Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Home office, czyli praca zdalna to jedna z najskuteczniejszych broni w walce z koronawirusem.

Ograniczamy potencjalne zagrożenie, a nasza organizacja może dalej sprawnie funkcjonować.

Co zrobić, żeby praca zdalna była zgodna z RODO?

Praca zdalna zgodna z RODO – czyli co na to przepisy prawa?

Na początek dobra informacja – przepisy RODO nie zabraniają nikomu pracy zdalnej! Rozporządzenie nie zawiera szczegółowych instrukcji lub obostrzeń z tym związanych.

Nie znaczy to jednak, że przy delegowaniu zespołu do pracy zdalnej nie powinniśmy brać pod uwagę przepisów RODO.

W toku działania w trybie home office, będzie niewątpliwie dochodziło do przetwarzania danych osobowych poza miejscem jej stałego wykonywania. Mogą się pojawić nowe ryzyka i zagrożenia, które nie występują w przypadku pracy w biurze.

Pamiętaj też o tym, że dane osobowe, to nie jedyna wartościowa informacja znajdująca się w zasobach organizacji, w tym na firmowych laptopach czy smartfonach. Równie wartościowe mogą być np. tajemnice przedsiębiorstwa czy inne informacje prawnie chronione. Więcej o tym w kolejnych akapitach.

 

Które przepisy RODO powinny nas zainteresować?

W mojej opinii będzie ich co najmniej kilka.

Po pierwsze, niezależnie od miejsca, w którym odbywa się praca, należy stosować adekwatne środki zabezpieczeń technicznych i organizacyjnych (art. 32 RODO).

Po drugie, powinniśmy mieć na uwadze ogólne zasady RODO, a zwłaszcza:

  • integralność i poufność (art. 5 ust. 1 lit. f RODO) – w szczególności przetwarzanie powinno odbywać się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, a administrator powinien zagwarantować ochronę przed ich niedozwolonym lub niezgodnym z prawem użyciem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem,
  • rozliczalność (art. 5 ust. 2 RODO) – administrator powinien być w stanie wykazać, że przestrzega podstawowych zasad RODO, w tym tej wskazanej powyżej, co oznacza, że powinien on dysponować dowodem na to, że przyjęte środki są faktycznie adekwatne i zostały odpowiednio wdrożone.Po trzecie, żeby pracownicy mogli respektować powyższe zasady – potrzebny jest pewien poziom świadomości.

Jak zastosować adekwatne środki zabezpieczeń, jednocześnie zachowując rozliczalność, integralność i poufność?

Poniżej znajduje się propozycja Zespołu Lex Artist dla zgodnych z RODO warunków korzystania z home office. Przygotowaliśmy ją z myślą o wszelkich procesach biznesowych, w których wykonywanie pracy zdalnej jest możliwe.

Praca na tzw. szczególnych kategoriach danych (wcześniej: danych wrażliwych), może wymagać podjęcia dodatkowych środków ostrożności.

Służbowy komputer

Poniżej znajduje się lista najczęściej stosowanych i rekomendowanych środków technicznych.

Służbowy komputer przeznaczony do pracy w trybie home office spełniać większość z poniższych kryteriów:

  • indywidualny login oraz hasło dostępu do systemu,
  • możliwość łączenia się z Internetem i firmową siecią za pośrednictwem bezpiecznego łącza VPN,
  • wygaszacz ekranu włączający się po kilku minutach bezczynności,
  • aktualny program antywirusowy z firewallem,
  • możliwość automatycznego backupu danych lub ręczna procedura backupowa,
  • nakładki prywatyzujące na ekran minimalizujące ryzyko wglądu w ekran monitora osobom postronnym,
  • warto rozważyć dodanie drugiego składnika uwierzytelniania użytkownika (tzw. 2FA). Aby zalogować się do laptopa użytkownik musi spełnić łącznie dwa warunki:
    • coś wiedzieć (pamiętać swoje hasło)
    • coś posiadać (np. smartfona z tokenem aktywacyjnym, czy kartę chipową)
  • obowiązkowo – zaszyfrowany dysk twardy.

Stosowanie wyżej wskazanych środków zapewni w mojej ocenie adekwatny poziom bezpieczeństwa, kiedy pracujemy w trybie home office.

Smartfon to też komputer

Nie zapominaj o tym, że w dzisiejszych czasach smartfony dorównują powoli laptopom. Zarówno jeśli chodzi o ich moc obliczeniową, pamięć (a więc i możliwość przechowywania danych osobowych) oraz funkcjonalność.

Służbowe smartfony są dla nas często podstawowym narzędziem do sprawdzania poczty e-mail, a nawet obsługi przeglądarkowych systemów informatycznych zawierających bardzo duże ilości danych osobowych.

Jest on także bardzo bogatą bazą kontaktów Twojej organizacji (pracowników, klientów, kontrahentów).

Smartfon jest też często tzw. drugim faktorem, czyli drugim elementem w dwuskładnikowym uwierzytelnianiu użytkownika. Jeśli np. podczas pracy zdalnej zostanie Ci skradziony smartfon oraz laptop, bardzo zwiększy to ryzyko dostępu do zasobów danych potencjalnym hakerom.

