Bezpieczeństwo danych osobowych w czasach pracy zdalnej

W ciągu ostatniego roku wiele firm wprowadziło zmiany w zakresie organizacji sposobu świadczenia pracy przez pracowników kierując ich do pracy zdalnej. Warto zwrócić uwagę na to, że takie działania mogą się wiązać ze zmianą sposobów przetwarzania danych osobowych, co przekłada się na poziom bezpieczeństwa tych danych.

Praca zdalna, a przetwarzanie danych osobowych

Na mocy ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych wprowadzono możliwość polecenia wykonywania pracy zdalnej w okresie trwania pandemii. Pracodawca może polecić pracownikowi wykonywanie, pracy określonej w umowie o pracę, poza miejscem jej stałego wykonywania. Skierowanie na pracę zdalną nie jest obowiązkiem pracodawcy, ponieważ nie w każdym przedsiębiorstwie istnieje możliwość świadczenia pracy w taki sposób. Jeżeli pracodawca zdecyduje się na wprowadzenie pracy zdalnej, jej następstwa będą widoczne m.in. w zakresie przetwarzania danych osobowych.

Jednym z podstawowych zadań administratora (np. przedsiębiorcy) jest zapewnienie odpowiedniego poziomu ochrony przetwarzanych danych osobowych. Uwzględniając zakres, charakter i cele przetwarzania oraz ryzyka naruszania praw lub wolności osób fizycznych powinny zostać wprowadzone właściwe metody organizacyjne i techniczne, których celem jest zapewnienie przetwarzania danych osobowych zgodnie z RODO. W przypadku zaistnienia takiej potrzeby środki te powinny być aktualizowane i poddawane przeglądom. Administrator na bieżąco powinien wykonywać analizę ryzyka, szczególnie kiedy zachodzą zmiany okoliczności przetwarzania danych. Skierowanie pracowników do pracy zdalnej często łączy się z takimi zmianami, ponieważ pracownicy zaczynają przetwarzać dane w środowisku zewnętrznym. Weryfikacja poziomu ryzyka umożliwia właściwy dobór metod organizacyjnych i technicznych, które zminimalizują możliwość narażenia na niebezpieczeństwo. Warto, nawet po rozpoczęciu pracy zdalnej, dokonać przeglądu stosowanych rozwiązań i zabezpieczeń.

Urządzenia służbowe

Pracodawca powinien udostępnić pracownikowi odpowiednie narzędzia do świadczenia pracy zdalnej, tj.: telefon, tablet czy laptop. Urządzenia służbowe powinny spełniać wymogi bezpieczeństwa bez znaczenia gdzie będą one używane. Wprowadzenie pracy zdalnej może wymagać zainstalowania oprogramowania umożliwiającego kontakt pomiędzy pracownikami i pracodawcą, wykonywanie poleceń służbowych, a także weryfikację i kontrolę pracy wykonywanej przez pracowników. Korzystając z okazji instalowania odpowiednich aplikacji można dokonać przeglądu stosowanych zabezpieczeń lub (w razie ich braku) wprowadzenia właściwych rozwiązań.

Wdrażanie odpowiedniego zabezpieczenia powinno być realizowane różnymi sposobami, może to być m.in.: wielopoziomowe uwierzytelnianie, zabezpieczenie dostępu do urządzeń silnymi hasłami, korzystanie z programu antywirusowego, automatyczne backupy, szyfrowany dostęp do dysku twardego. Pracownicy powinni być przeszkoleni jak korzystać ze sprzętu służbowego. Sprzęt ten powinien być wykorzystywany jedynie do wykonywania obowiązków służbowych.  Po odejściu od stanowiska pracy pracownik powinien blokować dostęp do urządzenia, a stanowisko pracy powinno być zorganizowane w taki sposób, aby osoby postronne nie miały dostępu do dokumentów pracodawcy. Pracownicy nie powinni instalować oprogramowania, które nie jest niezbędne do wykonywania pracy. Wszelkie usterki i problemy techniczne powinny być zgłaszane przez pracowników.

Bezpieczeństwo przetwarzania danych i komunikacji w cyberprzestrzeni

Poczta elektroniczna jest podstawową formą komunikacji w ramach organizacji. Z korzystaniem z niej wiąże się wiele zagrożeń, mogą to być m.in. phishing (podszywanie się pod inną osobę lub instytucję celem wyłudzenia danych) lub wysłanie wiadomości do niewłaściwego adresata. Rolą pracodawcy jest regularne informowanie pracowników o procedurze bezpieczeństwa, m.in. o pobieraniu załączników czy otwieraniu linków od nieznanych nadawców.

Jeśli pracodawca utworzył służbowe konto mailowe dla pracownika niedopuszczalne jest wykorzystanie prywatnego konta pocztowego w celach pracowniczych. Ze względu na niski poziom zabezpieczeń korzystanie z prywatnej skrzynki pocztowej zwiększa ryzyko wycieku danych. W przypadku, kiedy pracownik nie ma służbowego maila i wykorzystuje swoje prywatne konto pocztowe powinien szyfrować przesyłane załączniki i dane osobowe. Hasło do rozszyfrowania wiadomości należy przekazać innym kanałem komunikacji, np. telefonicznie. Celem tego działania jest zminimalizowanie ryzyka odszyfrowania zawartości korespondencji przez osoby niepowołane.

Wygodnym rozwiązaniem umożliwiającym przechowywanie i archiwizację dokumentów są tzw. rozwiązania chmurowe. Służą one do przetwarzania danych osobowych i generowania ich kopii zapasowych na serwerze podmiotu świadczącego usługę chmurową. W przypadku świadczenia pracy zdalnej przechowywanie danych w chmurze jest funkcjonalnym i dogodnym sposobem zagwarantowania dostępu do danych. Zanim podejmiemy decyzję o przeniesieniu danych do chmury, warto przeanalizować czy określony usługodawca oferuje usługi na odpowiednim poziomie bezpieczeństwa. Z perspektywy zasady integralności i poufności jest to istotny aspekt. W przypadku nieodpowiedniego przetwarzania danych, powodującego np. ich uszkodzenie, utratę lub zniszczenie odpowiedzialność ponosi administrator, czyli np. przedsiębiorca. Obowiązkiem administratora jest korzystanie z usług podmiotów, które zapewniają odpowiedni poziom bezpieczeństwa dla przetwarzanych danych. Warto dowiedzieć się, czy dostawca usługi chmurowej oferuje bezterminowe przechowywanie danych, czy może okresowo usuwa je z serwera – w niektórych sytuacjach może to oznaczać nieodwracalną utratę danych.

Bezpieczeństwo danych osobowych w dokumentacji papierowej

Udostępnienie dokumentacji papierowej pracownikowi bywa konieczne w celu wykonywania jego obowiązków, jednak wiąże się to z ryzykiem utraty integralności i poufności przetwarzanych danych. Pracodawca powinien przekazać pracownikowi wyłącznie niezbędną dokumentację do świadczenia pracy.  Pracownik powinien w odpowiedni sposób zabezpieczyć dane osobowe podczas wynoszenia dokumentacji, jak i w miejscu wykonywania pracy zdalnej. Dokumentacja powinna być przechowywana w zamykanej szafie lub szufladzie, nie może być udostępniana osobom postronnym, pracownik powinien zostać również zaznajomiony z procedurą niszczenia dokumentów. Słusznym działaniem jest prowadzenie ewidencji dokumentacji zawierającej dane osobowe, którą przekazujemy pracownikom. Praktyka ta może pomóc w kontrolowaniu zakresu udostępnianych dokumentów, a także sprzyja realizacji zasady rozliczalności. Jeżeli pracodawca umożliwia korzystanie z danych przechowywanych w chmurze niezasadnym będzie wynoszenie z zakładu pracy dokumentów papierowych przez pracownika.

Więcej na ten temat w artykule „Dokumentacja papierowa (dane osobowe) a praca zdalna”.

Nadzorowanie pracy zdalnej

Przedsiębiorca jest uprawniony do nadzorowania wykonywania pracy przez pracownika. Pracodawca może polecić pracownikom prowadzenie ewidencji wykonywanych czynności, uwzględniającej opis tych czynności, datę i czas ich wykonywania. Część pracodawców może chcieć skorzystać z innych narzędzi weryfikacji czasu pracy. Wiele z takich narzędzi wiąże się z ingerencją w prywatność pracownika. Tak będzie w sytuacji korzystania z programów umożliwiających rejestrowanie ruchów myszy, naciśnięć klawiszy, zapisywania czasu uruchomienia i użytkowania określonych aplikacji, przechwytywanie ekranu, czy nawet włączanie kamer internetowych celem rejestracji obrazu. Pracodawcy nie powinni posuwać się do tego typu działań.  Do monitorowania czasu pracy nie powinno się wykorzystywać również danych biometrycznych pracowników, które zalicza się do kategorii danych wrażliwych podlegających szczególnej ochronie.

Zmiana organizacji pracy może być korzystna dla przedsiębiorców m.in. pod względem finansowym (np. oszczędzenie części kosztów energii, czy kosztów najmu powierzchni biurowych).  Praca zdalna zwykle stanowi zmianę sposobu przetwarzania danych osobowych, dlatego wprowadzenie jej powinno zostać poprzedzone analizą ryzyka i weryfikacją zgodności rozwiązań z RODO. Pracownicy, natomiast powinni stosować się do zaleceń mających na celu ograniczyć niebezpieczeństwo dostania się danych osobowych w niepowołane ręce, tj.: nieużywanie urządzeń służbowych do celów prywatnych, nieinstalowanie zbędnych aplikacji, praca na aktualnym oprogramowaniu, blokowanie urządzenia przed opuszczeniem stanowiska pracy, stosowanie silnych haseł, zgłaszanie usterek i problemów, jeśli jest taka możliwość – korzystanie ze służbowej poczty elektronicznej, dokładne sprawdzanie adresatów i nadawców korespondencji.

Podstawa prawna:

1. Ustawa z dnia 02 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 1842 z pózn. zm.)

Źródło pomocnicze:

1. parp.gov.pl
2. uodo.gov.pl