201911.16
0

Jak zabezpieczyć komputer przenośny przed nieautoryzowanym dostępem do danych osobowych ?

RODO: Możliwy wyciek danych osobowych z SGGW

Szkoła Główna Gospodarstwa Wiejskiej poinformowała w dniu 14 listopada 2019 r. o możliwym wycieku danych osobowych osób, których dane były przetwarzane w procesach rekrutacyjnych w ostatnich lata. Z informacji przedstawionej przez rzecznika uczelni wynika, że w skutek kradzieży laptopa pracownika uczelni, osoby trzecie mogły uzyskać dostęp do następujących danych osobowych:

imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.

Jak chronić dane osobowe znajdujące się na komputerach przenośnych ?

Podstawowym środkiem zabezpieczenia danych osobowych znajdujących się na komputerach przenośnych jest szyfrowanie danych. Zaszyfrować można zarówno poszczególne katalogi jak i  całe dyski, z dyskiem systemowym włącznie. W tym ostatnim przypadku przed uruchomieniem komputera niezbędnym będzie podanie odpowiedniego, ustalonego wcześniej hasła.  Dzięki tej metodzie, w przypadku kradzieży sprzętu, ryzyko uzyskania dostępu do danych jest znikome, pod warunkiem jednak, że użyte zostało hasło o odpowiedniej długości i złożoności.  

Wskazać również należy, że niektóre wyższe wersje Windows zawierają w sobie program do szyfrowania dysków – „Bitlocker”. Jeżeli Windows takiej opcji nie posiada, wówczas można zastosować darmowy program „Veracrypt”.

O czym jeszcze powinniśmy pamiętać ?

Samo szyfrowanie danych na komputerze przenośnym to zdecydowanie za mało. Pamiętać bowiem należy, że zgodnie z RODO administratorzy danych winni dokonywać regularnie kopii bezpieczeństwa przetwarzanych danych osobowych. Kopie takie są niezbędne chociażby z tego względu, że w przypadku kradzieży komputera przenośnego administrator będzie wiedział jakie dane i w jakim zakresie zostały ujawnione. Dzięki temu podjęcie stosownych działań powinno być prostsze i zdecydowanie szybsze.  Na rynku dostępne są darmowego jak i płatne programy do wykonywania kopii bezpieczeństwa poszczególnych katalogów jak i całych dysków twardych.

Na koniec warto również wspomnieć, że w przypadku gdy  naruszenie ochrony danych osobowych mogłoby powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Wobec czego należy za każdym razem wykonać odpowiednią analizę stanu faktycznego czy takie ryzyko istnieje. Zawiadomienie takie nie będzie jednak potrzebne gdy :

a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,

c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, przede wszystkim w przypadku gdy  istnieje  możliwość wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, zawiadomienie właściwego organu nadzorczego (Prezes UODO) i to w terminie nie dłuższym niż 72 godziny po stwierdzeniu naruszenia.