Niszczarki Rexel. Dlaczego polityka w zakresie bezpieczeństwa dokumentów jest integralnym warunkiem zapewnienia

Transkrypt

1 Niszczarki Rexel Dlaczego polityka w zakresie bezpieczeństwa dokumentów jest integralnym warunkiem zapewnienia zgodności z GDPR? Zastrzeżenie Niniejszego dokumentu nie należy interpretować jako porady prawnej. Organizacjom zaleca się konsultację z prawnikiem w zakresie zgodności z ogólnym rozporządzeniem o ochronie danych i innymi obowiązującymi przepisami lub rozporządzeniami.

2 O tym dokumencie Niniejszy dokument zawiera ogólne informacje o celach GDPR, oraz wyzwaniach dla organizacji. Celem niniejszego opracowania jest przedstawienie ogólnego rozporządzenia UE o ochronie danych (GDPR) i jego wpływie na działanie przedsiębiorstw dla firm. Pomoże to opracować ramy polityki bezpieczeństwa dokumentów Twojej firmy zanim rozporządzenie wejdzie w życie w maju 2018 r. Co to jest GDPR? Rozporządzenie GDPR (General Data Protection Regulation) wymaga stosowania przez organizacje dobrych praktyk ochrony danych osobowych na nośnikach elektronicznych i na papierze oraz informowania osób, których dane osobowe mogłyby ucierpieć wskutek naruszenia bezpieczeństwa. Zasięg GDPR rozszerza się globalnie na wszystkie organizacje, które kontrolują lub przetwarzają dane umożliwiające identyfikację osób w UE, niezależnie od zasięgu geograficznego tych organizacji. Wymagania rozporządzenia GDPR dotyczą zarówno danych osobowych na nośnikach elektronicznych jak i danych na papierze, co oznacza, że wszystkie organizacje przetwarzające dane pochodzące z UE muszą zastosować się do tego rozporządzenia. Chociaż bezpieczeństwo danych elektronicznych słusznie jest priorytetem w wielu organizacjach, jednak wiele z nich nie uwzględnia w wystarczającym stopniu bezpieczeństwa danych na papierze. Prawie dwie trzecie biur przyznaje, że nie niszczy dokumentów zawierających informacje poufne 1. Naraża to firmy na ryzyko niezgodności z GDPR, a dane na ryzyko oszustw i kradzieży tożsamości. Mając to na uwadze, wiodąca marka niszczarek, Rexel zachęca organizacje do przeglądu polityki i praktyk w zakresie bezpieczeństwa, zarówno w odniesieniu do danych na papierze jak i danych elektronicznych.

3 OGÓLNE PRZEPISY W ZAKRESIE OCHRONY DANYCH Przegląd GDPR ma za zadanie ochronę prawa do prywatności osób fizycznych w Europie bez względu na to czy są obywatelami UE. Prawo to obejmuje między innymi: Przejrzystość Prawo do uzyskania jasnych informacji dotyczących przetwarzania przez organizacje danych osobowych. Zgoda Prawo do kontrolowania sposobu wykorzystania danych osobowych przez organizacje. Bezpieczeństwo Prawo do informacji o tym, w jaki sposób organizacje chronią dane osobowe. Ograniczenie gromadzenia danych i celów Oczekiwanie zminimalizowania gromadzenia i wykorzystywania danych przez organizacje. Powiadomienie o naruszeniu bezpieczeństwa danych Prawo do informacji w przypadku naruszenia bezpieczeństwa danych. GDPR jest częścią planu Komisji Europejskiej mającego na celu unowocześnienie i zharmonizowanie zasad ochrony danych. Choć głównym celem GDPR jest wzmocnienie prawa do prywatności w internecie, GDPR dotyczy także prywatności danych na papierze. Rozporządzenie ma na celu rozwiązywanie coraz większych wyzwań w zakresie ochrony danych i prywatności, ryzyka naruszenia bezpieczeństwa, włamania i innych przypadków nielegalnego przetwarzania danych.

