Otóż Polska jako państwo członkowskie Unii Europejskiej musi przestrzegać dyrektywy 95/47/WE dotyczącej ochrony danych osobowych. W 1997 roku weszła w życie ustawa na ten temat, natomiast w marcu bieżącego roku znowelizowano ją . Zwiększyła ona pozycję Generalnego Inspektora do respektowania tej ustawy od przedsiębiorców. Wdrożenie ochrony danych osobowych w swojej firmie, w mojej ocenie, powinno być wstępem do profesjonalnego podejścia do bezpieczeństwa informacji.
Ile jest wart Twój komputer
Robiąc wdrożenia w firmach swoich Klientów, zauważyłem, że powierzają oni informację, które są dla nich warte sporą sumę pieniędzy. Większość osób myśli jednak, że wartość utraconego komputera nie jest wysoka, więc po co się zabezpieczać. Zgoda – dziś komputery nie są drogie. Ile kosztuje Twój komputer? 2 tyś, 3 tyś, 5 tyś zł? A ile warte są dla Ciebie dane, które się tam znajdują? Można rzec, jak w jednej reklamie – bezcenne. Otóż, o ile samo urządzenie kosztuje niewiele, o tyle wartość danych znajdujących się na nim jest dużo większa. Wyobraź sobie, że piszesz biznesplan firmy, która da Tobie przychody rzędu setek tysięcy złotych i nagle gubisz ten komputer lub pada on łupem złodzieja. Mówiąc krótko, trafia w niepowołane ręce. Wydostanie tych informacji z niezabezpieczonego komputera jest łatwe, wystarczyłoby tylko zaszyfrować dysk odpowiednim programem. Kolejną sprawą są kopie bezpieczeństwa, które chronią nas przed utratą danych. Są to jedne z nielicznych kwestii, jakie powinna zawrzeć firma budująca swoją markę w dokumencie o nazwie Polityka Bezpieczeństwa Informacji.
Jak myślisz, czy firma Sony bez swoich procedur nie odczułaby utraty swoich zysków po niedawnym wycieku danych ze swojej sieci ?
Kolejnym przykładem może być pewna firma z Polski produkująca mięso i wędliny. Parę lat temu dziennikarze wykryli, co robi się z tymi produktami, na pewno słyszałeś o tym przypadku. Efektem tego była konieczność zmiana marki, która nie kojarzyłaby się z tamtą. Kilka lat budowania pozycji poszło na marne. Akurat w tym przypadku nie bronię nikogo, jednak chciałbym uzmysłowić Tobie, Drogi Czytelniku, jak ważne są procedury bezpieczeństwa informacji w biznesie.
Ile kosztują dane osobowe z Twojej bazy
Handel danymi osobowymi kwitnie w Internecie od lat. Przyjmuje się, że wartość jednego rekordu bazy jest warta od 2,50 zł do 5 zł w zależności od tego, co się na nim znajduje. Ile rekordów ma Twoja baza ?
Właśnie instytucja taka jak GIODO została powołana po to, aby stać na straży tego, aby dane osobowe Twoich Klientów, które powinny być dla Ciebie najcenniejsze, nie wyciekały do osób niepowołanych.
Opracowanie Polityki Bezpieczeństwa Informacji na potrzeby rejestracji zbioru danych nie jest rzeczą trudną i skomplikowaną, ponieważ ograniczenie zabezpieczeń do minimum, jakie są w stosownych aktach prawnych, nie wymaga od nas dużych środków finansowych i nakładu pracy. Mając jednak na uwadze to, co napisałem wcześniej, wypada podnieść poprzeczkę.
Możesz mieć super strategie marketingowe przyciągające Klientów, jednak konkurencja nie śpi. Żyjemy w czasach, w których informacja jest najbardziej pożądanym towarem i wielu jest w stanie zapłacić za niego wiele. Czym będą te strategie, kiedy w pewnych okolicznościach trafią one w ręce Twojej konkurencji ?
Moja recepta
Rozwiązaniem tych dylematów bez względu na to na jaką skalę prowadzisz swój biznes powinieneś się zainteresować wprowadzeniem Polityki Bezpieczeństwa Informacji. Posiadając dobrze skonstruowany dokument, nie straszne będzie Tobie GIODO, widmo kar i ich kontroli. Działaj legalnie, obowiązek rejestracyjny baz istnieje, choć są od tego oczywiście wyjątki (Art. 43 ust. 1 ustawy o ochronie danych osobowych), jednak nie zwalnia on Ciebie od przestrzegania zasad ochrony danych osobowych.
Sama klauzula nie wystarczy
Większość firm wychodzi z założenia, że umieszczenie w swoich serwisach standardowej formułki „Wyrażam zgodę na przetwarzanie danych osobowych dla firmy w celach itd.” załatwia sprawę. Niestety, tak nie jest. Przetwarzając dane osobowe bez względu na to, czy rejestracja zbioru jest wymagana lub nie, nakłada na nas pewne inne obowiązki jakim jest:
- Posiadanie Polityki Bezpieczeństwa Informacji firmy, w którym przedstawimy zbiór spójnych procedur i instrukcji, jak należy postępować przy przetwarzaniu danych osobowych oraz co robić w przypadku ich utraty.
- Wyznaczenie osoby, która będzie pełniła nadzór nad respektowaniem tego dokumentu w firmie.
- Zaprowadzenie odpowiedniej ewidencji osób uprawnionych do przetwarzania danych osobowych.
Wdrażając ochronę danych osobowych w firmie, można zbudować bardzo mocne zaufanie Klienta do naszego sklepu, serwisu itp. Ucz się od największych. Wszystkie te wymagania spełniają liderzy na rynku. Czy będzie to największy serwis aukcyjny, czy polski serwis społecznościowy, czy firma rejestrująca domeny internetowe. Mógłbym tak wymieniać długo. Warto porównywać się do najlepszych. Wdrożenie ochrony danych osobowych wymaga od nas tylko trochę wysiłku i samozaparcia, a efekty będą wymierne przez lata.