„Dane w niebezpieczeństwie” to tytuł rozmowy w programie Bezpieczny Biznes w telewizji Biznes24, w której uczestniczył nasz specjalista.
W dobie pandemii, gdy coraz więcej firm organizuje szczepienia w zakładach pracy, ochrona danych osobowych staje się nie tylko obowiązkiem prawnym, ale i kluczowym elementem zaufania. Niedawny incydent ujawnienia danych ponad 22 000 funkcjonariuszy policji, straży granicznej i innych służb mundurowych, którzy rejestrowali się na szczepienia, to alarmujący sygnał dla wszystkich pracodawców.
Jak pracodawca w takiej sytuacji powinien zadbać o dane gromadzone w swoich systemach, odpowiedział lider zespołu eksperckiego Instin Sergiusz Parszowski.
Jakie dane są zagrożone podczas organizacji szczepień
W procesie rejestracji na szczepienia pracodawcy mogą przetwarzać dane takie, jak:
- imię i nazwisko;
- numer PESEL;
- adres zamieszkania;
- dane kontaktowe;
- informacje o stanie zdrowia (np. przeciwwskazania do szczepienia).
To dane wrażliwe, które muszą być przetwarzane zgodnie z zasadą minimalizacji – czyli tylko w takim zakresie, jaki jest niezbędny do realizacji celu.
Jak pracodawca powinien chronić dane pracowników
Pracodawcy powinni przestrzegać zasady minimalizacji danych, czyli zbierać tylko te informacje o pracownikach, które są absolutnie niezbędne do konkretnego celu – np. organizacji szczepień. Nie należy gromadzić danych „na zapas”. W razie potrzeby brakujące informacje można uzupełnić później, ponieważ pracodawca ma stały kontakt z pracownikami. Kluczowe jest również odpowiednie zaprojektowanie procesu przekazywania danych do podmiotu medycznego, który realizuje szczepienia – począwszy od określenia celu, podstawy prawnej i zakresu danych, aż po sposób ich bezpiecznego transferu.
1. Projektowanie procesu przetwarzania danych
- Unikanie tworzenia zbiorczych baz danych z pełnymi informacjami pracowniczymi.
- Określenie celu, podstawy prawnej i zakresu danych.
- Zbieranie tylko tych informacji, które są absolutnie konieczne.
- Unikanie tworzenia zbiorczych baz danych z pełnymi informacjami pracowniczymi.
2. Korzystanie z bezpiecznych narzędzia IT
- Korzystanie z formularzy i systemów, które oferują szyfrowanie danych.
- Sprawdzenie czy dostawca narzędzia zapewnia odpowiedni poziom zabezpieczeń.
- Dbanie o bezpieczeństwo transmisji danych – od momentu wpisania ich przez pracownika, aż po przekazanie do podmiotu leczniczego.
3. Oddzielne bazy danych do szczepień
- Baza danych o szczepieniach nie powinna łączyć się z bazami kadrowymi, finansowymi czy ZUS.
- Najlepiej stworzyć osobną bazę tylko na potrzeby szczepień.
- Przed udostępnieniem danych podmiotowi trzeciemu (np. przychodni) przejrzeć dane i usunąć zbędne informacje.
Cyberprzestępcy nie śpią – jak działają?
Cyberprzestępcy w swoim działaniu bazują na ludzkich słabościach i emocjach. Zazwyczaj stosują różnego rodzaju narzędzia socjotechniczne, wykorzystują różne zdarzenia, takie jak epidemia, katastrofy, sytuacje polityczne, różne konflikty, by wyłudzać dane. Najczęściej stosują:
- phishing (podszywanie się pod instytucje);
- złośliwe oprogramowanie;
- socjotechnikę bazującą na emocjach i strachu.
Szczepienia w firmie a ochrona danych osobowych – dobre praktyki
W wielu firmach dane osobowe pracowników są gromadzone latami w jednej, obszernej bazie, zawierającej m.in. numery PESEL, adresy i inne dane wrażliwe. Przy organizacji szczepień należy unikać wykorzystywania całej tej bazy. Zamiast tego, rekomenduje się stworzenie osobnego, ograniczonego zbioru danych zawierającego tylko niezbędne informacje (np. imię, nazwisko, PESEL) potrzebne do przeprowadzenia szczepień. Wszelkie dodatkowe informacje, takie jak termin szczepienia czy jego realizacja, powinny być uzupełniane wyłącznie w tej odrębnej bazie. Przed przekazaniem danych podmiotowi trzeciemu (np. przychodni) należy dokładnie przeanalizować, które dane są rzeczywiście potrzebne, a które należy usunąć, by zminimalizować ryzyko naruszenia prywatności.