Praca zdalna a przepisy o ochronie danych osobowych

Prezes UODO wszczyna postępowanie

Zarówno ciekawość jak i roszczenia osób oczekujących na finał sprawy w związku naruszeniem ochrony danych osobowych przez Szkołę Główną Gospodarstwa Wiejskiego w Warszawie (późn. SGGW) być może zostaną niedługo zaspokojone – jesteśmy coraz bliżej poznania finału sprawy. Dnia 24.03.2020r. Prezes Urzędu Ochrony Danych Osobowych po przeprowadzonej we wspomnianej wyżej jednostce kontroli postanawia wszcząć postępowanie w celu przywrócenia stanu przetwarzania zgodnego z prawem, której przyczyną jest praca zdalna. Zacznijmy jednak od samego początku.

05 listopada 2019r.

Jednemu z pracowników SGGW ginie laptop – jeszcze tego samego dnia sytuacja się wyjaśnia, sprzęt został skradziony. Zdarzenie mimo, że niecodzienne to nie budzi większych emocji, wypadki chodzą po ludziach – laptop na pewno był należycie zabezpieczony a studenci w odpowiednim czasie zostali powiadomieni o naruszeniu. Nic bardziej mylnego.

14 listopada 2019r.

Uczelnia dopiero po dziewięciu dniach informuję swoich studentów o wycieku danych. Jak podają dziennikarze polskich stacji radiowych do naruszenia przyznaje się jeden z pracowników – skradzione dane dotyczyły studentów biorących udział w procesie rekrutacji. Na jaw wychodzi również informacja, że osoba winna całego zamieszania używała laptopa, na którym znajdowały się dane nie tylko w celach służbowych, ale także prywatnych.

15 listopada 2019r.

Powstaje konflikt w związku z wyciekiem danych pomiędzy władzami uczelni a studentami, po chwili osiąga on taką skalę, że na jednym z portali społecznościowych powstaje specjalna grupa pod nazwą „Pozew zbiorowy w sprawie RODO SGGW” skupiająca zarówno osoby poszkodowane wyciekiem jak i te, które przeciwstawiają się łamaniu podstawowych zasad bezpiecznego przetwarzania danych – na dzień dzisiejszy jest ich ponad 15 tysięcy.

24 marca 2020r.

Po przeprowadzonej kontroli Prezes Urzędu Ochrony Danych podejmuje decyzję o wszczęciu postępowania administracyjnego przeciwko SGGW.

Naruszenie RODO w SGGW a epidemia Coronawirusa i praca zdalna ?

Ogniwem zapalnym w sprawie, która w swoich konsekwencjach może oznaczać dla SGGW nie tylko olbrzymią karę administracyjną w związku z RODO, ale także wypłatę odszkodowań dla pokrzywdzonych w związku z pozwami cywilnymi była kradzież laptopa. Warto podkreślić, że był on używany nie tylko w związku z świadczeniem pracy ale i do celów prywatnych – tego typu przypadek jest wzorcowym zagrożeniem, na które narażeni są pracodawcy w związku z wysyłaniem pracowników do pracy w tak zwanym trybie Home Office. Oczywistym jest, że wypadki się zdarzają – jednak istnieją sposoby jak szansę na wystąpienie tego typu naruszeń w związku z pracą zdalną, która w czasach szalejącej epidemii korona wirusa w Polsce jest niezwykle popularna praktycznie zrównać z zerem.
Nasz dom jako „terytorium zależne” pracodawcy.
Musimy pamiętać, że zgodnie z art. 32 RODO niezależnie od miejsca, w którym świadczona będzie praca, należy stosować adekwatne środki zabezpieczeń technicznych i organizacyjnych. RODO nie narzuca jednak konkretnych rozwiązań – ich dobór zależy od decyzji samego przedsiębiorcy. Co jednak należy zrobić aby jak najlepiej zabezpieczyć przetwarzane przez pracowników dane podczas trwania pracy zdalnej? Przygotowaliśmy dla Państwa kilka wskazówek

Po pierwsze: Praca na sprzęcie służbowym.

Jeśli nie ma możliwości pracy zdalnej na sprzęcie służbowym, pracuj na urządzeniach prywatnych, ale tylko i wyłącznie w ostateczności.
Pamiętaj!
1. Praca zdalna to domownicy, nie udostępniaj sprzętu służbowego domownikom, ani żadnej innej osobie.
2. Wszelkie urządzenia elektroniczne wykorzystywane do pracy powinny zostać zabezpieczone poprzez wprowadzenie hasła dostępu do systemu, zaszyfrowanie danych, zainstalowanie programu antywirusowego czy też wprowadzenie automatycznego back-upu danych – dotyczy to nie tylko wykorzystywanych do pracy komputerów prywatnych czy służbowych, ale także smartfonów, pendrive’ów czy dysków zewnętrznych.

