Publicystyka - ngo.pl

Szczególnie wrażliwe są dane osobowe, umożliwiające identyfikację danej osoby, czyli:

• Imię i nazwisko, adres, numer telefony, adresy e-mail,
• Informacje dotyczące numeru konta, karty kredytowej
• Informacje medyczne, na temat stanu zdrowia, hospitalizacji.

Każda organizacja działa w inny sposób, więc mogą się tu pojawić też inne typy danych, charakterystyczne dla jej pracy.

• Kto udostępnia wam swoje dane osobowe? Beneficjenci, pracownicy, wolontariusze i darczyńcy – to na pewno. Ale czy są jeszcze jakieś źródła wrażliwych informacji?
• Jak pozyskujecie te dane? Przez e-mail, formularz na stronie internetowej, przez telefon, osobiście? Czy są inne sposoby, w jakie zbieracie informacje?

• Po co zbieracie te informacje? Jak są one używane? Czy są konieczne do tego, żeby wykonywać konkretne zadania i świadczyć konkretne usługi?
• Jak długo przechowujecie dane?

• Gdzie trzymacie zebrane informacje? Na komputerach, serwerach, w bazach danych i wersji papierowej, ale gdzie jeszcze? Urządzenia mobilne, pendrive'y, prywatne komputery pracowników i wszelkie inne urządzenia – czy na nich też znajdują się jakieś dane?
• Kto ma dostęp do danych? Czy potrzebna jest autoryzacja, żeby ten dostęp uzyskać? Czy możliwy jest nieautoryzowany dostęp do informacji? Pomyślcie również o ludziach spoza organizacji – sprzedawcach i dostawcach sprzętu i usług, pracowników kontraktowych i wszystkich tych, którzy mogliby mieć dostęp do danych organizacji.

• Jak dane osobowe są udostępniane między pracownikami i jak przekazują je między sobą? Telefonicznie, mailowo, przez współdzielone pliki, narzędzia do współpracy, pendrive'y, czy wewnątrz sieci organizacji?
• Jakie jest postępowanie w przypadku prośby o udostępnienie danych?
• Czy podlegacie jakimś oficjalnym wymogom dotyczącym danych osobowych?

• Czy komputery, serwery, segregatory i inne narzędzia do przechowywania danych trzymane są w zamykanych pomieszczeniach?
• Czy regularnie tworzycie kopie zapasowe danych? Gdzie są one przechowywane?

• Czy w biurze jest firewall?
• Czy korzystacie ze zaktualizowanego oprogramowania antywirusowego i antyspyware'owego?
• Jakie są reguły dotyczące haseł? Jak często hasła są zmieniane?
• Czy korzystacie z narzędzi szyfrujących stronę internetową, e-mail, przechowywane dane, lub sieć bezprzewodową?
• Czy szkolicie pracowników na temat tego, jak skutecznie chronić dane osobowe i bezpiecznie z nich korzystać?
• Jakie wprowadziliście inne procedury dotyczące bezpieczeństwa?

• Czy podlegacie jakimś wymogom odnoście czasu przechowywania danych? Jeżeli tak, jak długo trzeba przechowywać informacje? Jak je przechowujecie?
• Jak pozbywacie się danych, kiedy nie są już dłużej potrzebne?
• Czy dokumenty papierowe się niszczone w niszczarce lub w inny sposób?
• Jak czyszczone są z danych stare urządzenia, włączając w to pendrive'y, zewnętrzne twarde dyski, laptopy, komputery i urządzenia mobilne?

• Jakie jest ryzyko naruszenia bezpieczeństwa danych? Jakie są jego potencjalne konsekwencje?
• Czego potrzeba, żeby zmniejszyć to ryzyko?
• Co robicie teraz, żeby go uniknąć?
• Co jeszcze musicie zrobić?

Odpowiedzenie sobie na te pytania pomoże w znalezieniu potencjalnych luk w waszym systemie ochrony danych. Czy któreś z pytań pozostaje bez odpowiedzi? To znaczy, że należy zastanowić się nad tym zagadnieniem i opracować dotyczące go procedury. Określcie też wasze zasady dotyczące ochrony danych, zgodnie z poniższymi wytycznymi:

• Określcie, jakie dane klientów i współpracowników są zbierane, co powinno się z nimi robić, kto powinien mieć do nich dostęp i jak będą one chronione.
   
• Pomyślcie o wyjątkach od reguły: na przykład, kiedy coś trzeba będzie zgłosić na policję lub do innej instytucji.
   
• Ustalcie, jakie dane muszą być przechowywane (i jak długo), a które można usunąć – i jak to robić. To samo dotyczy tego, jak dane są przesyłane i przechowywane.
   
• Zaplanujcie strategię na wypadek naruszenia bezpieczeństwa danych i zadbajcie o to, by każdy wiedział, jak się w takim wypadku zachować.