Incydenty innych administratorów – czy potrafisz wyciągać z nich wnioski?

Gdybym jakiś czas temu powiedział wam, że pracownik Rządowego Centrum Bezpieczeństwa umieści plik z danymi ponad 20.000 funkcjonariuszy różnych służb w Internecie. Powiedzielibyście, że to niemożliwe. A jednak stało się. Ponieważ o zajściu mówiły wszystkie media, ja postanowiłem zapytać kilku administratorów danych czy potrafią wyciągnąć z tej lekcji odpowiednie wnioski? Okazuje się, że niekoniecznie.
Być może powaga instytucji jaką jest Rządowe Centrum Bezpieczeństwa w jakiś sposób paraliżuje myślenie. Przedsiębiorcy mówią „to są służby” „tam to dopiero mają dane” „ja to nie mam co się porównywać”. Tymczasem zdarzenie o którym wszyscy trąbią, jest doskonałą lekcją ochrony danych i bezpieczeństwa informacji. Co więcej, to lekcja darmowa. Trzeba jedynie zastanowić się, jakie mechanizmy bezpieczeństwa wdrażane są w naszych organizacjach. Wdrażanie RODO to także podnoszenie świadomości. Zatem proponuję krótkie samo-sprawdzenie wiedzy i świadomości administratorów danych osobowych.
Odpowiedz sobie sam/sama na 5 pytań. Jeśli w przypadku pytania 1, 3, 4 lub 5 padnie odpowiedź „NIE” To musisz się liczyć z tym, że Twoja firma może mieć poważne problemy.   

Czy jesteś świadomy/a, że ponosisz odpowiedzialność za bezpieczeństwo danych, które przetwarzają Twoi pracownicy?

Czy wiesz że, masz prawo do regresu przynajmniej części pieniężnej kary administracyjnej, nałożonej ewentualnie na Ciebie jako administratora danych przez Prezesa Urzędu Ochrony Danych Osobowych?

Czy wiesz jakie warunki powinieneś spełnić, aby móc wystąpić o zasądzenie takiego regresu?

Czy zgodnie z zasadą rozliczalności art. 5 ust 2 RODO, jesteś w stanie wykazać przed organem nadzorczym wdrażanie środków zabezpieczających dane osobowe w tym szkoleń dla pracowników?

Czy traktujesz poważnie ryzyko utraty poufności informacji bądź ryzyko utraty danych, w skutek  świadomego działania pracownika (sabotażu)?