4 OGÓLNE PRZEPISY W ZAKRESIE OCHRONY DANYCH Co uległo zmianie? Poniższe punkty określają konkretne obszary w ramach GPRD, które są nowymi prawami dla osób fizycznych lub istniejącymi prawami wynikającymi z ustawy o ochronie danych osobowych, które zostały wzmocnione w ramach GPRD. Możliwość przenoszenia danych i prawo do bycia zapomnianym Osoby fizyczne mają teraz prawo do przeniesienia swoich danych osobowych z jednej organizacji do innej. Dane osobowe muszą być dostarczone w formie uporządkowanej i umożliwiającej ich maszynowe odczytywanie. Można też zażądać usunięcia danych osobowych. Powiadomienie o naruszeniu bezpieczeństwa danych Wszelkie naruszenia bezpieczeństwa danych należy zgłaszać organowi nadzoru. Inwentarz Władze lokalne nie muszą już być informowane o przetwarzaniu danych osobowych. Organizacje muszą prowadzić rejestr działań związanych z przetwarzaniem powierzonych im danych. Ocena skutków w zakresie ochrony danych i bezpieczeństwa Ocena skutków w zakresie ochrony danych to środek identyfikacji wysokiego ryzyka dla prawa do prywatności osób fizycznych. Wymagania i zalecenia dotyczące bezpieczeństwa danych powinny opierać się na ocenie ryzyka. Należy również poinformować osoby, których dane osobowe mogłyby ucierpieć wskutek takiego naruszenia. Zarządzanie danymi i odpowiedzialność Organizacje muszą także być w stanie wykazać zgodność z GPRD. Niezgodność z GPRD może skutkować karą do 20 milionów Euro lub 4% globalnego dochodu firmy, w zależności od tego, która kwota jest większa. Ponadto osoba, której dane dotyczą, ma prawo zaskarżyć organizację do sądu.

5 OGÓLNE PRZEPISY W ZAKRESIE OCHRONY DANYCH Kogo dotyczy rozporządzenie? Wprowadzenie w życie GPRD w maju 2018 r. będzie miało znaczenie dla następujących stanowisk pracy: Administratorzy danych określają cele i sposoby przetwarzania danych Osoby przetwarzające dane osoby fizyczne lub prawne, jednostki czy inne podmioty przetwarzające dane w imieniu administratorów danych. Osoby na tych stanowiskach są odpowiedzialne za zapewnienie pełnej zgodności ich klientów ze wszystkimi aspektami GPRD, aby uniknąć kar pieniężnych. Osoba przetwarzająca dane lub administrator danych muszą wyznaczyć inspektora ochrony danych i prowadzić rejestr działań związanych z przetwarzaniem danych w imieniu swoich klientów.

6 GPRD dotyczy danych osobowych i wrażliwych danych osobowych w formie elektronicznej i fizycznej. Należy rozważyć, do jakiego rodzaju danych zastosowanie ma rozporządzenie GPRD przed opracowaniem zasad zapewnienia zgodności dla danej organizacji. GPRD obejmuje wszelkie informacje, które mogą posłużyć do bezpośredniego lub pośredniego zidentyfikowania danej osoby. Dane osobowe objęte GPRD to przykładowo imię i nazwisko, adres i numer telefonu. GPRD nakłada również dodatkową ochronę na kategorię danych osobowych nazywanych wrażliwymi danymi osobowymi. GPRD dotyczy danych osobowych przetwarzanych przez organizacje w formie elektronicznej i fizycznej, jak na przykład dokumenty na papierze.

7 Te elementy to: Ramy zgodności z GPRD dla firm W organizacjach są trzy główne obszary, które należy sprawdzić pod kątem zgodności z rozporządzeniem. Poprzez uwzględnienie tych trzech obszarów firmy będą mogły skonstruować jasne ramy polityki bezpieczeństwa danych dla każdego ich aspektu, co pomoże zapewnić zgodność we wszystkich obszarach objętych GPRD. Ludzie Odpowiedzialność pracowników za wszelkie dane przetwarzane przez nich w ramach organizacji ma kluczowe znaczenie. Organizacja musi określić jasne zasady dla każdego pracownika w celu prawidłowego zarządzania wszystkimi danymi przechowywanymi elektronicznie lub na papierze. Rozporządzenie GPRD wprowadziło wymagania dotyczące przetwarzania wszystkich danych. Na przykład, aby działać zgodnie z rozporządzeniem będzie trzeba wprowadzić jasne zasady dotyczące korzystania z dokumentów papierowych zawierających dane osobowe lub wrażliwe dane osobowe. Konieczne będzie również określenie procesu prawidłowego niszczenia dokumentów po ich wykorzystaniu, w oparciu o wrażliwość zawartych w nich danych. Procesy GPRD odnosi się do procesów wewnątrz organizacji, np. zarządzania wykorzystaniem danych jak przetwarzanie lub przechowywanie danych klientów. Firmy muszą przeanalizować wszystkie swoje bieżące procesy dotyczące danych. Jeśli zostaną wykryte luki i słabe punkty istniejących procedur, firma musi opracować plan ramowy, który w razie konieczności wzmocni lub zastąpi te obszary, zapewniając zgodność z GPRD. Technologia Obecne możliwości i wymagania IT powinny zostać odpowiednio przeanalizowane i dostosowane do GPRD przed majem 2018 r. Każda firma musi zapewnić, że wszystkie istniejące systemy, które nie są w pełni zgodne z rozporządzeniem, zostaną ulepszone lub zastąpione nowymi, aby uniknąć ewentualnych kar pieniężnych po wejściu w życie GPRD.

