Nowe ryzyka, nowe podatności

0
620

Od 7 kwietnia 2023 r. praca zdalna została wskazana w Kodeksie pracy jako jedna z możliwych form świadczenia pracy. Zrobiła trochę zamieszania w zakresie ochrony danych osobowych, bo pojawiają się nowe ryzyka, nowe podatności, z którymi musimy umieć sobie radzić, np. utrata poufności, integralności czy dostępności.

Wprowadzenie pracy zdalnej do polskiego porządku prawnego spowodowało, że osobom nadzorującym prawidłową ochronę danych osobowych przybyło obowiązków związanych z monitorowaniem przestrzegania przepisów rozporządzenia RODO.

Nawet jeżeli wcześniej w  organizacji była możliwość pracy zdalnej, to w aktualnej sytuacji jest konieczność weryfikacji, czy jest zorganizowana w sposób bezpieczny, i wykazania, że przepisy o ochronie danych osobowych są przestrzegane.

Podczas pracy zdalnej podstawą jest zachowanie bezpieczeństwa przetwarzanych danych osobowych zarówno przez pracodawcę, jak i pracownika. Dlatego zarówno przepisy Kodeksu pracy, jak i rozporządzenia RODO nakładają na obie strony wiele obowiązków w tym zakresie i wprost mówią o procedurach ochrony danych osobowych, których należy przestrzegać.

Co to oznacza dla organizacji w praktyce?

Konieczność wprowadzenia nowej dokumentacji w zakresie ochrony danych osobowych oraz zmian w już posiadanej.

Obowiązki wynikające z rozporządzenia RODO dla procesów określonych w nowelizacji Kodeksu pracy:

  1. Nowa dokumentacja
  2. Przygotowanie zmian w Regulaminie Pracy,
  3. Opracowanie załącznika „Procedury ochrony danych osobowych w pracy zdalnej”,
  4. Przygotowanie pracowników do ochrony danych osobowych w warunkach pracy zdalnej: szkolenie + test sprawdzający gotowość pracownika do świadczenia pracy zdalnej w zakresie ochrony danych,
  5. Przygotowanie Listy Kontrolnej pozwalającej na weryfikację bezpieczeństwa pracy zdalnej oraz wykazania, że przepisy RODO są w firmie monitorowane.
  6. Zmiany w posiadanej dokumentacji
  7. Wykonanie analizy privacy by design/default (art. 25),
  8. Szacowanie ryzyka naruszenia praw lub wolności osób, których dane dotyczą w celu doboru zabezpieczeń (art. 32),
  9. Wdrożenie środków techniczno-organizacyjnych zapewniających przetwarzanie zgodne z RODO (art. 24),
  10. Wpisanie nowych procesów w RCP (art. 30),
  11. Aktualizacja Polityki Retencji (art. 5),
  12. Przygotowanie klauzul informacyjnych dla osób, których dane dotyczą (art. 13),
  13. Podpisanie umów powierzenia – jeżeli będzie taka potrzeba (art. 28).

Obowiązki wynikające z nowelizacji Kodeksu pracy

  • Art. 67(26) §1 i 2 – określa procedury ochrony danych osobowych,
  • Art. 67(25) §1 – zapewnia pracownikowi materiały i narzędzia pracy, w tym urządzenia techniczne,
  • Art. 67 (24) §1 pkt 4 – zapewnia pracownikowi szkolenia i pomoc techniczną.

Praca w domu jest wygodna, ale dla pracodawcy oznacza większe ryzyko ujawnienia informacji, czyli powstania incydentu. Dlatego pracownicy muszą wiedzieć, jak chronić przetwarzane dane osobowe w warunkach domowych. Praca zdalna może być korzystna i dla pracodawcy, i dla pracownika, pod warunkiem że jest bezpieczna.

Jak zapewnić bezpieczeństwo? Kilka porad praktycznych

  • Bezpieczeństwo fizyczne i środowiskowe pracy zdalnej

Należy wydzielić odpowiednią przestrzeń do pracy, aby osoby postronne nie miały dostępu do sprzętu, dokumentów oraz służbowych danych przetwarzanych przez zdalnego pracownika, którego obowiązkiem jest zadbanie, żeby był jedyną osobą mającą dostęp do informacji będących własnością pracodawcy. Domownicy nie mogą korzystać z jego sprzętu służbowego oraz znać jego loginów czy hasła.

  • Bezpieczeństwo sprzętu komputerowego

Należy postępować zgodnie z przyjętą w organizacji procedurą bezpieczeństwa, tzn. nie instalować dodatkowych aplikacji czy oprogramowania, sprawdzić, czy urządzenia mają niezbędne aktualizacje systemowe i antywirusowe, blokować komputer, odchodząc od stanowiska pracy, oraz zabezpieczać komputer silnymi hasłami dostępu i wielopoziomowym uwierzytelnianiem. Ograniczy to ryzyko w przypadku kradzieży lub zgubienia sprzętu. W momencie zaistnienia takiej sytuacji należy natychmiast podjąć kroki przewidziane w Regulaminie Bezpieczeństwa, a o ile jest to możliwe, wyczyścić zdalnie pamięć urządzenia.

  • Bezpieczna poczta e-mailowa

Należy używać przede wszystkim służbowych kont e-mailowych, a jeśli zdarzy się konieczność wykorzystania prywatnej poczty, treść i załączniki trzeba zaszyfrować. Trzeba sprawdzać, czy wysyłana przez nas informacja ma właściwego adresata i nadawcę korespondencji, oraz nie otwierać wiadomości od nieznanych osób, a zwłaszcza załączników czy linku, bo to może być atak phishingowy. Jeżeli szyfrujemy wiadomość przesyłaną e-mailem, hasło do niej należy przekazać na innym urządzeniu (SMS).

  • Bezpieczeństwo sieci

Należy sprawdzić sposób łączenia z internetem (domowe łącze pracownika czy internet dostarczony przez pracodawcę) oraz sposób zabezpieczenia Wi-Fi. Ważne, aby używać tylko zaufanego dostępu do sieci lub chmury oraz przestrzegać zasad i procedur dotyczących logowania i udostępniania danych oraz zadbać o bezpieczny sposób archiwizacji danych.

Podsumowanie

Obowiązkową Zasadę rozliczalności (art. 5 ust. 1) realizujemy poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, tzn. wprowadzając niezbędne procedury, dokumentację oraz konfigurując środowisko informatyczne tak, aby zapewnić nie tylko ochronę danych osobowych, ale również poczucie bezpieczeństwa podmiotom danych (właścicielom danych).

Konsekwencje niewdrożenia przepisów rozporządzenia RODO to: generowanie incydentów bezpieczeństwa, możliwość wycieku danych osobowych, zmniejszenie wydajności i efektywności pracy oraz narażenie się na dodatkowe koszty, kontrola UODO + potencjalna kara administracyjna.

Oczywiście jeszcze nie wiemy, jakie działania kontrolne podejmie prezes UODO w tym zakresie, ale na pewno warto się wcześniej przygotować, zwłaszcza że jak pokazuje niniejszy artykuł, zadań do realizacji jest sporo.

Teresa Grabowska
TG-Doradztwo i Zarządzanie