[PORADNIK] Grant Thornton dla Handlu: RODO a praca zdalna

Obecna sytuacja wymusiła szybką i nagłą konieczność zmian w przetwarzaniu danych osobowych i posługiwaniu się sprzętem służbowym. Jak pracować bezpiecznie - radzi Kacper Rączkowiak, specjalista ds. ochrony danych osobowych, Grant Thornton.

Zgodnie z art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nim sytuacji kryzysowych, pracodawca może polecić pracownikowi wykonywanie pracy zdalnej. Oto 10 krótkich zasad bezpieczeństwa, które warto mieć na uwadze.

1. Realizacja pracy w formie zdalnej nie powinna prowadzić do luzowania ogólnych zasad bezpieczeństwa, o których mowa w naszych wewnętrznych procedurach i politykach. Dotyczy to zwłaszcza zapisów zawartych w politykach bezpieczeństwa, instrukcjach zarządzania systemami, procedurach dotyczących czystego biurka i ekranu, procedurach zgłaszania incydentów itp. Obecna nietypowa sytuacja będzie okazją do przetestowania skuteczności naszych procedur i wyszkolenia ludzi.

2. Zapewnienie sprawnej komunikacji i wsparcia działu IT jest niezbędne. Musimy wziąć pod uwagę, że pracownicy, wykonując służbowe polecenia z domu, będą „rozciągali” regulaminowy czas pracy poza wyznaczone 8 godzin. Trzeba się spodziewać, że będą realizowali wyznaczone zadania wg własnego planu dnia, także w godzinach późnonocnych. Zatem szczególnie w przypadku dużych podmiotów warto zapewnić dyżury IT w niestandardowych porach.

3. Pracując poza zabezpieczonymi pomieszczeniami firmy powinniśmy zwracać szczególną uwagę na potrzebę ochrony danych przed wglądem osób trzecich oraz właściwą organizację miejsca pracy. Nie wszystkie ekrany komputerów są wyposażone w folie prywatyzujące. Może się okazać, że pracownicy będą zgłaszali zapotrzebowanie na takie dodatkowe środki ochrony, które w późniejszym okresie będą użyteczne m.in. w trakcie podróży służbowych.

Ponadto warto pamiętać o niezbędnej ochronie danych przed wglądem osób nieuprawnionych, która polega przede wszystkim na:

  • wylogowaniu z konta użytkownika przy odejściu od komputera,

  • niepozostawianiu dokumentów w miejscach dostępnych dla innych osób bez nadzoru.

4. Konieczne jest ewidencjonowanie wnoszonych i wynoszonych dokumentów papierowych na czas pracy zdalnej. Działania polegające na wynoszeniu nośników poza podstawowy obszar przetwarzania należy ograniczać do niezbędnego minimum. Wynoszenie dokumentów powinno być zgłaszane bezpośredniemu przełożonemu, który prowadzi podstawową ewidencję wydawanych dokumentów. Trzeba robić wszystko, żeby zapobiec utracie kontroli nad dokumentami znajdującymi się poza siedzibą firmy.

5. Drukowanie dokumentów poza biurem, co do zasady, powinno być zabronione. Odstępstwa od tej zasady powinny być podyktowane wyłącznie szczególnymi przypadkami i realizowane tylko po uprzednim poinformowaniu bezpośredniego przełożonego.

W praktyce niewiele firm posiada sprawne mechanizmy monitoringu wydruku, jak i monitoringu aktywności pracowników w tym zakresie. Wdrożenie sprawnego nadzoru w powyższym zakresie powinno być dla nas wskazówką co do działań koniecznych w przyszłości. Wydruki dokumentów generują także problem związany z ich niszczeniem.

Praca zdalna z wydrukami może powodować ryzyka samodzielnego i nieskutecznego niszczenia dokumentów przez pracowników. Dopuszczając samodzielne drukowanie i przetwarzanie dokumentów papierowych w ramach home office, pouczmy naszych pracowników, że po zakończeniu okresu realizacji pracy zdalnej, dokumenty powinny być zwrócone do siedziby firmy i profesjonalnie zniszczone.

6. Ważna jest kontrola kopiowania i zapisywania plików na dyskach własnych stacji roboczych, na własnych dyskach przenośnych oraz używania darmowych platform chmurowych czy prywatnych kont mailowych. Problem ten wydaje się nie do uniknięcia, jeżeli nasze zasady pracy zdalnej zakładają użycie prywatnych komputerów pracowników bez tzw. pulpitu zdalnego.

Warto jednak ograniczać ryzyka do niezbędnego minimum. Zapewnijmy pracownikom platformy do wymiany plików i zakażmy używania prywatnych kont pocztowych. Nieautoryzowane i darmowe usługi chmurowe oznaczają w praktyce zaangażowanie kolejnego podmiotu przetwarzającego i podpisanie umowy, a niekiedy także podjęcie dodatkowych środków niezbędnych do zabezpieczenia transferu danych do tzw. krajów trzecich (poza Europejski Obszar Gospodarczy). Praca zdalna zwiększa potrzebę generowania korespondencji mailowej zawierającej istotne załączniki. Również w tym przypadku trzeba pamiętać o ich zabezpieczeniu na wypadek błędnego zaadresowania korespondencji.

7. Istnieją także inne niebezpieczeństwa pojawiające się na styku sprzętu służbowego i sprzętu prywatnego pracownika. Bardzo pomocne w tym przypadku są proste rozwiązania, jak np. użycie nakładek na wbudowane kamery laptopów, zabronienie ładowania prywatnych telefonów komórkowych poprzez ich podłączenie do komputerów służbowych czy całkowita blokada możliwości samodzielnego instalowania oprogramowania.

8. Uczulenie pracowników na ryzyko nasilonych ataków, zwłaszcza wykorzystujących sytuację pandemii (phishing) jest kluczowe. Szczególną ostrożność trzeba zachowywać w stosunku do wszystkich maili zawierających załączniki w postaci faktur, maili z banków, czy takich, które wymagają dalszego działania, np. użycia linka umieszczonego w treści wiadomości.

9. Więcej sprzętu przenośnego w rękach pracowników, to większe ryzyko jego utraty. Tu trzeba pamiętać o zabezpieczeniu sprzętu. Samo hasło użytkownika może nie wystarczyć. Niezbędnym minimum są mechanizmy szyfrujące, które często oferuje dostawca systemu operacyjnego. W obecnej sytuacji niezwykle użyteczne i pomocne jest skorzystanie z oprogramowania MDM (Mobile Device Management), które pozwala zdalnie zarządzać sprzętem, powierzonym pracownikom. Rozwiązania te pozwalają zdalnie zablokować sprzęt i w razie konieczności wyczyścić jego zawartość.

10. Uwaga na niezabezpieczone sieci WiFi. Warto pamiętać także o tym zagadnieniu – choć wydaje się banalne. W tym przypadku wystarczające są sprawdzone rozwiązania, które zapewniają ochronę transmisji danych, takie jak np. VPN czy inne tego typu narzędzia.

Warto mieć na uwadze, że wysiłki i nakłady zainwestowane teraz w stworzenie bezpiecznych warunków dla zdalnej pracy, przydadzą się także w przyszłości – m.in. w podróżach służbowych czy przy realizacji zadań w siedzibach klientów bądź kontrahentów.

 

 

Komentarze

Prosimy o wypowiadanie się w komentarzach w sposób uprzejmy, z poszanowaniem innych uczestników dyskusji i ich odrębnych stanowisk. Komentując akceptujesz regulamin publikowania komentarzy.