8 Dlaczego bezpieczeństwo dokumentów na papierze ma znaczenie? Choć zagrożenia cyfrowe są wysoko na liście priorytetów organizacji, błędem byłoby przypuszczać, że nie istnieją zagrożenia związane z dokumentami papierowymi. Po omówieniu tego, czego od firm wymaga GPRD, należy zwrócić uwagę na kwestię bezpieczeństwa dokumentów na papierze i dlaczego jest to kluczowy problem dla firm przygotowujących się do spełnienia wymagań GPRD. Raport PwC z 2014 r. w porozumieniu z firmą zajmującą się rejestrowaniem danych Iron Mountain 2, która zbadała europejskie firmy średniej wielkości w zakresie sposobu postrzegania i zarządzania ryzykiem związanym z danymi informuje, że u 2/3 respondentów zarządzanie ryzykiem związanym z dokumentami na papierze budzi największe obawy.

9 Dokumenty papierowe nadal często są źródłem naruszeń bezpieczeństwa danych 40% incydentów naruszenia bezpieczeństwa danych w Wielkiej Brytanii dotyczyło dokumentów papierowych Dane pozostawione w niechronionym miejscu Dane wysłane pocztą lub faksem do niewłaściwego odbiorcy Utrata/ a/kradzież dokumentó mentów Pośród 598 incydentów związanych z bezpieczeństwem danych zarejestrowanych pomiędzy lipcem a wrześniem 2016 r. przez brytyjski organ ochrony danych Information Commissioner s Office (ICO): Nieodpowiednia utylizacja dokumentów Przypadki naruszenia bezpieczeństwa danych 14% było spowodowanych utratą lub kradzieżą dokumentów papierowych, kolejne 19% wysłano pocztą lub faksem do niewłaściwego odbiorcy, a 4% było spowodowanych pozostawieniem danych w niechronionym miejscu. Kolejne 3% to niewłaściwa utylizacja dokumentów. Pomimo ogromnego wzrostu zastosowania technologii cyfrowych, 40% incydentów dotyczyło dokumentów papierowych 3.

10 Współpraca użytkowników jest kluczowa dla zgodności z GPRD Jeśli bezpieczeństwo dokumentów papierowych ma kluczowe znaczenie dla bezpieczeństwa informacji, to pytanie brzmi: Co mogą zrobić organizacje? Firma Rexel specjalizuje się w dostarczaniu firmom niszczarek do papieru. W bezpośrednim partnerstwie z firmami takimi jak światowy lider w dziedzinie zabezpieczeń sprzętu komputerowego Kensington, możemy uzyskać cenne informacje na temat potrzeb, oczekiwań i wyzwań organizacji starających się chronić swoje dane i przestrzegać GPRD. Te spostrzeżenia doprowadziły nas do przekonania, że istnieją dwie główne przeszkody w skutecznym niszczeniu dokumentów w organizacjach: Brak świadomości Firmy nie uwzględniają znaczenia dokumentów papierowych w zdygitalizowanym miejscu pracy, dlatego też nie poświęcają czasu na rozwiązywanie problemów bezpieczeństwa tych dokumentów. Nawet jeśli istnieje odpowiednia polityka, to jeśli przepisy prawne nie zostaną skutecznie przekazane na wszystkich szczeblach organizacji, pracownicy nie są świadomi swoich obowiązków. Łatwość użycia Dostępność odpowiednich urządzeń niszczących ma kluczowe znaczenie dla skuteczności polityki niszczenia dokumentów. Zbyt często organizacje i biura opierają się na nieefektywnych niszczarkach ręcznych, które nie spełniają ich potrzeb, pozostawiając pracowników bez skutecznych i wydajnych możliwości niszczenia dokumentów. Po zidentyfikowaniu przeszkód we wdrażaniu skutecznej polityki niszczenia dokumentów, następnym krokiem jest określenie odpowiedniego rozwiązania w celu ich pokonania.

11 1. punkt współpracy użytkowników w celu zapewnienia zgodności z GPRD TYLKO Brak świadomości Pracownicy zazwyczaj wykonują czynności, które są wyraźnie oznaczone jako priorytet przez menedżerów. Mając to na uwadze, jasna i solidna polityka niszczenia dokumentów może rozwiązać wiele problemów związanych z brakiem efektywności. Badanie PwC/Iron Mountain z 2014 r. europejskich firm średniej wielkości 2 wskazuje, że zaledwie 40% ma jasne wytyczne dla pracowników dotyczące gromadzenia i przechowywania dokumentów fizycznych, a tylko 27% posiada politykę firmy służącą bezpiecznemu przechowywaniu i usuwaniu informacji poufnych. 27% firm posiada politykę usuwania danych

