Zasady ochrony danych osobowych podczas pracy zdalnej
Zasady ochrony danych osobowych podczas pracy zdalnej
Zdalne wykonywanie pracy regulowane przez art. 3 Ustawa z dnia 2 marca 2020 r.
o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych jest dopuszczalne także w świetle obowiązujących przepisów o ochronie danych osobowych, pod warunkiem zapewnienia bezpieczeństwa przetwarzania takich danych. Opisane poniżej zabezpieczenia techniczne i organizacyjne oraz procedury służą zapewnieniu takiego bezpieczeństwa.
URZĄDZENIA
- Komputer służbowy (rekomendowane środki techniczne)
Służbowy komputer przeznaczony do pracy w trybie home office powinien spełniać większość
z poniższych kryteriów:
- indywidualny login oraz hasło dostępu do systemu,
- możliwość łączenia się z Internetem i firmową siecią za pośrednictwem bezpiecznego łącza VPN,
- wygaszacz ekranu włączający się po kilku minutach bezczynności,
- aktualny program antywirusowy z firewallem,
- możliwość automatycznego backupu danych lub ręczna procedura backupowa,
- nakładki prywatyzujące na ekran minimalizujące ryzyko wglądu w ekran monitora osobom postronnym,
- warto rozważyć dodanie drugiego składnika uwierzytelniania użytkownika (tzw. 2FA). Aby zalogować się do laptopa użytkownik musi spełnić łącznie dwa warunki:
- coś wiedzieć (pamiętać swoje hasło)
- coś posiadać (np. smartfona z tokenem aktywacyjnym, czy kartę chipową)
- obowiązkowo – zaszyfrowany dysk twardy.
Stosowanie wyżej wskazanych środków zapewni adekwatny poziom bezpieczeństwa podczas pracy w trybie home office.
- Smartfon (rekomendowane środki techniczne)
Podobnie jak w przypadku służbowego komputera, smartfon powinien spełniać większość
z poniższych kryteriów:
- obowiązkowo – blokada ekranu. Sama blokada karty SIM PIN-em nie jest wystarczająca za mało,
- szyfrowanie danych,
- możliwość łączenia się z Internetem i firmową siecią za pośrednictwem bezpiecznego łącza VPN,
- możliwość automatycznego backupu danych.
- Zewnętrzne nośniki danych (rekomendowane środki techniczne)
Bezwzględnie należy korzystać wyłącznie z szyfrowanych nośników danych zgodnych z wewnętrzną procedurą obowiązującą w organizacji.
- Komputer prywatny (rekomendowane środki techniczne)
Dopuszczalne jest zezwolenie pracownikom na pracę zdalną na własnym sprzęcie komputerowym. Taka praktyka nie jest zabroniona przez RODO. Może się to odbyć wyłącznie za dobrowolną zgodą pracownika. Przed dopuszczeniem prywatnego sprzętu do użytku, dział/serwis IT powinien dokonać jego odpowiedniego zabezpieczenia i sprawdzenia. Należy przy tym chronić obszar prywatności pracownika. Wcześniej wskazane zalecenia dotyczące sprzętu służbowego odnoszą się również do komputerów prywatnych.
- Dokumenty papierowe
Decydując się na korzystanie podczas pracy zdalnej z dokumentacji papierowej, należy podjąć działania mające na celu ograniczenie ryzyka związanego z utratą dostępności, integralności oraz poufności danych.
Należy ocenić niezbędność wykorzystywania dokumentacji papierowej podczas pracy zdalnej, biorąc pod uwagę charakter danych, cele dla których są przetwarzane oraz dostępne środki.
Konieczna jest także ocena, czy do wykonania pracy niezbędny jest dostęp do danych osobowych, czy też jest możliwe skorzystanie z dokumentów zanonimizowanych.
Praca na dokumentach papierowych nie będzie uzasadniona, jeżeli organizacja:
- wdrożyła elektroniczny obieg dokumentów, a pracownik ma bezpieczny dostęp do niezbędnych do pracy danych osobowych przy pomocy środków komunikacji elektronicznej;
- ma możliwość szybkiego, sprawnego i bezpiecznego wdrożenia elektronicznego obiegu dokumentacji;
- może udostępnić pracownikowi odpowiednio zabezpieczone (m.in. zaszyfrowane) elektroniczne kopie niezbędnych dokumentów.
Jeżeli nie jest możliwe zastosowanie żadnego z ww. rozwiązań, można rozważyć nad pracę na kopiach niezbędnych dokumentów. Minimalizuje to ryzyko naruszenia integralności danych oraz utraty ich dostępności. Należy jednak pamiętać, że pracownik musi chronić dane zawarte w takich dokumentach, tak samo jak w dokumentacji oryginalnej.
