Główne zagrożenia dla danych osobowych przy wdrażaniu
KSeF i obowiązki ADO
1. Nieuprawniony dostęp do KSeF
Zagrożenie:
Nadmierne lub błędnie nadane uprawnienia w KSeF mogą prowadzić do dostępu do
danych kontrahentów, danych finansowych oraz danych osób fizycznych przez osoby
nieuprawnione.
Co powinien zrobić ADO:
- wdrożyć
zasadę minimalnych uprawnień w KSeF,
- nadać
dostęp wyłącznie osobom faktycznie obsługującym faktury,
- prowadzić
ewidencję nadanych uprawnień i regularnie ją weryfikować,
- niezwłocznie
odbierać dostęp po zakończeniu współpracy.
2. Utrata lub przejęcie tokenów i certyfikatów KSeF
Zagrożenie:
Token lub certyfikat daje realny dostęp do systemu – jego utrata lub przejęcie
oznacza ryzyko masowego naruszenia danych.
Co powinien zrobić ADO:
- określić
zasady bezpiecznego przechowywania danych uwierzytelniających,
- zakazać
przekazywania tokenów między pracownikami,
- wdrożyć
procedurę natychmiastowego unieważnienia dostępu,
- szkolić
personel z odpowiedzialności za dostęp do KSeF.
3. Nadmierne pobieranie i lokalne przechowywanie faktur
Zagrożenie:
Pobieranie faktur z KSeF na dyski lokalne zwiększa ryzyko utraty, kradzieży lub
niekontrolowanego kopiowania danych.
Co powinien zrobić ADO:
- ograniczyć
pobieranie dokumentów do sytuacji niezbędnych,
- zakazać
trwałego przechowywania faktur poza systemami ADO,
- wdrożyć
zasady usuwania plików po zakończeniu pracy,
- stosować
szyfrowanie nośników.
4. Shadow IT i niezatwierdzone narzędzia
Zagrożenie:
Przesyłanie faktur z KSeF przez prywatne e-maile, komunikatory lub prywatne
chmury prowadzi do utraty kontroli nad danymi.
Co powinien zrobić ADO:
- jasno
wskazać zatwierdzone kanały komunikacji,
- zakazać
korzystania z prywatnych skrzynek i dysków,
- monitorować
stosowane narzędzia IT,
- uwzględnić
KSeF w polityce bezpieczeństwa informacji.
5. Błędy ludzkie przy obsłudze KSeF
Zagrożenie:
Wysłanie faktury do niewłaściwego odbiorcy, błędna konfiguracja uprawnień lub
nieświadome udostępnienie danych.
Co powinien zrobić ADO:
- przeszkolić
osoby obsługujące KSeF (nie tylko „technicznie”),
- przygotować
instrukcje pracy z KSeF,
- wdrożyć
zasadę drugiej pary oczu przy kluczowych operacjach (jeśli
możliwe),
- prowadzić
działania podnoszące świadomość RODO.
6. Brak analizy ryzyka i dokumentacji RODO dla KSeF
Zagrożenie:
Wdrożenie KSeF bez aktualizacji dokumentacji RODO narusza zasadę
rozliczalności.
Co powinien zrobić ADO:
- przeprowadzić
analizę ryzyka dla KSeF,
- zaktualizować
rejestr czynności przetwarzania,
- sprawdzić,
czy wymagane jest OSOD (DPIA),
- udokumentować
wdrożone środki techniczne i organizacyjne.
7. Brak procedur reagowania na incydenty związane z KSeF
Zagrożenie:
Opóźnione wykrycie incydentu lub brak reakcji może skutkować naruszeniem
terminów z art. 33 i 34 RODO.
Co powinien zrobić ADO:
- rozszerzyć
procedurę naruszeń o zdarzenia związane z KSeF,
- przeszkolić
personel, co jest incydentem w KSeF,
- zapewnić
jasną ścieżkę zgłaszania naruszeń.
8. Fałszywe poczucie „bezpieczeństwa systemowego”
Zagrożenie:
Przekonanie, że skoro KSeF jest systemem rządowym, to ADO nie ponosi
odpowiedzialności za dane.
Co powinien zrobić ADO:
- jasno
komunikować, że odpowiedzialność za przetwarzanie danych nadal spoczywa
na ADO,
- rozróżnić
rolę MF jako dostawcy systemu od roli ADO,
- wdrożyć
własne środki bezpieczeństwa niezależnie od KSeF.
Wniosek
KSeF nie znosi obowiązków RODO, a w praktyce zwiększa
skalę i wrażliwość przetwarzanych danych. Kluczowe zagrożenia dotyczą dostępu,
uwierzytelnienia, lokalnego przetwarzania i błędów ludzkich. Rolą ADO jest
nie tylko wdrożenie systemu, ale zapewnienie pełnej rozliczalności i
kontroli nad danymi.
Brak komentarzy:
Prześlij komentarz