Jak chronić dane w obliczu konieczności zdalnego trybu pracy?


Obecna sytuacja epidemiologiczna odznacza piętno na przedsiębiorcach, stawiając przed nimi wyzwania związane z zachowaniem ciągłości działalności. W poprzednich artykułach dotyczących ochrony danych osobowych skupiliśmy się m.in. na obniżeniu ekspozycji biologicznej pracowników czy też ochronie danych osobowych w ramach gromadzenia przez przedsiębiorców danych medycznych pracowników i klientów/potencjalnych klientów przedsiębiorstw. Aspekty te koncentrują się jednak na sytuacjach, w których obecność pracowników w zakładach pracy jest niezbędna. Jak więc wygląda sytuacja ochrony danych w przypadku podmiotów, w których istnieje możliwość przeniesienia całości lub jakiejś części ich działalności na tryb zdalny oraz jakich zasad należy przestrzegać?

Duży odsetek przedsiębiorstw ma możliwości i instrumenty pozwalające na dostosowanie świadczonych przez siebie usług do trybu zdalnego. Zdalny charakter pracy niesie za sobą jednak konieczność przestrzegania kilku procedur w celu zapewnienia jak najwyższego bezpieczeństwa podczas realizowania zadań pracowniczych oraz płynnego prowadzenia działalności przez przedsiębiorców. W zakresie ochrony danych osobowych podczas pracy zdalnej UODO w komunikacie z dnia 17 marca 2020 r. wskazuje m.in. na następujące czynności pozwalające na zachowanie bezpieczeństwa danych osobowych podczas pracy poza biurem w zakresie:

a) Urządzeń:

- Postępowanie zgodnie z procedurą bezpieczeństwa w zakresie pracy na urządzeniach i z wykorzystaniem oprogramowania przekazanego przez pracodawcę;
- Nieinstalowanie dodatkowych aplikacji i oprogramowania;
- Zapewnienie niezbędnych aktualizacji systemów operacyjnych, oprogramowania oraz systemów antywirusowych;
- Odpowiednie przechowywane dokumentacji oraz uniemożliwienie dostępu do niej osobom trzecim;
- Każdorazowe wylogowanie się z platform służbowych po zakończeniu pracy;
- Zachowanie szczególnych środków bezpieczeństwa, zabezpieczanie sprzętu oraz wykorzystywanych platform silnymi hasłami dostępu;
- Podjęcie szczególnych środków zabezpieczających wykorzystywane do pracy zdalnej urządzenia przed zgubieniem lub kradzieżą oraz niezwłoczne poinformowanie pracodawcy w przypadku zaistnienia takiego zdarzenia (w tym także podjęcie kroków w celu zdalnego wyczyszczenia pamięci urządzenia – o ile to możliwe).

b) Skrzynek e-mail:

- Postępowanie zgodnie z procedurą bezpieczeństwa w zakresie korzystania ze służbowej poczty elektronicznej;
- Używanie przede wszystkim służbowych kont e-mail, w przypadku zaistnienia konieczności korzystania z prywatnej poczty elektronicznej należy upewnić się, iż treści, załączniki są odpowiednio szyfrowane;
- Dołożenie wszelkich starań, aby korespondencja zawsze trafiała do właściwego adresata;
- Wstrzymanie się od otwierania wiadomości mailowych od nieznanych adresatów, załączników oraz linków w takich wiadomościach;
- Wysyłanie zaszyfrowanej wiadomości i hasła odszyfrowującego różnymi metodami;

c) Dostępu do sieci i chmury:

- Korzystanie z sieci i usług chmurowych tylko z zaufanych źródeł, a także przestrzeganie wszelkich zasad i procedur organizacyjnych dotyczących logowania i udostępniania danych;
- Odpowiednia archiwizacja i przechowywanie danych w przypadku braku możliwości pracy w chmurze lub w przypadku braku dostępu do sieci.

Regulamin pracy zdalnej

Warto zrobić inwentaryzację, co może być przeniesione w tryb zdalny, a jakie czynności muszą pozostać w trybie wykonywania ich osobiście w biurze lub w terenie, zakładzie oraz czy te ostatnie nie wymagają przeorganizowania i dostosowania do sytuacji. Przenosząc biuro w tryb zdalny należy także zastanowić się, czy rzeczywiście wszystko trzeba przenieść, do jakich dokumentów pracownik musi mieć dostęp, jak je ma archiwizować (czy ma je niszczyć a jeżeli tak to w jaki sposób). Te oraz inne informacje powinny się znaleźć w Regulaminie pracy zdalnej lub innym dokumencie wdrażającym wiążące reguły pracy zdalnej. Regulamin ten może określać spotkania online z pracownikami o ustalonych porach rano i po południu oraz metody rejestrowania czasu pracy, pokazywania swojej aktywności. Może też pracodawca może wyposażyć pracowników w zamykane skrzynki, tak aby po zakończeniu pracy mogli oni złożyć do nich dokumenty, aby przez przypadek nie uległy one zalaniu lub zniszczeniu w tzw. środowisku home office. Pod względem ochrony danych osobowych pracodawca powinien wykonać analizę przetwarzania danych, czy na przykład w nowych okolicznościach nie przetwarzane są dodatkowe dane osobowe albo w inny sposób, czy udostępnianie są dane do krajów trzecich. Warto także przeszkolić pracowników w zakresie nowego regulaminu czy procedury regulujące pracę zdalną, gdyż w nowym środowisku pracy domowej łatwo o nieuwagę i przesłanie np. poufnej informacji do niewłaściwego adresata i w zależności od zawartości może stanowić to incydent w zakresie bezpieczeństwa danych.

W tych i innych zakresach chętnie udzielimy Państwu bardziej szczegółowych informacji oraz przygotujemy odpowiednie dokumenty, chętnie przeprowadzimy szkolenia.

Zapraszamy do współpracy!

Marlena Wach – Radca prawny, doktor nauk prawnych