12 2. punkt współpracy użytkowników w celu zapewnienia zgodności z GPRD Prosta obsługa Drugą częstą przyczyną, nie niszczenia dokumentów przez pracowników, jest trudność zadania i czas. Chociaż pracownicy mogą mieć dostęp do niszczarek, nie wszyscy niszczą dokumenty, jeśli zajmuje to dużo czasu lub jest trudne. Nic dziwnego, że żadna organizacja nie chce inwestować w niszczarki, jeśli pracownicy nie używają ich z powodu niskiej wydajności lub skomplikowanej obsługi, dlatego należy rozwiązać te kwestie, aby zapewnić maksymalne wykorzystanie urządzenia. Większa efektywność pracowników dzięki technologii automatycznego podawania

13 Wniosek: Niszczarki z automatycznym podajnikiem to bezpośrednie rozwiązanie potrzeby zachęcenia pracowników do przestrzegania polityki bezpieczeństwa dokumentów papierowych. Nasze badania 4 pokazują, że 53% pracowników ma zwyczaj odkładania dokumentów na kupkę, zanim wybiorą się z nimi do niszczarki. Niszczenie dokumentów partiami lub wszystkich na raz 14:25 ręcznie 00:14 w niszczarkach Rexel Auto+ Niezależne badania wykazały, że możliwość niszczenia dużych ilości dokumentów na raz skraca czas poświęcany na niszczenie o 98% 5, a pracownicy są bardziej skłonni do niszczenia dokumentacji. Czas niszczenia 500 kartek

14 6 kluczowych aspektów GPRD do rozważenia 1. Rozważ wyznaczenie inspektora ochrony danych Inspektor ochrony danych musi być w pełni świadomy obowiązków organizacji wynikających z GPRD oraz posiadać dogłębną wiedzę o danych w organizacji, które są danymi osobowymi: gdzie są przechowywane, kto ma do nich dostęp, jak wykryć naruszenia bezpieczeństwa, jeśli wystąpią i komu należy je zgłosić. Inspektor ochrony danych nie musi być zatrudniony w organizacji. Tę funkcję można zlecić firmie zewnętrznej. 2. Ocena systemów Sprawdź wszystkie umowy, wsparcie technologiczne, procedury i narzędzia związane z przetwarzaniem, przechowywaniem i usuwaniem danych osobowych w celu umożliwienia identyfikacji słabych punktów lub luk, które wymagają zmian. 3. Opracowanie strategii Opracuj nową strategię, która zapewni zgodność z wymogami GPRD. Strategia ta może obejmować inwestycje w nowe technologie, przegląd procedur pracowniczych i odpowiedzialności za przetwarzanie danych oraz tworzenie nowych stanowisk pracy. 4. Wdrożenie nowej polityki organizacyjnej Następnym krokiem w kierunku zgodności z rozporządzeniem GPRD jest wdrożenie planu działania na wszystkich szczeblach organizacji. Zainwestuj, wprowadzając nowe technologie i systemy wymagane w miejscu pracy, a następnie opublikuj podręcznik przetwarzania danych. 5. Zaangażowanie pracowników Wprowadź nową politykę zgodności w całej organizacji, zapewniając wszystkim pracownikom szkolenie, informacje i podręcznik, dzięki czemu będą oni świadomi wprowadzanych zmian oraz odpowiedzialności za zapewnienie zgodności z wymaganiami GPRD. 6. Przegląd i udoskonalenia Po wdrożeniu planu zapewnienia zgodności z GPRD nadszedł czas na przegląd i wprowadzenie ulepszeń przed wejściem w życie rozporządzenia. Identyfikacja wszelkich niezbędnych ulepszeń z wyprzedzeniem, przed wejściem GPRD w życie w maju 2018 r. zapewni Twojej firmie efektywne wprowadzenie zmian i całkowitą zgodność z wymogami rozporządzenia.

15 ŹRÓDŁA 1 envirowaste.co.uk/blog/articles/third-companies-shred-private-documents 2 Beyond good intentions: The need to move from intention to action to manage information risk in the mid-market, Raport PwC w porozumieniu z Iron Mountain, czerwiec ico.org.uk/action-weve-taken/data-security-incident-trends 4 Ocena niszczarek z automatycznym podajnikiem. Przygotowano na zlecenie ACCO Brands przez Deep Blue Insight. 5 Niezależny test Intertek Testing & Certification Ltd, czerwiec Maksymalne oszczędności przy wykorzystaniu niszczarki Auto+ 500X w porównaniu z tradycyjną niszczarką w podobnej cenie. Według badań czas ręcznego podawania 500 kartek do niszczarki tradycyjnej z podawaniem ręcznym to 14 minut i 25 sekund, ale wystarczy zaledwie 14 sekund, aby do niszczarki Auto+ 500X załadować tę samą ilość kartek.