×
Ochrona danych_praca zdalna_portal ODO 2

Kierując pracowników do pracy zdalnej, nie zapomnij o ochronie danych 

Od momentu ogłoszenia w Polsce stanu zagrożenia epidemicznego, a następnie stanu epidemii, coraz więcej pracowników wykonuje pracę w sposób zdalny. Następuje to oczywiście na polecenie  pracodawcy, a podstawą prawną takiego rozwiązania są przepisy tzw. Tarczy antykryzysowej.

Wykonywanie pracy w sposób zdalny znacząco zmienia zasady funkcjonowania zakładu pracy oraz postępowania z danymi osobowymi. Dokumentacja papierowa odgrywa mniejszą rolę, a coraz więcej danych przybiera formę elektroniczną. Aby uniknąć naruszenia zasad ochrony danych osobowych, warto upewnić się, że używane przez pracowników urządzenia oraz stosowane metody tworzenia, przesyłania i utrwalania danych, zapewniają odpowiedni poziom bezpieczeństwa danych.

Wytyczne UODO

W ostatnich dniach nad kwestią pracy zdalnej pochylił się Urząd Ochrony Danych Osobowych, którego wskazówki mogą pomóc pracodawcom w zapewnieniu lepszego poziomu ochrony danych. Urząd zwrócił uwagę na trzy aspekty wymagające szczególnej ochrony:

1. urządzenia

UODO zwrócił uwagę, aby podczas wykonywania pracy zdalnej nadal stosować się do procedur wdrożonych w zakładzie pracy. Jeżeli w celu wykonywania pracy na odległość konieczne jest zainstalowanie nowych aplikacji lub narzędzi na urządzeniach pracowników, powinny one spełniać normy bezpieczeństwa przyjęte przez administratora. Co więcej, administrator powinien zadbać, aby urządzenia, z których korzystają pracownicy, były wyposażone w system antywirusowy oraz by posiadały zaktualizowane systemy operacyjne.

Należy pamiętać, że pracodawca jest odpowiedzialny za sposób, w jaki jego pracownicy przetwarzają dane osobowe, dlatego tez jest niezwykle ważne, aby poinstruował swoich podwładnych, jak postępować z urządzeniami i danymi. Nawet pracując w warunkach domowych, pracownicy powinni zadbać o to, by osoby postronne, np. domownicy, nie uzyskały dostępu do danych. W tym celu każdy pracownik powinien wydzielić sobie własną przestrzeń do pracy. Powinien również zabezpieczyć urządzenia, z których korzysta (np. laptop, dysk przenośny, pendrive) przed dostępem osób trzecich. Może to zrobić np. poprzez ustawienie silnych haseł dostępu oraz blokowanie komputera każdorazowo po odejściu od stanowiska pracy. Warto pamiętać, że odpowiedzialność za każde naruszenie ochrony danych spowodowane przez pracownika, ostatecznie spocznie na pracodawcy, który jest administratorem tych danych.

2. e-mail

Podczas wykonywania pracy zdalnej wiadomości mailowe stanowią podstawowy sposób komunikacji. Jak podkreślił UDOO, jest bardzo istotne, aby pracownicy korzystali z kont służbowych, a nie prywatnych. A zatem pracodawca powinien zapewnić pracownikom dostęp do służbowych skrzynek także w warunkach domowych. Jeżeli jednak pracownik stanie przed koniecznością skorzystania z konta prywatnego, powinien zadbać o odpowiednie zaszyfrowanie treści wiadomości i załączników. Decydując się na „zahasłowanie” informacji, nie powinno się przesyłać nadawcy hasła z tego samego adresu mailowego. Jeśli bowiem osoba postronna przejmie kontrolę nad kontem mailowym, znajdzie się w posiadaniu wiadomości, jak i hasła. Z tego powodu hasła powinno się wysyłać odrębnym kanałem komunikacji, np. SMS-em.

Pracodawca i pracownicy powinni być szczególnie wyczuleni na sposób wysyłania wiadomości. Należy zadbać o to, by w temacie wiadomości nie były zwarte żadne dane osobowe ani dane poufne. Każdorazowo należy się również upewnić, czy e-mail jest wysyłany do właściwej osoby.

