Reklama
Kup subskrypcję
Kup subskrypcję
Dołącz do liderów przyszłości i zdobądź przewagę! Sprawdź najnowszą ofertę subskrypcji
Sprawdzam
Transformacja organizacyjna
Magazyn (Nr 4, kwiecień 2020)

Inspektor Ochrony Danych w centrum cyberataku

1 kwietnia 2020 7 min czytania
Odsłuchaj
Pobierz PDF
Inspektor Ochrony Danych w centrum cyberataku

Partnerem materiału jest Umano.

Zapowiada się miły, piątkowy wieczór, pracownik odpowiedzialny za prowadzenie instagramowego konta firmy otrzymuje nagle wiadomość. W treści maila widnieje ostrzeżenie – Facebook (właściciel Instagrama) zablokuje konto w ciągu 24 godzin z uwagi na naruszenie praw autorskich. Ale jest jeszcze szansa na „ratunek”, ponieważ w wiadomości załączono również link, za pomocą którego można się skontaktować z centrum pomocy Facebooka.

„Przecież za chwilę mam umieścić informację o corocznym konkursie!” – przypomina sobie wystraszony adresat. Klika więc w zamieszczony link i podaje dane do logowania (rzekomo wymagane w celu potwierdzenia autentyczności zapytania). Chwilę później zalogowanie się do firmowego konta nie jest już w ogóle możliwe, a na zdjęciu profilowym nie widnieje już firmowy logotyp, a obrazek wrzucony przez złodzieja…

Złapani na cyfrową wędkę

Trzy najczęściej występujące typy incydentów w polskim internecie to phishing, dystrybucja złośliwego oprogramowania i spam. Jak wynika z ostatniego raportu rocznego CERT Polska*, phishing stanowił ok. 44 proc. wszystkich incydentów. W 2018 roku CERT otrzymał łącznie aż 77 536 zgłoszeń z nim związanych.

Utrata danych uwierzytelniających najczęściej oznacza również naruszenie bezpieczeństwa w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO). Każdy taki incydent należy ocenić pod kątem ewentualnego ryzyka naruszenia praw i wolności osób, których dane dotyczą.

Dane mogą zostać na przykład sprzedane firmom marketingowym, narażając ofiary na potop niechcianych wiadomości typu spam. Mogą też zostać wykorzystane do kradzieży tożsamości, a przez to np. do wyłudzenia.

Inspektor ochrony danych – na ratunek

Właściwa ocena incydentu pod kątem naruszenia RODO wymaga odpowiedniej wiedzy i umiejętności. Czy incydent należy zgłosić do Urzędu Ochrony Danych Osobowych (UODO)? Czy należy poinformować o zdarzeniu klientów firmy? Jakie kryteria należy zastosować, by ocenić poziom ryzyka dla naszych klientów?

Odpowiedzi na te pytania powinien znać inspektor ochrony danych (IOD). To fachowy doradca, który wspiera firmę w zapewnianiu zgodności wszystkich procesów przetwarzania danych z RODO oraz z innymi przepisami o ochronie danych. W niektórych przypadkach wyznaczenie IOD jest obowiązkowe – muszą go posiadać m.in. podmioty publiczne. Niemniej jednak wszystkie firmy powinny rozważyć zapewnienie wsparcia swoich procesów przez IOD. To także element budowania pozytywnego przekazu do klientów: „Twoje dane osobowe są u nas bezpieczne”.

Jak przygotować firmę na IOD?

Aby inspektor ochrony danych mógł wykonywać swoje zadania właściwie i rzeczywiście wspierać firmę w codziennym zapewnianiu zgodności działań z RODO i radzeniu sobie w przypadku wystąpienia cyberataków, firma powinna zadbać, by:

  • właściwie zakomunikować wszystkim pracownikom, że w zespole znajduje się osoba odpowiedzialna za ochronę danych – tak aby zatrudniony, który padł ofiarą phishingu, wiedział, że należy o tym incydencie poinformować IOD;

  • zapewnić szybką ścieżkę kontaktu z IOD. Na ocenę zdarzenia i ewentualne poinformowanie UODO firma ma jedynie 72 godziny. Każde opóźnienie w komunikacji może narazić firmę na złamanie przepisów RODO w tym zakresie;

  • włączać IOD we wszystkie procesy związane z przetwarzaniem danych – tak by miał wiedzę potrzebną do skutecznego doradzania firmie;

  • odpowiednio umieścić IOD w strukturze firmy. RODO wymaga, by IOD podległy był bezpośrednio najwyższemu kierownictwu i miał z nim szybki kontakt. Dzięki temu jego zdanie i opinie będą skutecznie przekładać się na ochronę danych i właściwą reakcję w sytuacjach kryzysowych.

