Zgodnie z RODO firma ma obowiązek zapewnienia ochrony przetwarzanych danych osobowych. O ile kwestia ta nie jest problematyczna w przypadku pracy stacjonarnej, to wykonywanie pracy poza zakładem pracy może nieść ze sobą zagrożenie dla danych i innych tajemnic przedsiębiorstwa. Jak bezpiecznie przetwarzać służbowe dane z prywatnego komputera i jak zorganizować odpowiednie środowisko pracy dla personelu?
RODO – czym właściwie jest?
RODO, czyli rozporządzenie o ochronie danych osobowych funkcjonuje w firmach już od dawna. Jest to rozporządzenie unijne zawierające przepisy regulujące zasady ochrony i swobodnego przepływu danych osobowych osób fizycznych. Zarządzenie to chroni podstawowe prawa i wolności osób fizycznych. Ma również na celu lepszą kontrolę danych i przeciwdziałanie potencjalnym zagrożeniom związanym z przetwarzaniem ich przez nowoczesne technologie. RODO wprowadziło m.in. łatwiejszy dostęp do danych, modernizację przepisów przenoszenia i usunięcia danych oraz prawo do bycia niezwłocznie poinformowanym w razie ataku hakerskiego.
Jak RODO wpływa na pracę zdalną?
Mimo że RODO nie wspomina w swoich zapisach pracy zdalnej, zawarte w ustawie regulacje odnoszą się bezpośrednio do warunków, jakie pracodawca musi zapewnić pracownikom w trakcie zatrudnienia w celu ochrony ich danych osobowych. Zdalna forma działań służbowych znacznie przyczynia się do podwyższenia ryzyka naruszenia przepisów RODO.
Zgodnie z RODO pracodawca musi zapewnić pracownikom:
- poufność – uniemożliwienie dostępu do danych osobom nieupoważnionym (czyli wszystkim osobom, które nie są pracownikami firmy – w tym korzystającym z komputera członkom rodziny pracownika)
- integralność danych – ochronę danych przez ich utratą
- rozliczalność – organizację pracy w taki sposób, by móc przypisać określone działanie na danych osobowych konkretnej osobie z imienia i nazwiska.
Zgodnie z unijnym rozporządzeniem za niedostosowanie firmy do wymogów RODO grozi kara pieniężna. Może ona wynosić do 20 mln zł lub 4 proc. obrotów. W Polsce sankcje finansowe wynoszą zazwyczaj od kilkudziesięciu tysięcy do blisko 3 mln zł (dotychczasowa maksymalna kwota nałożonej kary).
Jak pogodzić RODO z pracą zdalną?
Za najbezpieczniejszy i zgodny z RODO sposób ochrony danych uznaje się rozdysponowanie pracownikom sprzętu służbowego. Nie wszystkie firmy są jednak w stanie wyposażyć pracowników laptopy służbowe. Tą kwestią zajmiemy się jednak szczegółowo w kolejnych akapitach artykułu.
Każda praca nieodłącznie wiąże się z obrotem danymi w różnego rodzaju dokumentach – umowach, deklaracjach, statutach. W przypadku papierowych wersji dokumentacji, praca zdalna może nieść ze sobą ryzyko przedostania się ich poza firmę. Aby przeciwdziałać takim sytuacjom powinno się przede wszystkim wdrożyć w firmie elektroniczny obieg dokumentów (m.in. bazy danych, skany). Dzięki temu pracownik będzie mieć bezpieczny dostęp do niezbędnych danych osobowych za pośrednictwem środków komunikacji elektronicznej. Ponadto należy uniemożliwić wgląd do dokumentacji osobom nieupoważnionym (np. rodzinie) poprzez umieszczanie ich w szafie zamykanej na klucz. Dokumentów nie wolno wyrzucać do domowego kosza na śmieci bądź wsypu w bloku.
Najważniejszym elementem prewencyjnej ochrony danych osobowych jest odpowiednie przeszkolenie personelu w zakresie działań RODO. Świadomość i przeszkolenie pracownika na temat przetwarzania i korzystania z danych osobowych jest kluczowa w zapewnieniu bezpieczeństwa danych. Najlepiej przekazać tę wiedzę poprzez stacjonarne bądź zdalne szkolenie. Na koniec spotkania uczestnik powinien otrzymać pisemne oświadczenie, w którym zobowiąże się do korzystania z omówionych warunków.
Jeśli potrzebujesz pomocy merytorycznej z zakresu prawa gospodarczego bądź unijnych rozporządzeń dotyczących przedsiębiorstw, kliknij tutaj.
Sprzęt służbowy
Wymagania RODO odnoszą się przede wszystkim do stacjonarnego trybu pracy. Z tego powodu najbezpieczniejszą metodą ochrony danych osobowych przy pracy zdalnej jest przyznanie pracownikowi jego służbowego sprzętu. Jednakże, aby zapewnić skuteczność tych działań, użytkownik musi stosować się do określonych przez pracodawcę reguł. Przede wszystkim powinien on wdrożyć podstawowe czynności wpływające na bezpieczną pracę zdalną. Są to m.in. logowanie się do systemu poprzez indywidualny login i hasło dostępu, łączenie się z firmową siecią przy pomocy bezpiecznego łącza VPN oraz ustawienie samoistnie aktywowanego wygaszacza ekranu. Ponadto warto zwróć uwagę, by dział IT zainstalował w sprzęcie aktualny program antywirusowy, możliwość automatycznego backupu danych, nakładkę prywatyzującą na ekran, szyfrowany dysk twardy oraz tzw. logowanie 2FA (2 warunki logowania).
Praca na prywatnym komputerze
Praca na prywatnym komputerze pracownika jest zgodna z przepisami RODO, jednak wykonując ją należy pamiętać o kilku istotnych elementach home office’u. Zlecenie pracy na prywatnym komputerze odbywa się wyłącznie za dobrowolną zgodną pracownika. Wcześniej dział IT powinien zadbać o sprawdzenie i odpowiednie zabezpieczenie sprzętu. Warto wtedy zwrócić uwagę na to, by działania te były dokonywane bez naruszenia prywatności. Dział IT nie powinien ingerować w prywatne pliki użytkownika. Najlepiej, żeby odbywało to się na osobnym loginie i koncie pracownika. Ponadto wszystkie wskazane wcześniej punkty dotyczące sprzętu służbowego również odnoszą się do komputerów prywatnych.
Sprawdź również: Sygnaliści – bohaterzy czy wrogowie?