Organizacja, decydując o możliwości wykorzystywania przez pracowników dokumentacji papierowej podczas pracy zdalnej musi:
- zapewnić ewidencjonowanie wydanych pracownikom dokumentów zawierających dane osobowe;
- zapewnić, że udostępnione dokumenty będą przechowywane przez pracownika przez okres niezbędny do wykonania określonego zadania podczas pracy zdalnej (ograniczenie przechowywania);
- ograniczyć liczbę dokumentów wynoszonych z siedziby administratora do tego, co niezbędne w stosunku do celu przetwarzania danych osobowych przez pracownika w ramach pracy zdalnej;
- zobowiązać pracownika do odpowiedniego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji (np. wynoszenie dokumentów w zabezpieczonej aktówce, przenoszenie dokumentów np. w taki sposób, aby były niewidocznie dla osób trzecich);
- zobowiązać pracownika do odpowiedniego zabezpieczenia danych w miejscu wykonywania pracy zdalnej (np. przechowywanie dokumentów w zamykanych na klucz szufladach biurka lub szafach, przestrzeganie zasady czystego biurka, zabezpieczenie dokumentów przed wglądem nieuprawnionych osób trzecich, m.in. członków rodziny);
- zapewnić, że pracownik będzie wykorzystywał pozyskane dane osobowe wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy;
- określić procedurę związaną z niszczeniem dokumentów (zakaz wyrzucania dokumentów do kosza w domu. Jeżeli pracownik nie posiada w domu niszczarki, powinien dokumenty przechowywać w bezpieczny sposób, a po zakończeniu pracy zdalnej zniszczyć je w biurze);
- zapewnić, że pracownik będzie zgłaszał pracodawcy każdy incydent bezpieczeństwa zgodnie z procedura postępowania w sprawie naruszeń ochrony danych, tak aby administrator mógł się wywiązać z obowiązku nałożonego na mocy art. 33 ust. 1 RODO.
- Poczta e-mail (rekomendowane środki techniczne)
Należy postępować zgodnie z obowiązującymi zasadami w organizacji dotyczącymi korzystania ze służbowej poczty elektronicznej (e-mail). Należy używać przede wszystkim służbowych kont e-mail. Jeżeli występuje konieczność używania prywatnego e-maila, należy upewnić się, że treść i załączniki są właściwie szyfrowane. Powinno się unikać używania danych osobowych lub poufnych informacji w temacie wiadomości. Przed wysłaniem maila należy upewnić się, że jest on wysyłany do właściwego adresata. Należy dokładnie sprawdzić nadawcę maila i nie otwierać wiadomości od nieznanych adresatów, a zwłaszcza nie otwierać załączników oraz nie klikać w link zawarty w takiej wiadomości. To może być atak phishingowy. Zabronione jest przesyłanie mailem informacji zaszyfrowanej razem z hasłem, nawet w osobnej wiadomości.
- Dostęp do sieci i chmury (rekomendowane środki techniczne)
Należy używać tylko z zaufanego dostępu do sieci lub chmury oraz przestrzegać wszelkich zasad
i procedur organizacyjnych dotyczących logowania i udostępniania danych.
- Świadomość pracujących zdalnie
Dla bezpieczeństwa danych osobowych pracujących zdalnie zasadnicze znaczenia ma świadomość pracowników. Dla zbudowania takiej świadomości istotne znaczenie będzie miało przeprowadzenie szkolenia w formie stacjonarnej, a w czasie epidemii w formie online lub e-lerningu, podczas którego pracownik IT przedstawi i opisze zainstalowane środki zabezpieczeń.
Celowym jest także przedstawienie pracownikom oświadczenia, w którym pisemnie zobowiążą się do stosowania w.w. środków.
Opracował
Mariusz Nowak
Bielsko-Biała, dnia ...…..... r.
Oświadczenie
W związku z podjęciem pracy zdalnej, oświadczam, że:
- Jestem świadomy/a, że do przetwarzania danych osobowych Pracodawcy są upoważnieni wyłącznie pracownicy i współpracownicy.
- Nie dopuszczę do komputera, telefonu i innych nośników przekazanych mi przez Pracodawcę oraz informacji w nich zawartych, w tym danych osobowych, domowników oraz innych osób trzecich.
- Zachowam dane Pracodawcy w poufności. Wszelkie notatki będę przechowywał/a zabezpieczone, tak by osoby trzecie nie miały do nich dostępu.
- Zapiszę wszystkie dane na komputerze w katalogu wskazanym przez Pracodawcę lub na odpowiednio zabezpieczonym nośniku zewnętrznym udostępnionym przez Pracodawcę.
- Nie będę kopiować/zapisywać danych służbowych na niezabezpieczone/ prywatne pendrive’y i inne nośniki zewnętrzne.
- Mam świadomość, że komputer, telefon i inne nośniki przekazane mi przez Pracodawcę służą wyłącznie do pracy służbowej – nie zainstaluję dodatkowego oprogramowania bez nadzoru działu IT, nie będę korzystać ze służbowego sprzętu w innych celach niż te związane z pracą.
- Komputer oraz nośniki udostępnione przez Pracodawcę zabezpieczę w odpowiedni sposób przed dostępem osób nieupoważnionych, zgodnie z przekazanymi mi w tym zakresie wytycznymi.
- Będę przestrzegać zasad korzystania z komputera, telefonu i innych nośników przekazanych mi przez Pracodawcę zgodnie z obowiązującymi w tym zakresie procedurami, w tym w szczególności zgodnie z wytycznymi i regulaminami IT.
- Zobowiązuję się zwrócić powierzone mi nośniki wraz z kompletnymi danymi na każde żądanie Pracodawcy.
- Zobowiązuję się zgłosić niezwłocznie pracodawcy każdy incydent naruszenia ochrony danych osobowych.
Podpis:
………………………………….
Źródła:
1. Protecting Personal Data When Working Remotely - DPC Ireland.
2. Ochrona danych osobowych podczas pracy zdalnej – UODO – strona WWW- https://uodo.gov.pl/pl/138/1459
3. Dokumentacja papierowa zawierająca dane osobowe a praca zdalna UODO – strona WWW - https://uodo.gov.pl/pl/138/1513
4. Praca zdalna zgodna z RODO Blog-dane osobowe.pl - strona WWW - https://blog-daneosobowe.pl/praca-zdalna-zgodna-z-rodo/