Oczywiście należy także zachować ostrożność, odbierając wiadomości od nieznanych nadawców, a przede wszystkim pod żadnym pozorem nie powinno się klikać linków zawartych w takich e-mailach ani otwierać dołączonych załączników. Może to być próba ataku hakerskiego lub próba wyłudzenia (tzw. atak phishingowy).

3. dostęp do sieci i chmury

W wykonywaniu pracy zdalnej bardzo pomocne są wszelkiego rodzaju dyski sieciowe oraz tzw. chmury, w których przechowuje się i archiwizuje dane. Przed umieszczeniem danych osobowych w takich lokalizacjach zawsze warto się upewnić, czy ich dostawcy zapewniają odpowiedni poziom bezpieczeństwa danych. Przede wszystkim należy sprawdzić, czy dostawca jest zaufany i czy dane będą zabezpieczone przed dostępem osób nieuprawnionych. Ważnym aspektem jest również weryfikacja, jak długo można przechowywać dane w wybranej chmurze i czy po pewnym czasie dane nie zostaną bezpowrotnie usunięte przez podmiot zarządzający chmurą.

ochrona danych osobowych_praca zdalna_portal ODO

 

 

 

 

 

 

Ogólne zasady zapewnienia bezpieczeństwa danych

Z przepisów rozporządzenia ogólnego o ochronie danych osobowych (RODO) wynika generalny obowiązek zapewnienia stopnia bezpieczeństwa danych odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych, których dane są przetwarzane. Ryzyko to ocenia się przy uwzględnieniu m.in. stanu wiedzy technicznej, a także charakteru, zakresu, kontekstu i celu przetwarzania. Przepisy nie dają jasnych wytycznych, jakie środki techniczne i organizacyjne zapewniają bezpieczeństwo danych i jaki stopień tego bezpieczeństwa jest wystarczający. Dlatego też każdy administrator musi samodzielnie dokonać oceny ryzyka związanego z przetwarzaniem danych i dobrać do niego stosowne środki bezpieczeństwa.

Rozpoczynając każde nowe przedsięwzięcie w przedsiębiorstwie, należy dokonać wszechstronnej analizy ryzyka. Analiza ta jest procesem ciągłym, dlatego powinno się ją wykonywać systematycznie i przy każdej zmianie okoliczności przetwarzania danych. Tego rodzaju zmianą okoliczności jest zmiana trybu pracy ze stacjonarnej na zdalną. Wraz z nią dokonuje się bowiem modyfikacji sposobów utrwalania i przesyłania danych, a także niekiedy zmusza się pracowników, aby korzystali z prywatnych urządzeń, zamiast służbowych, które zwykle posiadają odpowiednie zabezpieczenia.

Jeśli więc administrator wykonał już analizę ryzyka dla procesów przetwarzania danych realizowanych w zakładzie pracy, ale obecnie polecił swoim pracownikom wykonywanie pracy zdalnej, zmieniając tym samym warunki przetwarzania danych, konieczne jest ponowne przeprowadzenie lub zaktualizowanie analizy. Następnie należy dostosować organizacyjne i techniczne środki bezpieczeństwa do jej wyników.

Obowiązek przeprowadzenia analizy ryzyka jest jednym z najtrudniejszych zadań wynikających z RODO. Z pomocą administratorom przychodzą narzędzia do przeprowadzania zautomatyzowanej analizy ryzyka. Jedynym z nich jest stworzona przez Zespół Lubasz i Wspólnicy – Kancelarii Radców Prawnych Sp. k. aplikacja GDPR Risk Tracker. Zachęcamy każdego administratora, który chce w czytelny i prosty sposób dokonać analizy ryzyka dla danych osobowych związanego z wykonywaniem pracy zdalnej, do zapoznania się z aplikacją i jej funkcjami. O szczegółach tego narzędzia można przeczytać pod adresem https://www.gdprrisktracker.pl/.

 

 

 

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

2DM_3839b

Karolina Przybysz
Aplikant
karolina.przybysz@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej