Ochrona danych osobowych w firmie i szkolenia ABI
Praca zdalna jako środek walki z COVID-19

Praca zdalna jako środek walki z COVID-19

austin-distel-97HfVpyNR1M-unsplash

Jednym z najczęściej wykorzystywanych środków ochrony wobec pandemii COVID-19 jest zastosowanie systemu pracy zdalnej czyli pracy z wykorzystaniem odpowiednich narzędzi, bez fizycznej obecności w biurze, zakładzie etc. Tzw. „homeoffice” realnie staje się skuteczną odpowiedzią na ograniczenie mobilności i fizycznej styczności pracowników tam gdzie jest to możliwe – niektórych czynności niestety czy może stety nie możemy zrealizować online.

Praca zdalna a zasady ochrony danych

Wobec tego, że prowadzenie działalności gospodarczej w 99,9 % obejmuje również procesy przetwarzania danych osobowych (w różnym zakresie) praca zdalna musi być rozpatrywana też pod kątem spełnienia kryteriów ochrony wynikających z przepisów prawa ochrony danych osobowych – czyli m.in. RODO.

Należy pamiętać, że zgodnie z art. 32 RODO:

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)

Zasada art. 32 RODO obowiązuje bez względu na to gdzie dane są przetwarzane – a w przypadku pracy zdalnej przetwarzanie odbywa się tam gdzie pracownik czy współpracownik pracuje czyli np. w domu.

Co z tego wynika?

Otóż to, że nawet w miejscu pracy zdalnej Administrator bądź Przetwarzający powinien m.in. zadbać o przestrzeganie zasad poufności danych osobowych i zabezpieczyć ich przetwarzanie. O ile jesteśmy w stanie zapewnić poufność komunikacji czy transferu danych to o tyle trudniej jest zapewnić poufność treści samej informacji – bo faktycznie nie wiemy w jakim środowisku czy otoczeniu dane czy informacja jest przetwarzana.

Na co zwrócić uwagę przy organizacji pracy zdalnej zgodnie z RODO

Jest wiele aspektów, które należy wziąć pod uwagę w kontekście organizacji pracy zdalnej zgodnie z wymaganiami przepisów prawa ochrony danych osobowych. Poniżej przedstawimy w naszej ocenie najważniejsze z nich, ale nie wszystkie – tutaj zawsze powinno się indywidualnie badać konkretny proces przetwarzania, który będzie dokonywany zdalnie.

  1. Zweryfikuj czy proces przetwarzania ze względu na zakres danych czy istotność dla organizacji uzasadnia zastosowanie zdalnego dostępu do danych poza obszarem biura.Jeżeli zakres danych bądź ich istotność jest wysoka należy bardziej skłaniać się do przetwarzania danych w pełni kontrolowanych warunkach w biurze.
  2. Jeżeli to możliwe dostarcz służbowy sprzęt odpowiednio zabezpieczony i uaktualniony, jeżeli nie to dostosuj sprzęt dostarczony przez pracownika.Szczególnie zwróć uwagę na aktualność oprogramowania, zabezpieczenie przed złośliwym oprogramowaniem, zabezpieczeniem dostępu i ewentualnie zaimplementowanie mechanizmów monitoringu. W przypadku sprzętu prywatnego zbadaj stan i jakość oraz dostosuj go za zgodą pracownika do odpowiedniego stanu gwarantującego bezpieczeństwo.
  3. Zabezpiecz procesy komunikacji wykorzystywanych urządzeń czy kanały dostępu do bazy danych (np. VPN, dostęp jedynie ze wskazanego IP).Wybierz bezpieczne kanały komunikacji (aplikacje) oraz wprowadź bezpieczne połączenie na linii sprzęt-serwer.
  4. Zweryfikuj zasady dostępu do danych oraz możliwości ich modyfikacji, kopii etc.Dokonaj przeglądu uprawnień i oceń czy w związku z pracą zdalną nie należy zaktualizować zasad dostępu oraz sposobów pracy z danymi.
  5. Zastanów się nad wprowadzeniem monitoringu stosowanych narzędzi i urządzeń – o ile wcześniej tego nie wdrożyłeś.Jeżeli nie masz pełnej gwarancji poufności danych np. na okoliczność dokonywania nieautoryzowanych kopii wprowadź mechanizmy monitorujące Użytkownika oczywiście wcześniej poinformuj o tym samego Użytkownika.
  6. Wskaż pracującym zdalnie podstawowe obowiązki w zakresie pracy zdalnej m.in.– korzystanie jedynie z bezpiecznych połączeń z siecią Internet
    – dostęp do danych jedynie dla uprawnionych
    – praca jedynie z wykorzystaniem skrzynki służbowej
    – praca z dokumentami jedynie na przestrzeni firmowej np. w chmurze
    – jeżeli pliki przetwarzane lokalnie tworzenie ich kopii w przestrzeni firmowej np. w chmurze
    – praca w miejscach gwarantujących poufność
    – drukowanie dokumentów w miejscach gwarantujących poufność – własna lub służbowa drukarka
    – zabezpieczenie urządzeń po zakończonej pracy
  7. Uczul pracowników na zjawisko phishingu.Obecna sytuacja obniża czujność dlatego wskaż na jakie ryzyka narażony jest pracownik w zw. z otrzymywaną korespondencją.

Wskazówki dotyczące pracy zdalnej znajdą Państwo również na stronie Urzędu Ochrony Danych Osobowych – tutaj.

Photo by Austin Distel on Unsplash

Marcin Kaleta

Prezes Zarządu