Kwestie te reguluje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO). Zgodnie z jej zapisami, danymi osobowymi są:

 wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,

do których można zaliczyć m.in.: numer identyfikacyjny albo specyficzne czynniki określające cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, społeczne lub kulturowe.

W praktyce każde przedsiębiorstwo handlowe lub usługowe, które posiada dane klientów – osób fizycznych, w rozumieniu tej ustawy, przetwarza dane osobowe.

Kiedy takie informacje można nazwać zbiorem danych osobowych? Ustawa precyzuje, że zbiorem jest taki zestaw danych, który posiada strukturę pozwalającą na ich wyszukiwanie według określonych kryteriów, np. według daty rejestracji czy nazwiska. To właśnie odróżnia zbiory od innych zestawów danych i to sprawia, że należy je zgłosić do rejestracji w GIODO.

Rejestracja w GIODO i pozostałe obowiązki przedsiębiorców

Aby zarejestrować zbiór danych w GIODO, można zgłosić go elektronicznie na stronie internetowej. Nie trzeba mieć do tego podpisu elektronicznego, ale podmioty, które go nie posiadają, muszą wysłać formularz dodatkowo w formie pisemnej.

W zgłoszeniu do GIODO muszą znaleźć się informacje o:

– administratorze danych (adres siedziby/miejsca zamieszkania, numer identyfikacyjny, podstawę prawną do prowadzenia zbioru),

– celu przetwarzania danych,

– sposobach zbierania i udostępniania danych,

– odbiorcach, którym dane mogą być przekazywane,

– środkach technicznych i organizacyjnych służących zabezpieczeniu danych,

– przekazywaniu danych do państwa trzeciego (o ile to następuje).

Dane, które nie muszą być rejestrowane w GIODO to te, które zbierane są w celu wystawienia faktury lub rachunku, gromadzone w związku z zatrudnieniem i świadczeniem usług na podstawie umów cywilnoprawnych oraz dane powszechnie dostępne.

Oprócz zgłoszenia zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych, do obowiązków przedsiębiorców przetwarzających takie dane należy:

• nadanie uprawnień administratorom danych,
• zebranie zezwoleń osób, których dane są przetwarzane,
• stworzenie i przestrzeganie polityki ochrony danych w firmie.

Szczególnych środków wymaga ochrona tych danych, które dotyczą zdrowia. Jeśli jednak określenie czyjejś tożsamości na podstawie pewnych informacji wymagałoby nadmiernych kosztów, czasu, czy specjalnych działań, nie są one uznawane za podlegające ochronie.

Jakie zmiany w kwestii ochrony danych wprowadza RODO?

Wejście w życie przepisów RODO rozszerzyło prawa osób, których dane są gromadzone. Przede wszystkim muszą one być jasno poinformowane przez administratora danych o zasadach ich przetwarzania, a w każdym momencie mogą zażądać ich usunięcia lub ograniczenia przetwarzania. Co więcej, obowiązek informacyjny musi zostać wypełniony również w przypadkach, kiedy dane przetwarzane są na podstawie przepisów prawa czy dla dobra publicznego.

RODO rozszerza także pojęcie danych osobowych – w związku z postępem technologicznym, osobę fizyczną można zidentyfikować również na poziomie danych o jej lokalizacji czy identyfikatora internetowego. W praktyce oznacza to, że prowadzenie strony, która rejestruje numery IP odwiedzających, oznacza dla właściciela konieczność wdrożenia pewnych działań ochronnych.

Jakich? Podpowiedź może przynieść audyt wykonany przez zewnętrzną firmę – wskaże on, jakie konkretnie dane są zbierane w przedsiębiorstwie i czy ich zakres odpowiada celowi, w którym się je gromadzi.

Artykuł Ochrona danych osobowych w firmie – co warto wiedzieć? pochodzi z serwisu ERIF Biuro Informacji Gospodarczej S.A..

DDoS to skrót od angielskiego Distrubuted Denial of Service, oznaczającego ataki na infrastrukturę z rozproszonych źródeł, skutkujące jej niedostępnością. Wysyłanie wielkiej liczby zapytań ze wszystkich stron świata w celu przeciążenia serwera, na którym znajduje się strona, to tylko najprostszy przykład takiego ataku. Wiele z nich wykorzystuje dużo bardziej zaawansowane techniki. Efektem jest niewidoczność zaatakowanej strony w sieci i tym samym brak możliwości świadczenia usług, sprzedaży czy obsługi klientów drogą internetową. Powoduje to straty finansowe oraz wizerunkowe tym większe, im większe jest przedsiębiorstwo. Największe szkody w wyniku takiego ataku ponoszą środowiska wirtualne, jak np. dyski chmurowe – zgromadzone w nich pliki w razie awarii są uszkodzone i często wymagają wielogodzinnej naprawy lub zostają utracone na zawsze.