Podobnie jak w przypadku służbowego komputera, smartfon powinien spełniać większość z poniższych kryteriów:

  • obowiązkowo – blokada ekranu. Sama blokada karty SIM PIN-em to zdecydowanie za mało,
  • szyfrowanie danych,
  • możliwość łączenia się z Internetem i firmową siecią za pośrednictwem bezpiecznego łącza VPN,
  • możliwość automatycznego backupu danych.

A co ze świadomością?

Stosowanie w.w. środków zabezpieczających nie pomoże w niczym, jeśli pracownik udostępni włączony komputer osobie trzeciej., albo zostawi go na przednim fotelu auta robiąc zakupy.

Dlatego ważna jest również świadomość pracownika.

W jaki sposób można ją zbudować?

W normalnych warunkach, proponujemy krótkie spotkanie podczas którego pracownik IT przedstawi i opisze zainstalowane środki zabezpieczeń.

Na koniec spotkania wręcz pracownikom oświadczenie, w którym pisemnie zobowiążą się do stosowania w.w. środków.

Jak może wyglądać takie oświadczenie?

Zachęcamy Cię do pobrania edytowalnego szablonu Oświadczenia w związku z podjęciem pracy zdalnej (bezpośredni link), który przygotowali nasi eksperci.

Z racji zaistniałej sytuacji, w które możliwość organizacji spotkań jest mocno ograniczona lub zawieszona, najlepszym wyjściem będzie wysłanie maila do wszystkich pracowników o obowiązujących podczas pracy zdalnej zasadach,

Zewnętrzne nośniki danych

Masz pracować zdalnie na dużych pojemnościowo plikach i bazach danych? Chcesz w tym celu skorzystać z zewnętrznego nośnika danych (np. pendrive, zewnętrzny dysk twardy)? Potrzebujesz wykonać backup na zewnętrzny nośnik danych?

Bezwzględnie korzystaj wyłącznie z szyfrowanych nośników danych zgodnych z wewnętrzną procedurą obowiązującą w Twojej organizacji.

Komputer prywatny (BYOD)?

Możemy zezwolić pracownikom na pracę zdalną na własnym sprzęcie komputerowym i zastosować coraz popularniejsze rozwiązanie BYOD (Bring Your Own Device). Taka praktyka nie jest zabroniona przez RODO, musimy jednak pamiętać o kilku bardzo istotnych elementach.

Może się to odbyć wyłącznie za dobrowolną zgodą pracownika.

Aby dopuścić prywatny sprzęt do użytku, dział IT powinien wcześniej zadbać o jego odpowiednie zabezpieczenie i sprawdzenie. Przy tej okazji możemy wejść w obszar prywatności naszego pracownika.

Wcześniej wskazane punkty dotyczące sprzętu służbowego odnoszą się również (a wręcz – przede wszystkim) do komputerów prywatnych.

Praca zdalna zgodna z RODO vs. dokumenty papierowe

Unikaj wynoszenia dokumentów papierowych poza Twoją organizację. W dzisiejszych czasach w większości przypadków możemy pracować na skanach, zdjęciach czy gotowych bazach danych.

Jeśli nie będzie innej możliwości, zadbaj o to, żeby uniemożliwić dostęp do dokumentów osobom nieupoważnionym (w tym domownikom!). Pamiętaj aby nie wyrzucać dokumentów zawierających dane osobowe do kosza w domu. W razie potrzeby zabierz je po zakończeniu pracy zdalnej do biura, aby zniszczyć je w niszczarce.

Nie tylko dane osobowe są ważne

Dane osobowe nie są jedynymi informacjami, które powinniśmy w należyty sposób chronić. Do innych chronionych danych, mogą należeć również tajemnice: przedsiębiorcy, skarbowa, telekomunikacyjna oraz inne tajemnice prawnie chronione (np. lekarska, radcowska, adwokacka etc.).

Jeśli podczas swojej pracy zdalnej, będziesz korzystać nie tylko z danych osobowych ale i innych chronionych informacji,  pamiętaj o odpowiednich środkach bezpieczeństwa!

Podsumowanie

Możesz pozwolić pracownikom na pracę zdalną i pozostać w zgodzie z przepisami RODO.

Pamiętaj o kilku opisanych wyżej zasadach. Dzięki nim zminimalizujesz ryzyko naruszenia danych osobowych.

A jeśli już coś złego się wydarzy, to mając wdrożone adekwatne środki – nie powinieneś spodziewać się dodatkowych kłopotów ze strony organu nadzorczego.

Praca zdalna zgodna z RODO - pobierz artykuł

Pobierz artykuł w PDF

Źródła:

Powiązane artykuły

RODOFAQ
Czy usuwanie danych osobowych należy potwierdzać protokołem? #RODOFAQ
Dokumentacja RODO
Zabezpieczenia fizyczne danych osobowych – jak je stosować?
Zgłaszanie naruszenia ochrony danych osobowych osobom poszkodowanym

5 Odpowiedzi

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.