Po drugie: Praca z dokumentami papierowymi

O ile to możliwe, należy unikać wynoszenia z firmy dokumentacji papierowej– zastąpmy je skanami, zdjęciami czy gotowymi bazami danych.
Pamiętaj!
1. Zadbaj, aby żadna osoba nieupoważniona nie miała możliwości zapoznania się z dokumentami służbowymi.
2. Zabezpiecz informacje służbowe nawet po zakończeniu korzystania z dokumentów
3. Zadbaj zarówno o wprowadzenie w zasadach pracy w Home Office polityk czystego biurka, drukarki oraz ekranu.
4. Nie wyrzucaj do kosza w domu całych dokumentów. Jeżeli nie posiadasz niszczarki, zabezpiecz dokumenty na czas pracy zdalnej a gdy ta dobiegnie końca – zniszcz je w biurze.
5. Jeżeli przemieszczasz się samochodem, nigdy nie zostawiaj dokumentów w widocznym miejscu bez opieki – nie narażaj ich na kradzież.

Po trzecie: Zadbaj o bezpieczne standardy przesyłania wiadomości.

Pamiętaj!
1. Zadbaj o bezpieczne połączenia, praca zdalna wymaga szyfrowania połączeń, np. VPN.
2. Nie korzystaj z publicznych sieci Wi-Fi
3. Zadbaj o odpowiednio zabezpieczoną pocztę i szyfruj wysyłane załączniki (np. zabezpieczaj wysyłane pliki hasłem, które należy wysłać inną drogą niż wiadomość)
4. Nie udostępniaj osobom trzecim adresów e-mail poprzez dołączanie niepowiązanych odbiorców w zakładce „do wiadomości”.

Po czwarte: Świadomość pracowników.

Pamiętaj!
1. Podnoś swoją świadomość poprzez czytanie artykułów o pracy zdalnej w związku z RODO.
2. Zadbaj o spisany kodeks postępowania – politykę pracy zdalnej, z którą może zapoznać się każdy pracownik.
3. Przypomnij pracownikom o odpowiedzialności związanej z kradzieżą, zgubieniem bądź udostępnieniem firmowych danych.

Po piąte: Dokumenty elektroniczne łatwiej utrzymać w ryzach.

Pamiętaj!
1. Pracuj na dokumentach elektronicznych. Ograniczymy w ten sposób ryzyko utraty nośników danych.
2. Jeśli zabierasz dokumenty do domu, prowadź przynajmniej minimalną ewidencję tego, co opuszcza biuro.
3. Nie generuj zbędnych wydruków – w ten sposób nie tylko zmniejszysz ilość dokumentów, na których mogą znajdować się dane ale również zadbasz o środowisko.
4. Zadbaj o bezpieczne usługi chmurowe lub odpowiednie ruchome nośniki danych.
5. Ogranicz sytuacje, w których pracownicy korzystają z własnych nośników podłączanych do służbowego sprzętu.
6. Zabezpiecz urządzenia używane przez pracowników (komputer, smartfon, nośniki danych) odpowiednimi hasłami, mechanizmami szyfrującymi, stosowaniem tunelu VPN czy innych podstawowych metod ochrony transmisji danych.
7. Stosuj procedury wewnętrzne, które zakazują samodzielnego instalowania oprogramowania na służbowym sprzęcie, wykorzystywania prywatnych kont pocztowych, czy nieautoryzowanych usług chmurowych.

Po szóste: Obszar przetwarzania danych to nie tylko miejsce zakładu pracy.

Pamiętaj!
1. Pamiętaj o odpowiednim zabezpieczeniu sprzętu służbowego, czy dokumentacji papierowej, ponieważ obszarem przetwarzania danych osobowych stają się wtedy również miejsca, w których pracują pracownicy poza organizacją.
2. Stosuj zasady bezpieczeństwa pracy zdalnej, które muszą sprowadzić się do realizacji jednego, zasadniczego celu: dokumenty, które wynosimy poza organizację muszą być wykorzystane wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy oraz żadna osoba trzecia nie powinna mieć do nich dostępu.
3. Kontroluj dostęp osób trzecich do sprzętu służbowego i dokumentów służbowych.

Po siódme: Dane, które wydostają się poza siedzibę firmy powinny być rejestrowane.

Pamiętaj!
1. Kontroluj poprzez wprowadzone rejestry, kto na jakich danych pracuje poza siedzibą firmy – pomoże to w ustaleniu osoby odpowiedzialnej jest za ewentualny wyciek danych.
2. Odpowiednie przepisy przewidują wysokie kary w przypadku kradzieży, udostępnienia, bądź kopiowania danych służbowych w celach prywatnych.
3. Rozważ wprowadzenie dziennych raportów z wykonanych przez pracowników działań – pomoże to zachować jeszcze większą kontrolę.