Przepisy prawa nakładają na przedsiębiorców określone obowiązki w zakresie zabezpieczenia danych osobowych. Zgodnie z treścią art. 24 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.), zwanego dalej: ,,RODO’’,  na administratorze spoczywa obowiązek wykazania wdrożenia odpowiednich środków technicznych i organizacyjnych. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Chodzi tu w szczególności o realizację podstawowych zasad przetwarzania danych osobowych określonych w RODO tj. zasady zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności, a także o realizację bardzo istotnej zasady rozliczalności (określonych w art. 5 RODO).

Zasada rozliczalności nakłada na administratora obowiązek, polegający na konieczności wykazania (udowodnienia) przestrzegania wszystkich określonych w RODO zasad przetwarzania danych.

Obecnie bardzo istotną kwestą jest, aby każdy przedsiębiorca wdrożył odpowiednie środki techniczne i organizacyjne, mając również na uwadze ryzyko cyberataków.

Według badań firmy Eset, polskie firmy to główny cel cyberprzestępców. Dzieje się tak w przeważającej mierze ze względu na wojnę, która toczy się na Ukrainie. Zjawisko to może narastać. Według ww. badań prawie 2/3 polskich małych i średnich firm miało w 2022 roku jakiś incydent dotyczący cyberbezpieczeństwa. Jest to bardzo wysoki wskaźnik.

Dnia 18.03 2024 r. na stronie internetowej Ministerstwa Cyfryzacji pojawił się Komunikat Pełnomocnika Rządu ds. Cyberbezpieczeństwa dotyczący wzrostu zagrożeń atakami typu DDoS.

Komunikat głosi, że ataki te nie wpływają na poufność danych przetwarzanych przez zaatakowane podmioty, jednakże powodują utrudnienia w dostępie do usług realizowanych za pomocą sieci Internet.

W związku z zagrożeniami cyberatakami oraz opublikowanym komunikatem, o którym mowa powyżej, chcemy przybliżyć Państwu kilka kwestii z tym związanych, a mianowicie:

• Ataki typu DDoS(ang. distributed denial of service oznaczają rozproszoną odmowę usługi). Są jednym z najczęściej występujących rodzajów ataków hakerskich, kierowanych na systemy komputerowe lub usługi sieciowe. Uniemożliwiają funkcjonowanie całej usługi w sieci Internet (np. strony internetowej lub poczty e-mail). Wywołują chwilową lub długotrwałą blokadę atakowanego podmiotu. W skrajnych przypadkach mogą spowodować długotrwałą niedostępność w sieci.
• Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT GOV) prowadzone przez Szefa Agencji Bezpieczeństwa Wewnętrznego monitorują sytuację związaną z bezpośrednim wpływem wspomnianych incydentów na stabilność całego systemu.
• Każdy przedsiębiorca ma możliwość zapoznania się z zestawem dobrych praktyk opracowanych przez Urząd Komisji Nadzoru Finansowego w zakresie samooceny pod względem odporności na potencjalny atak DDoS, który dostępny jest pod adresem: https://www.knf.gov.pl/knf/pl/komponenty/img/Dobre%20praktyki%20w%20zakresie%20przeciwdzia%C5%82ania%20atakom%20DDoS_77247.pdf

Kto jest narażony na ataki typu DDoS ?

Najczęściej firmy świadczące usługi online w szczególności banki, firmy branży e-commerce, a także podmioty z branży przemysłowej oraz telekomunikacyjnej.

Jak się chronić?

Poza wprowadzeniem odpowiednich zabezpieczeń informatycznych (co nie stanowi przedmiotu niniejszej publikacji), warto zadbać pod kątem prawnym o to, aby:

Wdrożyć w firmie odpowiednią politykę ochrony danych;

• Jeśli odpowiednia polityka ochrony danych jest wdrożona, to warto zweryfikować zagrożenia w firmie poprzez projektowanie nowych procesów i realizację privacy by design (zasadę prywatności w fazie projektowania) oraz privacy by default (zasadę prywatności w ustawieniach domyślnych);
• Prowadzić szkolenia pracowników z zakresu ochrony danych osobowych, zwracając szczególną uwagę na aktualne problemy oraz zagrożenia,
• Przestrzegać zasady rozliczalności, dokonywać przeglądów naruszeń,
• Weryfikować Rejestr Czynności Przetwarzania.

Dokonanie wszystkich wskazanych powyżej czynności i prowadzenie właściwej dokumentacji może uchronić przedsiębiorcę przed wysokimi karami (nakładanymi przez Prezesa UODO), które grożą w razie wycieku danych osobowych wskutek cyberataku.

Jeżeli nie mają Państwo wdrożonej polityki ochrony danych lub macie Państwo wątpliwości, czy jest wdrożona prawidłowo lub chcecie Państwo przeprowadzić szkolenia pracowników w zakresie ochrony danych osobowych – możemy Państwu pomóc.

Zapraszamy do kontaktu.

Kaja Żak – Rusek