2DM_3839b

Karolina Przybysz
Aplikant

Kierując pracowników do pracy zdalnej, nie zapomnij o ochronie danych 

Dodano: kwiecień 30, 2020 Kategoria: Administrator danych, Inspektor Ochrony Danych, Ogólne rozporządzenie o ochronie danych osobowych (RODO) Autor: Karolina Przybysz

Od momentu ogłoszenia w Polsce stanu zagrożenia epidemicznego, a następnie stanu epidemii, coraz więcej pracowników wykonuje pracę w sposób zdalny. Następuje to oczywiście na polecenie  pracodawcy, a podstawą prawną takiego rozwiązania są przepisy tzw. Tarczy antykryzysowej.

Wykonywanie pracy w sposób zdalny znacząco zmienia zasady funkcjonowania zakładu pracy oraz postępowania z danymi osobowymi. Dokumentacja papierowa odgrywa mniejszą rolę, a coraz więcej danych przybiera formę elektroniczną. Aby uniknąć naruszenia zasad ochrony danych osobowych, warto upewnić się, że używane przez pracowników urządzenia oraz stosowane metody tworzenia, przesyłania i utrwalania danych, zapewniają odpowiedni poziom bezpieczeństwa danych.

Wytyczne UODO

W ostatnich dniach nad kwestią pracy zdalnej pochylił się Urząd Ochrony Danych Osobowych, którego wskazówki mogą pomóc pracodawcom w zapewnieniu lepszego poziomu ochrony danych. Urząd zwrócił uwagę na trzy aspekty wymagające szczególnej ochrony:

1. urządzenia

UODO zwrócił uwagę, aby podczas wykonywania pracy zdalnej nadal stosować się do procedur wdrożonych w zakładzie pracy. Jeżeli w celu wykonywania pracy na odległość konieczne jest zainstalowanie nowych aplikacji lub narzędzi na urządzeniach pracowników, powinny one spełniać normy bezpieczeństwa przyjęte przez administratora. Co więcej, administrator powinien zadbać, aby urządzenia, z których korzystają pracownicy, były wyposażone w system antywirusowy oraz by posiadały zaktualizowane systemy operacyjne.

Należy pamiętać, że pracodawca jest odpowiedzialny za sposób, w jaki jego pracownicy przetwarzają dane osobowe, dlatego tez jest niezwykle ważne, aby poinstruował swoich podwładnych, jak postępować z urządzeniami i danymi. Nawet pracując w warunkach domowych, pracownicy powinni zadbać o to, by osoby postronne, np. domownicy, nie uzyskały dostępu do danych. W tym celu każdy pracownik powinien wydzielić sobie własną przestrzeń do pracy. Powinien również zabezpieczyć urządzenia, z których korzysta (np. laptop, dysk przenośny, pendrive) przed dostępem osób trzecich. Może to zrobić np. poprzez ustawienie silnych haseł dostępu oraz blokowanie komputera każdorazowo po odejściu od stanowiska pracy. Warto pamiętać, że odpowiedzialność za każde naruszenie ochrony danych spowodowane przez pracownika, ostatecznie spocznie na pracodawcy, który jest administratorem tych danych.

2. e-mail

Podczas wykonywania pracy zdalnej wiadomości mailowe stanowią podstawowy sposób komunikacji. Jak podkreślił UDOO, jest bardzo istotne, aby pracownicy korzystali z kont służbowych, a nie prywatnych. A zatem pracodawca powinien zapewnić pracownikom dostęp do służbowych skrzynek także w warunkach domowych. Jeżeli jednak pracownik stanie przed koniecznością skorzystania z konta prywatnego, powinien zadbać o odpowiednie zaszyfrowanie treści wiadomości i załączników. Decydując się na „zahasłowanie” informacji, nie powinno się przesyłać nadawcy hasła z tego samego adresu mailowego. Jeśli bowiem osoba postronna przejmie kontrolę nad kontem mailowym, znajdzie się w posiadaniu wiadomości, jak i hasła. Z tego powodu hasła powinno się wysyłać odrębnym kanałem komunikacji, np. SMS-em.

