarcie podejrzanego załącznika;
dostęp osoby nieuprawnionej do danych;
pozostawienie dokumentów w miejscu publicznym;
nieuprawnione skopiowanie, usunięcie lub zmiana danych.

Organizacja powinna zapewnić prosty i znany użytkownikom sposób zgłaszania incydentów, na przykład poprzez dedykowany adres e-mail, formularz, numer telefonu lub bezpośredni kontakt z przełożonym, administratorem systemu albo inspektorem ochrony danych.

Ograniczanie ryzyka socjotechniki

Zabezpieczenia osobowe są szczególnie istotne w kontekście ataków socjotechnicznych. Ataki te polegają na manipulowaniu użytkownikiem w celu uzyskania danych, haseł, dostępu do systemów lub wykonania określonej czynności, na przykład przelewu, zmiany numeru rachunku bankowego, przesłania dokumentów albo kliknięcia w złośliwy link.

Użytkownicy powinni być szkoleni w zakresie rozpoznawania takich działań. Powinni zachować ostrożność wobec próśb o pilne działanie, nietypowych poleceń, wiadomości podszywających się pod przełożonych, dostawców, instytucje publiczne lub administratorów systemów. W przypadku wątpliwości należy zweryfikować żądanie innym kanałem komunikacji, korzystając z wcześniej znanych danych kontaktowych.

Odpowiedzialność kadry kierowniczej

Kadra kierownicza odgrywa istotną rolę w stosowaniu zabezpieczeń osobowych. Przełożeni powinni dbać o to, aby pracownicy mieli dostęp tylko do danych niezbędnych do wykonywania zadań, uczestniczyli w szkoleniach, przestrzegali procedur i zgłaszali incydenty. Powinni również informować osoby odpowiedzialne za bezpieczeństwo o zmianach stanowisk, zakresu obowiązków, długotrwałych nieobecnościach oraz zakończeniu współpracy z pracownikiem.

Bez aktywnego udziału kadry kierowniczej zarządzanie dostępem może być nieskuteczne, ponieważ to przełożeni najlepiej wiedzą, jakie uprawnienia są rzeczywiście potrzebne danej osobie.

Dokumentowanie zabezpieczeń osobowych

Zabezpieczenia osobowe powinny być udokumentowane. Dokumentacja pozwala wykazać, że organizacja wdrożyła odpowiednie środki organizacyjne i realizuje zasadę rozliczalności. Do dokumentów potwierdzających stosowanie zabezpieczeń osobowych mogą należeć:

upoważnienia do przetwarzania danych;
ewidencja osób upoważnionych;
oświadczenia o zachowaniu poufności;
potwierdzenia odbycia szkoleń;
regulaminy i instrukcje bezpieczeństwa;
procedura nadawania i odbierania uprawnień;
procedura zgłaszania naruszeń;
rejestr incydentów;
protokoły odbioru sprzętu i kart dostępu;
dokumentacja okresowych przeglądów uprawnień.

Taka dokumentacja ma znaczenie zarówno podczas audytów wewnętrznych, jak i w przypadku kontroli organu nadzorczego lub analizy incydentu bezpieczeństwa.

Przykładowe zabezpieczenia osobowe

Do najważniejszych zabezpieczeń osobowych można zaliczyć w szczególności:

nadawanie indywidualnych upoważnień do przetwarzania danych;
prowadzenie ewidencji osób upoważnionych;
zobowiązanie użytkowników do zachowania poufności;
szkolenia z RODO i cyberbezpieczeństwa;
stosowanie zasady minimalnych uprawnień;
okresowe przeglądy dostępów;
odbieranie uprawnień po zakończeniu współpracy;
jasne określenie odpowiedzialności użytkowników;
procedury zgłaszania incydentów;
zasady pracy zdalnej i mobilnej;
zasady czystego biurka i czystego ekranu;
kontrolę dostępu do pomieszczeń;
identyfikację osób korzystających z systemów;
monitoring działań administracyjnych;
edukację w zakresie phishingu i socjotechniki.

Podsumowanie

Zabezpieczenia osobowe są niezbędnym elementem skutecznej ochrony danych osobowych i cyberbezpieczeństwa. Ich istotą jest właściwe zarządzanie osobami, które mają dostęp do danych, systemów i informacji poufnych. Obejmują one nadawanie upoważnień, zobowiązanie do poufności, szkolenia, kontrolę dostępu, ograniczanie uprawnień, dokumentowanie działań oraz szybkie reagowanie na incydenty.

W kontekście RODO zabezpieczenia osobowe pomagają realizować zasadę rozliczalności, poufności, integralności i minimalizacji danych. W kontekście cyberbezpieczeństwa ograniczają ryzyko błędów ludzkich, phishingu, nadużyć, nieuprawnionego dostępu i wycieku informacji. Organizacja powinna traktować zabezpieczenia osobowe jako stały proces, obejmujący cały cykl współpracy z użytkownikiem — od nadania dostępu, przez szkolenia i nadzór, aż po odebranie uprawnień po zakończeniu współpracy.

Skuteczna ochrona danych nie zależy wyłącznie od technologii. W dużej mierze zależy od świadomości, odpowiedzialności i prawidłowych działań osób, które na co dzień pracują z informacjami. Dlatego zabezpieczenia osobowe powinny być jasno opisane, regularnie przypominane, egzekwowane i dostosowywane do zmieniających się zagrożeń oraz potrzeb organizacji.