Zegar tyka nieubłaganie…

Czego szef powinien wymagać od inspektora ochrony danych w trakcie wspomnianych 72 godzin od stwierdzenia incydentu? Przede wszystkim koordynowania skutecznej i szybkiej analizy zdarzenia.

Dobrze przygotowany do pełnienia swojej funkcji IOD powinien znać wytyczne Urzędu Ochrony Danych Osobowych, Europejskiej Rady Ochrony Danych oraz Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), gdzie dostępne są praktyczne wskazówki dotyczące tego, jakie kryteria należy brać pod uwagę, szacując ryzyko związane z incydentem.
Tak krótki czas reakcji na cyberincydent oznacza również konieczność stworzenia szybkiej ścieżki kontaktu inspektora ochrony danych z działem IT firmy. Właściwa ocena naruszenia nie będzie możliwa bez fachowej wiedzy specjalistów od bezpieczeństwa teleinformatycznego.

Profilaktyka zawsze lepsza niż leczenie

Czy mogliśmy ustrzec się przed tym incydentem? To pytanie pada niemal zawsze, kiedy firma stanie się ofiarą cyberataku. I rzeczywiście inspektor ochrony danych powinien również w tym przypadku odegrać swoją rolę – pomagać zapobiegać, a nie tylko leczyć.

Standardem na rynku jest obecnie uwzględnianie tematyki phishingowej w programie szkoleń, za które odpowiada inspektor ochrony danych. Nie wystarczy jednak jednokrotna realizacja takiego szkolenia. Budowanie świadomości dbania przez pracowników o dane osobowe to proces ciągły. Jest to tym ważniejsze, że według statystyk zdecydowana większość naruszeń w firmie ma swój początek właśnie w nieintencjonalnym błędzie zatrudnionego.

Reakcja po incydencie powinna również wiązać się z koniecznością dokonania przeglądu stosowanych zabezpieczeń i wdrożenia niezbędnych środków technicznych mających na celu wyeliminowanie podobnych zdarzeń w przyszłości. Wśród nich wskazuje się przede wszystkim na konieczność stosowania weryfikacji dwuetapowej dla logowania w aplikacjach i portalach społecznościowych.

Krajobraz po bitwie

Zarząd, inspektor ochrony danych, dział IT – czy jeszcze ktoś uczestniczy w tej wielkiej grze o cyberbezpieczeństwo? Tak – są to osoby odpowiedzialne za firmowy PR. Wystąpienie incydentu ochrony danych często wiąże się z określonymi stratami wizerunkowymi firmy – głównie w branżach, które przetwarzają dane szczególnie istotne dla klientów, takich jak finanse czy sektor medyczny.

Budowanie odpowiednich komunikatów to zadanie trudne. Muszą one z jednej strony budować zaufanie do firmy, ale również zapewnić klientom odpowiednie wsparcie w zakresie minimalizacji skutków takiego incydentu dla nich samych.

Jak czytamy na stronach UODO, phishing jest kradzieżą tożsamości i o ile sprawca dokonuje tej kradzieży z zamiarem wyrządzenia szkody, to w Polsce jest ona przestępstwem. Dlatego też w każdym przypadku zidentyfikowania takiego ataku na firmę dobrą praktyką jest informowanie o zdarzeniu policji oraz CERT Polska.

Accountability

To nieprzetłumaczalne angielskie słowo oznacza w RODO rozliczalność. W praktyce oznacza, że wszelkie działania związane z przetwarzaniem danych powinny być odpowiednio dokumentowane. Pracownik zgłasza incydent do inspektora ochrony danych na formularzu wdrożonym wcześniej firmie, a IOD współdziała z kierownictwem oraz osobami odpowiedzialnymi zgodnie z przyjętą wcześniej procedurą. Wszystko po to, by na żądanie organu nadzorczego prezes firmy mógł wykazać i udowodnić, że zrobiono wszystko, aby zapewnić zgodność podejmowanych działań z RODO. Tym samym zmniejszyć lub całkowicie wyeliminować groźbę otrzymania kary pieniężnej. A kary za naruszenie RODO sięgają nawet 20 mln euro, ale to już całkiem inna opowieść…

Autorem tekstu jest Paweł Makowski, wiceprezes JAMANO – firmy doradczej zapewniającej obsługę prawną i wsparcie biznesowe (w tym z zakresu ochrony danych osobowych).

  • CERT Polska (Computer Emergency Response Team) to działający od 1996 r. zespół reagowania na incydenty związane z bezpieczeństwem w sieci. Podlega państwowemu NASK, a jego zadaniem jest m.in. rejestrowanie zdarzeń zagrażających użytkownikom internetu oraz reagowanie w uzasadnionych przypadkach.

Tematy
Transformacja organizacyjna Cyberbezpieczeństwo Struktura organizacyjna SZTUCZNA INTELIGENCJA Zarządzanie i przywództwo IT Zarządzanie kryzysowe
Spis treści
  1. Złapani na cyfrową wędkę
  2. Inspektor ochrony danych – na ratunek
  3. Jak przygotować firmę na IOD?
  4. Zegar tyka nieubłaganie…
  5. Profilaktyka zawsze lepsza niż leczenie
  6. Krajobraz po bitwie
  7. Accountability

Może Cię zainteresować

BYOD_bring your own device
Cyberbezpieczeństwo
BYOD wraca z nową siłą

Przez lata kojarzony z elastycznością i oszczędnościami, model Bring Your Own Device znów zyskuje na popularności – tym razem w realiach pracy zdalnej i hybrydowej. Jednak współczesne zagrożenia, zwłaszcza cybernetyczne, sprawiają, że BYOD staje się poważnym wyzwaniem strategicznym. Czy liderzy są gotowi na nowe ryzyka związane z prywatnymi urządzeniami w służbowym środowisku?

Paulina Kostro 15 lipca 2025
Kiedy zmiana stanowiska na równorzędne ma sens
KULTURA ORGANIZACYJNA
Kiedy zmiana stanowiska na równorzędne ma sens

Ugrzązłeś w miejscu zawodowo? Przeniesienie się na inne, ale równorzędne stanowisko w firmie wiąże się z pewnym ryzykiem, jednak może być właśnie tym, czego potrzebujesz.
Wydłużony w czasie proces awansów i słabszy rynek pracy sprawiły, że wiele osób czuje, jakby utkSama kilkukrotnie zmieniałam stanowisko na równorzędne, a zdarzyło się nawet, że przeszłam „niżej” pod względem władzy i odpowiedzialności, z kilku powodów.nęło w miejscu. Rozwiązaniem może być zmiana stanowiska na inne, ale wciąż w obrębie tej samej firmy. Taki ruch może pomóc się rozwijać, pozostać zaangażowanym i zacieśniać współpracę między różnymi działami.

Brian Elliott 14 lipca 2025
Grafika promocyjna w czerwonej kolorystyce prezentująca książkę dr n. med. Anny Słowikowskiej pt. „Serce w dobrym stylu. Jak zatroszczyć się o swoje zdrowie”. Po lewej stronie znajduje się biały napis: „MIT SMRP poleca książkę dr Anny Słowikowskiej”. Po prawej stronie okładka książki z dużym sercem z wykresu EKG na tle, tytułem i nazwiskiem autorki.
PRZYWÓDZTWO
„Serce w dobrym stylu. Jak zatroszczyć się o swoje zdrowie” – recenzja

Niejeden lider biznesu przekonał się zbyt późno, że największe zagrożenie dla jego imperium czaiło się nie na rynku, lecz we własnej piersi. W salach posiedzeń zarządów rzadko dyskutuje się o stanie tętnic prezesa – a przecież mogą one zaważyć na losach firmy równie mocno, co wyniki finansowe. Od lat korporacyjna kultura hołubi samopoświęcenie i żelazną wytrzymałość, przymykając oko na tlący się pod garniturem kryzys zdrowotny. Paradoksalnie ci sami menedżerowie, którzy szczycą się troską o swoje zespoły i deklarują dbałość o work-life balance, często ignorują własne symptomy i potrzeby ciała. Serce w dobrym stylu, książka dr n. med. Anny Słowikowskiej i Tomasza Słowikowskiego, stawia prowokacyjne pytanie: czy potrafisz zarządzać swoim zdrowiem równie świadomie, jak zarządzasz firmą? Autorzy nie mają wątpliwości, że zdrowie – a zwłaszcza serce – lidera to nie fanaberia, lecz strategiczny priorytet każdego człowieka sukcesu i każdej organizacji.

Redakcja MIT SMRP 14 lipca 2025
Multimedia
SZTUCZNA INTELIGENCJA
Myśli czy tylko udaje? O tym, czego AI długo jeszcze nie opanuje

Choć dzisiejsze generatywne modele językowe świetnie symulują wzorce językowe, to daleko im do prawdziwej inteligencji. Nie mają świadomości ani zdolności do adaptacji. Takie wnioski płyną z rozmowy Iwo Zmyślonego z Pawłem Szczęsnym z Neurofusion Lab, który podkreśla, że nadużywanie antropomorfizujących określeń („AI myśli”, „uczy się”) wynika głównie z marketingu i prowadzi do fałszywych oczekiwań. Krytykuje przy okazji pojęcie „halucynacji AI”, wskazując, że błędy modeli są nieuniknione ze względu na ich budowę. Ostatecznie AI może przynieść znaczące korzyści biznesowi, ale tylko gdy rozumiemy jej rzeczywiste możliwości i ograniczenia.

Iwo Zmyślony 11 lipca 2025
Pomoc AI przy podejmowaniu decyzji
Jak AI może pomóc podejmować lepsze decyzje pod presją?

Dane firmy Oracle wskazują, że aż 85% menedżerów doświadcza stresu decyzyjnego, a 75% z nich deklaruje dziesięciokrotny wzrost liczby podejmowanych decyzji w ciągu ostatnich trzech lat. Wsparcie ze strony sztucznej inteligencji wydaje się więc atrakcyjną alternatywą przy ciągłej pracy pod presją. Prawdziwy sukces w zarządzaniu zależy jednak od świadomego połączenia potencjału AI z ludzkimi możliwościami, takimi jak intuicja, doświadczenie i umiejętności interpersonalne.

Co potrafi AI, działając pod presją?

Potencjał technologiczny wzrasta z roku na rok. Sztuczna inteligencja, która jeszcze niedawno stanowiła bardziej symbol rozwoju niż realne wsparcie w codziennych obowiązkach, stała się obecnie powszechnym narzędziem pracy. W jakich obszarach wykorzystuje się ją najczęściej?

  • Monitoring i predykcja. Firmy takie jak Unilever wykorzystują sztuczną inteligencję do monitorowania łańcuchów dostaw w czasie rzeczywistym. Dzięki algorytmom AI możliwe jest wychwycenie anomalii, zanim doprowadzą one do poważnych konsekwencji biznesowych. Oprócz sfery biznesowej, inteligentne algorytmy są wykorzystywane w ten sposób na przykład do wykrywania na podstawie zdjęć satelitarnych powstających zagrożeń ekologicznych, które mogłyby zakłócić łańcuchy dostaw.

Magdalena Desperak-Kołek 11 lipca 2025
Horyzontalna ilustracja w realistycznym stylu przedstawia zmęczonego lidera siedzącego samotnie przy biurku w półmroku. Wokół niego porozrzucane są pomięte notatki, pusta filiżanka po kawie i otwarty laptop emitujący chłodne, niebieskie światło. Mężczyzna opiera głowę na dłoni, z pochyloną sylwetką i oznakami wyczerpania. Całość utrzymana jest w stonowanej kolorystyce, symbolizując przeciążenie pracą i emocjonalne wypalenie. Ilustracja odwołuje się do problematyki, jaką porusza psychologia pracy w kontekście przywództwa.
PRZYWÓDZTWO
Jak liderzy radzą sobie z przepracowaniem

Uważność nie wystarczy, gdy toniemy w nadmiarze obowiązków. Poznaj zaskakujące strategie zapracowanych liderów, które naprawdę działają.

W ostatnich latach wiele nagłówków sugerowało, że wszyscy jesteśmy już nieco wypaleni zawodowo. Od pasywno-agresywnego „quiet quitting” po tajemniczo brzmiącą „ghost work” – narracja głosi, że ludzie zasypiają za kierownicą, a w najlepszym razie przysypiają co kilka kilometrów.

Ale co, jeśli ta diagnoza nie jest do końca trafna – przynajmniej w odniesieniu do sporej grupy z nas?

Co, jeśli istnieje znacząca liczba osób, które czują się przeciążone pracą, a mimo to pozostają zmotywowane i skuteczne? W dzisiejszej rzeczywistości, gdzie zmiana warunków zatrudnienia często wydaje się poza naszym zasięgiem, warto przyjrzeć się tym pracownikom i zastanowić, czego możemy się od nich nauczyć, by nadal działać efektywnie.

Melissa Swift 11 lipca 2025
dobrostan
Kultura organizacyjna
Zadbaj o siebie i swój zespół. Jak budować dobrostan w niestabilnych czasach?

Współczesny świat biznesu to arena ciągłych zmian, która wystawia na próbę odporność psychiczną pracowników i liderów. Jak w obliczu narastającej presji i niepewności budować organizacje, gdzie dobrostan jest filarem sukcesu? Zapraszamy do lektury artykułu, w którym Agata Swornowska-Kurto, bazując na raporcie „Sukces na wagę zdrowia – o kondycji psychicznej i przyszłości pracy”, odkrywa kluczowe strategie dla liderów. Dowiedz się, jak przeciwdziałać wypaleniu, budować autentyczne wsparcie i tworzyć środowisko, które inspiruje, zamiast przytłaczać.

Paulina Kostro 10 lipca 2025
nękanie oddolne
Komunikacja
Co zrobić, gdy podwładni cię sabotują?
Jak reagować, gdy wiarygodność lidera jest podkopywana – otwarcie lub za kulisami – a atmosfera w zespole staje się coraz bardziej toksyczna? Nękanie w miejscu pracy nie zawsze płynie z góry na dół Contrapower harassment to rzadko poruszany, lecz istotny temat związany z nękaniem w pracy. W przeciwieństwie do tradycyjnego postrzegania tego zjawiska, dotyczy ono […]
Benjamin Laker, Samah Shaffakat 9 lipca 2025
EOD
Automatyzacja i robotyzacja
Jak automatyzacja obiegu dokumentów wspiera zarządzanie czasem pracy

W dzisiejszej rzeczywistości biznesowej niezbędne jest sięganie po innowacyjne rozwiązania technologiczne. Taką decyzję podjęła firma Vetrex, wdrażając w swoich strukturach elektroniczny obieg dokumentów Vario firmy Docusoft, członka grupy kapitałowej Arcus. O efektach tego działania opowiedział Przemysław Szkatuła – dyrektor działu IT w firmie Vetrex.

Jakie cele biznesowe przyświecały firmie przy podjęciu decyzji o wdrożeniu systemu elektronicznego obiegu dokumentów?

Przemysław Szkatuła: Przede wszystkim chodziło o usprawnienie procesów wewnętrznych. Wcześniej obieg dokumentów był głównie manualny, co generowało wiele problemów kumulujących się pod koniec każdego miesiąca. Dzięki wdrożeniu systemu Vario wszystko odbywa się elektronicznie i wiemy dokładnie, na którym etapie procesu znajduje się faktura. To usprawnia przepływ informacji nie tylko w działach finansowych, lecz także między zwykłymi użytkownikami systemu. Dzięki wprowadzeniu powiadomień mailowych każdy użytkownik otrzymuje niezwłocznie informację o nowej aktywności, a kierownicy działów są świadomi, jakie koszty wystąpiły.

Redakcja MIT SMRP, Przemysław Szkatuła 9 lipca 2025
quiet quitting
Zarządzanie sobą
Nie pozwól by quiet quitting zrujnowało twoją karierę

Quiet quitting to nie cicha rewolucja, lecz ryzykowna strategia wycofania się z aktywnego życia zawodowego. W świecie przeciążonych pracowników i liderów często niedostrzegających rzeczywistych wyzwań swoich zespołów, bierna rezygnacja z zaangażowania może być kusząca, ale długofalowo – szkodzi wszystkim.

Josh Bersin 9 lipca 2025
Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Newsletter

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!