Jak pracować zdalnie zgodnie z RODO

Praca zdalna a RODO

Ogólnoświatowa epidemia wymusiła znaczne zmiany w biznesie. Jedną z bardziej zauważalnych, było przejście organizacji na tryb home office. Niezależnie od tego skąd pracownik realizuje swoje obowiązki, firma nadal ponosi odpowiedzialność za respektowanie obowiązujących przepisów dotyczących danych osobowych. Na jakie elementy pracy zdalnej i przetwarzania danych osobowych w kontekście pracowników, klientów i innych partnerów biznesowych trzeba zwrócić szczególną uwagę?

Ocena ryzyka i przetwarzanie danych w pracy zdalnej

Firma i zatrudniony administrator danych osobowych według RODO, muszą zorganizować odpowiednie środki techniczne, infrastrukturalne i administracyjne w taki sposób, by zagwarantować bezpieczne przetwarzanie wszelkich danych osobowych. Oznacza to, że każdy pracodawca powinien przeprowadzić własną ocenę ryzyka i w ten sposób zidentyfikować potencjalne zagrożenia dla każdego pracownika, klienta lub innych danych osobowych przetwarzanych w ramach swojej organizacji.

W ocenie ryzyka, niezbędne jest uwzględnienie rodzaju i charakteru przetwarzanych danych oraz przewidywanie wszelkich potencjalnych zagrożeń, które mogą wynikać z procesów lub systemów technicznych organizacji. W trakcie pracy zdalnej, gdzie nadzór funkcjonuje w zupełnie inny sposób, zgubione i skradzione urządzenia, nośniki lub dane, w oczywisty sposób zwiększają ryzyko naruszenia bezpieczeństwa danych osobowych.

Praca zdalna a środki bezpieczeństwa zgodne z RODO

W ramach RODO nie ma zawartych jakichkolwiek obowiązkowych metod, w jaki sposób można zabezpieczyć przetwarzanie danych osobowych. Jednak Rozporządzenie nadal zawiera listę elementów, które można uznać za odpowiednie przy ich przetwarzaniu, np. pseudonimizacja lub szyfrowanie. Pseudonimizowane dane osobowe pozostają nadal danymi osobowymi, ale nie można ich już przypisać konkretnej osobie bez wykorzystania dodatkowych informacji. Ponowne szyfrowanie oznacza, że ​​dane osobowe są zamieniane na ciąg znaków w ramach kodu, dzięki czemu ich zawartość nie może być odczytana i zrozumiana. W przypadku utraty laptopa pracowniczego, wyklucza to dostęp osoby trzeciej do danych wrażliwych bez posiadania klucza szyfrowania lub, w przypadku danych pseudonimizowanych, bez brakujących informacji dotyczących danych pseudonimizowanych.

Dodatkowe środki bezpieczeństwa, które powinny być wzięte pod uwagę przez firmę, dotyczą zasady bezpieczeństwa i autoryzacji. Organizacje powinny w nich zawrzeć zasady określające środki bezpieczeństwa i pozwalające na dostęp do danych osobowych tylko tym pracownikom, którzy potrzebują tego do wykonywania swoich zadań roboczych. Ponadto powinny uwzględniać także kontrolowanie kto i w jaki sposób ma dostęp do urządzeń, np. poprzez nadawanie tylko silnych haseł. Równie istotne są bezpieczne połączenia internetowe, zaktualizowane oprogramowanie i odpowiednie programy antywirusowe na wszystkich urządzeniach wykorzystywanych do realizacji zadań w trakcie pracy zdalnej.

Podczas home office, firma powinna systematycznie testować i oceniać skuteczność swoich środków technicznych i organizacyjnych. W związku z tym osoby zatrudnione powinny otrzymywać regularne powiadomienia i być edukowane w kontekście dopuszczalnego użytkowania i zasad dotyczących sieci pracodawcy, oprogramowania, połączenia internetowego i urządzenia. Jest to sposób dzięki któremu systematycznie podnosi się świadomość praw i obowiązków, czy warunków pracy w ramach pracy zdalnej.

Praca na sprzęcie prywatnym (BYOD – ang. Bring Your Own Device)

W ramach pracy zdalnej, obowiązki mogą być realizowane także na prywatnych urządzeniach pracowników. Tutaj również istotne jest zapewnienie bezpieczeństwa przetwarzanych danych osobowych. Stąd należy poinformować członków zespołów zdalnych, że podczas wykonywania obowiązków na tych urządzeniach, obowiązują te same zasady bezpieczeństwa danych co w organizacji. W tym celu najpowszechniejsze jest stworzenie odpowiedniej polityki pracy w ramach BYOD, która musi być łatwa do zrozumienia i podpisana przez pracowników, którzy dzięki tym zapisom są świadomi ciążącym na nich obowiązkom. Taki dokument powinien zawierać instrukcje dotyczące dopuszczalnego użytkowania urządzenia oraz informacje dotyczące bezpieczeństwa. Przykładem może być informacja jak i gdzie dane osobowe powinny być przechowywane, jak wyglądają zasady dotyczące haseł dostępu, lista aplikacji i programów zewnętrznych, z których można korzystać w czasie pracy. Ponadto po stronie firmy należy zapewnienie, by dane klientów można było zdalnie kontrolować na urządzeniu pracownika, w momencie gdy ten zmienia swoje miejsce pracy na inną firmę.

Praca zdalna zgodna z RODO – o czym pamiętać?

Rozpoczynając pracę zdalną, także w trybie home office, należy pamiętać o:

●       zapewnieniu szyfrowania wszystkich informacji firmowych i poufnych,

●       zadbaniu o odpowiednią jakość haseł,

●       zapewnieniu aktualnej ochrony urządzeń (programy antywirusowe, dwuetapowa weryfikacja i inne)

●       bezpieczeństwie przesyłania danych (m.in. szyfrowany dostęp do sieci wi-fi).

Wszystkie urządzenia przenośne powinny być dokładnie zaszyfrowane. Dotyczy to także domowej sieci wi-fi. Brak zabezpieczeń prowadzi do przechwytywania danych logowania i wiadomości e-mail. Natomiast silne hasła nie tylko chronią dostęp do urządzeń i systemów w przypadku zagubienia lub kradzieży telefonu komórkowego lub laptopa, ale także chronią firmy przed hakerami. Ponadto pracownicy pracujący zdalnie powinni mieć zainstalowane i zaktualizowane na swoich laptopach programy antywirusowe, szyfrowanie urządzeń, zapory ogniowe i filtrowanie stron internetowych, aby zapewnić sobie jak największe bezpieczeństwo.

Podsumowanie

Dane wrażliwe, za każdym razem gdy są przesyłane z jednego miejsca do drugiego, powinny być pseudonimizowane lub szyfrowane, aby chronić je przed wyciekiem. Proces ten pozwala ukryć dane, zastępując informacje wrażliwe sztucznymi zamiennikami. Chociaż ma to zasadnicze znaczenie dla ochrony danych i może pomóc chronić prywatność oraz bezpieczeństwo danych osobowych, pseudonimizacja ma swoje ograniczenia, dlatego też RODO wspomina również o szyfrowaniu.

Promocja home office z LOG

Powiązane artykuły