Поради: як мінімізувати ризик настання порушення даних в компанії

14 Червня 2021

В процесі впровадження нових методів захисту персональних даних, які вимагаються сучасним європейським законодавством, спеціалісти розробили ряд рекомендацій, впровадження яких могли б допомогти компаніям, малого та середнього розміру, мінімізувати ризик настання порушення персональних даних в процесі здійснення ними своєї діяльності.

Потрібно визнати, що це майже неможливо, запобігти кожному порушенню персональних даних, але кожна компанія може значно мінімізувати ризик, переконавшись, що вона та її персонал обережно обробляють персональні дані людей. Компанії варто робити це за законом, поєднавши такі дії з належною діловою практикою, оскільки допущення порушення персональних даних може дорого обійтися компанії.

Так, основні поради, щоб мінімізувати ризики настання порушення персональних даних у невеликій організації, стосуються наступного:

1. Зберігайте персональні дані безпечно

Компанія повинна зберігати персональні дані в безпеці та переконуватися, що ніхто не має до них доступу без її дозволу. Деякі прості заходи безпеки можуть включати зберігання документів у зачиненій шафі та введення надійних паролів на всі пристрої, якими оперує компанія та її персонал. Якщо компанія оперує великими об’ємами даних або ж якщо у розпорядженні компанії знаходяться чутливі дані фізичних осіб, повинні вживатися додаткові заходи, щоб захистити такі дані від втрати, пошкодження чи викрадення. До таких додаткових заходів можуть відноситися заходи з залученнями підрядних організацій, які спеціалізуються на впровадженні додаткових заходів безпеки та відповідних сертифікацій, таких як PSI DSS та ISO 27001.

2. Розроблена належним чином Clean Desk Policy

Персонал не повинен зберігати документи на своєму столі чи в робочій зоні, включаючи папки, картки та нотатки. Компанії потрібно розробити політику щодо цього, щоб мінімізувати ризик залишення конфіденційної інформації без нагляду. Така практика також повинна враховуватися при розробці та впровадженні електронних заходів безпеки.

3. Наявність Remote Work Policy

Якщо компанія практикує співпрацю з персоналом на віддаленій основі, такий персонал повинен розуміти, як слід обробляти персональні дані, якщо вони працюють за межами офісу. Відповідно, повинна бути розроблена Remote Work Policy, яка б врегульовувала таку роботу і, відповідно обробку персональних даних.

4. Зберігання адресної книги в актуальному стані

Компанії варто організувати можливість своїм клієнтам регулярного повідомляти компанію, у разі  зміни ними своєї адреси або інших контактних даних. Це допоможе зменшити ризик того, що адреса, на яку компанія відправляє повідомлення або інформацію про персональні дані, є неправильною.

5.Впорядкування назв документів

В рамках компанії необхідно організувати чіткий документообіг з можливістю класифікувати та присвоювати коректні номери відповідним документам для можливості уникнення непорозумінь та направлення некоректних документів, що містять персональні дані, на адреси клієнтів або інших осіб.

6. Використання порожніх шаблонних документів

Якщо ви використовуєте шаблонні документи, переконайтеся, що створюєте нову копію кожного разу та уникайте перезапису попереднього документа. Пусті шаблони слід зберігати подалі від попередньо заповнених, щоб хтось помилково не побачив інформацію, яка міститься в них.

7. Забезпечення контролю доступу

Золоте правило, якого потрібно дотримуватися кожній компанії: «Не всім потрібен доступ до всього». Саме тому кожній компанії варто задуматися над тим, щоб посилити контроль за доступом до персональних даних, щоб персонал мав доступ лише до тих персональних даних, які є необхідними для виконання кожним окремим працівником своєї ролі.

8. Проведення навчання персоналу

Захист даних – це обов’язок кожного, тому компанії обов’язково необхідно надавати своїм працівникам та залученим спеціалістам необхідну підготовку, підтримку та ресурси, щоб забезпечити такий захист. Саме у зв’язку з цим, варто забезпечити постійне навчання персоналу, з метою підвищення кваліфікації та підтримання рівня обізнаності в питаннях захисту персональних даних.

9. Резервне копіювання системи

Якщо у вас є резервна копія персональних даних, які ви надійно зберігаєте на захищеному сервері за межами компанії, це дасть вам можливість отримати доступ до персональних даних, навіть якщо ваш основний сервер буде пошкоджений або заблокований з незалежно яких причин.

10. Взаємодія з колишніми працівниками

Одним із найпоширеніших порушень персональних даних є випадки, коли працівники, які залишають компанію, беруть із собою такі дані.  Компанія може використовувати обмежувальні положення в трудових договорах, щоб допомогти зупинити працівників, які звільняються, від шантажування компанії, клієнтів компанії, або інших фізичних осіб, до персональних даних яких вони мали доступ, коли працювали в компанії.

Такі елементарні кроки допоможуть компанії зорієнтуватися, які основні заходи потрібно приймати, щоб захистити себе мінімально від  можливості настання порушення персональних даних. Однак цей перелік не є вичерпним, а обсяг заходів безпеки може варіюватися в залежності від різноманітних факторів.

В будь якому разі, до питання належної реалізації програми приватності в рамках компанії, необхідно  підходити максимально виважено та раціонально, враховуючи вимоги законодавства, яке постійно оновлюється.