Pracodawca i pracownicy powinni być szczególnie wyczuleni na sposób wysyłania wiadomości. Należy zadbać o to, by w temacie wiadomości nie były zwarte żadne dane osobowe ani dane poufne. Każdorazowo należy się również upewnić, czy e-mail jest wysyłany do właściwej osoby.

Oczywiście należy także zachować ostrożność, odbierając wiadomości od nieznanych nadawców, a przede wszystkim pod żadnym pozorem nie powinno się klikać linków zawartych w takich e-mailach ani otwierać dołączonych załączników. Może to być próba ataku hakerskiego lub próba wyłudzenia (tzw. atak phishingowy).

3. dostęp do sieci i chmury

W wykonywaniu pracy zdalnej bardzo pomocne są wszelkiego rodzaju dyski sieciowe oraz tzw. chmury, w których przechowuje się i archiwizuje dane. Przed umieszczeniem danych osobowych w takich lokalizacjach zawsze warto się upewnić, czy ich dostawcy zapewniają odpowiedni poziom bezpieczeństwa danych. Przede wszystkim należy sprawdzić, czy dostawca jest zaufany i czy dane będą zabezpieczone przed dostępem osób nieuprawnionych. Ważnym aspektem jest również weryfikacja, jak długo można przechowywać dane w wybranej chmurze i czy po pewnym czasie dane nie zostaną bezpowrotnie usunięte przez podmiot zarządzający chmurą.

 

 

 

 

 

 

Ogólne zasady zapewnienia bezpieczeństwa danych

Z przepisów rozporządzenia ogólnego o ochronie danych osobowych (RODO) wynika generalny obowiązek zapewnienia stopnia bezpieczeństwa danych odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych, których dane są przetwarzane. Ryzyko to ocenia się przy uwzględnieniu m.in. stanu wiedzy technicznej, a także charakteru, zakresu, kontekstu i celu przetwarzania. Przepisy nie dają jasnych wytycznych, jakie środki techniczne i organizacyjne zapewniają bezpieczeństwo danych i jaki stopień tego bezpieczeństwa jest wystarczający. Dlatego też każdy administrator musi samodzielnie dokonać oceny ryzyka związanego z przetwarzaniem danych i dobrać do niego stosowne środki bezpieczeństwa.

Rozpoczynając każde nowe przedsięwzięcie w przedsiębiorstwie, należy dokonać wszechstronnej analizy ryzyka. Analiza ta jest procesem ciągłym, dlatego powinno się ją wykonywać systematycznie i przy każdej zmianie okoliczności przetwarzania danych. Tego rodzaju zmianą okoliczności jest zmiana trybu pracy ze stacjonarnej na zdalną. Wraz z nią dokonuje się bowiem modyfikacji sposobów utrwalania i przesyłania danych, a także niekiedy zmusza się pracowników, aby korzystali z prywatnych urządzeń, zamiast służbowych, które zwykle posiadają odpowiednie zabezpieczenia.

Jeśli więc administrator wykonał już analizę ryzyka dla procesów przetwarzania danych realizowanych w zakładzie pracy, ale obecnie polecił swoim pracownikom wykonywanie pracy zdalnej, zmieniając tym samym warunki przetwarzania danych, konieczne jest ponowne przeprowadzenie lub zaktualizowanie analizy. Następnie należy dostosować organizacyjne i techniczne środki bezpieczeństwa do jej wyników.

Obowiązek przeprowadzenia analizy ryzyka jest jednym z najtrudniejszych zadań wynikających z RODO. Z pomocą administratorom przychodzą narzędzia do przeprowadzania zautomatyzowanej analizy ryzyka. Jedynym z nich jest stworzona przez Zespół Lubasz i Wspólnicy – Kancelarii Radców Prawnych Sp. k. aplikacja GDPR Risk Tracker. Zachęcamy każdego administratora, który chce w czytelny i prosty sposób dokonać analizy ryzyka dla danych osobowych związanego z wykonywaniem pracy zdalnej, do zapoznania się z aplikacją i jej funkcjami. O szczegółach tego narzędzia można przeczytać pod adresem https://www.gdprrisktracker.pl/.

 

 

 

Post Views: 5 300

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

2DM_3839b

Karolina Przybysz
Aplikant

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.