Przykłady znanych ataków DDoS

Ataki DDoS prowadzone są najczęściej przez organizacje, które świadczą takie usługi odpłatnie. Po opłaceniu przez konkurencyjną firmę, niezadowolonych kontrahentów czy osoby chcące wyłudzić od właściciela strony okup, mogą przeprowadzić atak w bardzo krótkim czasie. Biorąc pod uwagę, że obecnie ceny ataków zaczynają się nawet od 5 dolarów, a sprawcy pozostają w większości przypadków nieuchwytni, ryzyko staje się coraz bardziej realne i może dotyczyć niemal każdego, kto prowadzi internetowy biznes.

Najbardziej znane ataki DDoS były elementami walki politycznej. W taki sposób w 2008 roku przeprowadzono atak na rządowe strony Gruzji. Wspierał go każdy, kto ściągnął odpowiedni program – nie musiał w tym celu mieć specjalnej wiedzy. W 2012 roku, w czasie protestów przeciwko porozumieniu ACTA, na skutek ataku DDoS przestały działać strony polskiego Sejmu i części instytucji rządowych. Z kolei ataki o największym w historii natężeniu, wymierzone były w stronę firmy hostingowej OVH oraz serwerów firmy Dyn, z której usług korzystają takie znane serwisy jak Twitter, Spotify, SoundCloud czy Etsy. Każdy z nich doświadczył poważnych problemów z dostępnością.

Rodzaje zabezpieczeń przed atakami DDoS

Kluczowym elementem jest wybranie takiego dostawcy łączy czy serwera, który korzysta z infrastruktury chronionej przez takimi atakami. W przypadku DDoS na nic zdają się zabezpieczenia typu firewall czy IPS. Prawdziwa ochrona u najlepszych dostawców polega na wykryciu ataku już w ciągu pierwszej sekundy od wystąpienia anomalii w ruchu przychodzącym. Zaawansowany system reaguje wówczas działaniem dobranym do typu i stopnia nasilenia ataku. Może on podjąć na przykład decyzję o nałożeniu filtrów chroniących łącze klienta lub przekierowaniu typowego ruchu na inną drogę niż ta, którą prowadzony jest atak. Inną z opcji jest zablokowanie niepożądanych pakietów na odległych routerach.

Aby skorzystać z wymienionych zabezpieczeń, należy wybrać profesjonalnych usługodawców, którzy deklarują ich posiadanie. Co jakiś czas warto przeprowadzić też audyt systemów bezpieczeństwa strony, wskazujący luki i nieprawidłowości. Będzie to szczególnie istotne z momentem wejścia w życie RODO, czyli rozporządzenia o ochronie danych osobowych. Wprowadza ono bowiem obowiązek wdrożenia działań obejmujących m.in. testowanie i ocenianie skuteczności środków, które zapewniają bezpieczeństwo przetwarzanych na stronie danych.

Do kogo zwrócić się o pomoc w razie ataku?

Osoby dopuszczające się ataków DDoS popełniają przestępstwo przeciwko ochronie informacji, ścigane z art. 267–269 i 287 Kodeksu Karnego. Za niszczenie lub utrudnianie przetwarzania i przekazywania danych informatycznych grozi kara pozbawienia wolności do lat 3, za wyrządzenie znacznych szkód majątkowych na skutek wspomnianych działań – od 3 miesięcy do 5 lat. Ściganie takiego przestępstwa odbywa się jednak na oficjalny wniosek pokrzywdzonego, złożony w odpowiedniej Komendzie Rejonowej Policji lub Prokuraturze Rejonowej.

Inną instytucją, która zajmuje się reagowaniem na zagrożenia w sieciach komputerowych, jest CERT Polska, działający w strukturach Naukowej i Akademickiej Sieci Komputerowej. Pomoc ze strony CERT Polska jest bezpłatna. Aby zgłosić zawiadomienie o ataku, również takim przeprowadzonym z zagranicy, należy wypełnić formularz znajdujący się na stronie organizacji. CERT Polska współpracuje z policją w ustaleniu sprawcy, przekazując zebrane dane, dlatego we wniosku składanym na policji warto zaznaczyć, że sprawa została przekazana rownież do CERT.

Artykuł Atak DDoS – jak ochronić swój biznes przed stratami pochodzi z serwisu ERIF Biuro Informacji Gospodarczej S.A..