Privacy by design. Bezpieczna praca zdalna

28 kwietnia 2021

Katarzyna Muszyńska

Head of Data Protection Team
LexDigital
Katarzyna Muszyńska
Privacy by design. Bezpieczna praca zdalna

Czas pandemii pokazał nam, że organizacje są w stanie funkcjonować w oparciu o pracę zdalną, a jednocześnie mogą liczyć na wysoką efektywność pracowników. Jak bezpiecznie przenieść pracę z biura do domu? Jak się do tego przygotować? Przedstawiamy podstawowe zasady.

Jak sobie radzimy, pracując zdalnie - korzyści i zagrożenia

Praca zdalna stała się nową rzeczywistością funkcjonowania dla wielu przedsiębiorstw. Jak wynika z danych GUS, w II kwartale 2020 roku w związku z pandemią 10% pracowników wykonywało pracę zdalną, natomiast w III kwartale 2020 roku odsetek ten kształtował się na poziomie około 6%.

 

Niestety z powodu słabych zabezpieczeń i braku uwagi samych pracowników nowe możliwości otwierają się również przed cyberprzestępcami. W przeprowadzonym badaniu wskazano, że:

  • 46% pracowników przyznało, że używa sprzętu służbowego nie tylko do czynności związanych z pracą,
  • 52% firm NIE opracowało procedur pracy zdalnej,
  • 52% pracowników nie wie, w jaki sposób ich pracodawca zabezpiecza dane osobowe.

Co ważne, przestępcy starają się wykorzystać fakt, że większość spraw załatwianych jest obecnie za pośrednictwem Internetu. Amerykańskie Federalne Biuro Śledcze (FBI) poinformowało, że od początku pandemii liczba cyberataków wzrosła o 400%.

 

 

Pamiętajmy o tych statystykach podczas wdrażania w naszej organizacji trybu pracy zdalnej, ponieważ odpowiednie zabezpieczenie informacji przetwarzanych w naszej firmie będzie miało kluczowe znaczenie dla jej funkcjonowania.

Przygotowanie do pracy zdalnej zgodnie z zasadą privacy by design

Ustalenie właściwych zasad pracy zdalnej oraz ich bezpieczne wdrożenie w firmie zawsze stanowi spore wyzwanie. Elastyczna praca wymaga innych form koordynacji, kontroli i komunikacji w zespole, czyli stworzenia nowej infrastruktury prowadzenia biznesu.

Przy określaniu zasad pracy zdalnej powinniśmy wziąć pod uwagę regulacje zawarte w ogólnym rozporządzeniu o ochronie danych osobowych (RODO). Nasze postępowanie powinno być zgodne z zasadą privacy by design (art. 25 RODO), dlatego też powinniśmy właściwie zaplanować procesy związane z:

  • zarządzaniem (ustalenie odpowiednich zasad),
  • komunikacją w zespole,
  • dostępem do danych,
  • zabezpieczeniem technicznym i dystrybucją sprzętu,
  • szkoleniami pracowników.

O tym, czym jest zasada privacy by design, pisaliśmy na naszym wcześniejszym artykule: Privacy by design. Chroń dane osobowe, zanim je pozyskasz

Niewystarczające przygotowanie naszego przedsiębiorstwa na pracę zdalną może powodować częstsze incydenty bezpieczeństwa m.in. z powodu mniej restrykcyjnych form zabezpieczeń czy błędów ludzkich.

Kogo należy zaangażować w prace związane z przygotowaniem organizacji do pracy w trybie zdalnym

Punktem wyjścia przy ustalaniu zasad home office, które będą zgodne z założeniami zasady privacy by design, jest racjonalna ocena przez managerów i zespół IT stopnia w jakim przedsiębiorstwo jest organizacyjnie przygotowane do przejścia na pracę zdalną.

Wypracowanie optymalnych dla organizacji reguł pracy zdalnej powinno zostać zrealizowane przez zespół interdyscyplinarny, w którym znajdą się przedstawiciele kadry zarządzającej oraz działu IT. Jeśli w naszej organizacji powołany jest Inspektor Ochrony Danych lub administrator systemów informatycznych, to również oni powinni zostać włączeni w działania związane z przygotowaniem firmy do nowego trybu pracy. Warto poprosić ich o rekomendacje w zakresie rozwiązań organizacyjnych i technicznych związanych z pracą w trybie zdalnym.

O rolach poszczególnych osób przy realizacji zasady privacy by design pisaliśmy szczegółowo w naszym artykule: Privacy by design. Jak podzielić pracę w zespole?

Jak zaprojektować zabezpieczenia fizyczne

Chcesz pozostać w zgodzie z założeniami zasady privacy by design? Twoje działania związane z przygotowaniem przedsiębiorstwa do pracy zdalnej w obszarze zabezpieczeń fizycznych zacznij od przeglądu technicznego sprzętu i oprogramowania, weryfikacji przypisanych odpowiedzialności i wyboru oprogramowania służącego ochronie sprzętu i informacji na nim zapisanych.

KOMPUTERY, które będą wykorzystywane przez pracowników, powinny być odpowiednio przygotowane i nadzorowane. Powinniśmy:

  • dokonać oceny sprawności urządzeń i adekwatności zainstalowanego oprogramowania,
  • wykonać uaktualnienie oprogramowania (w tym antywirusowego),
  • zweryfikować zabezpieczenia i ewentualnie wprowadzić dodatkowe (silne hasła uwierzytelniające, szyfrowanie dysków, dodatkowe zapory sieciowe),
  • ustawić funkcję automatycznego blokowania ekranu,
  • ograniczyć uprawnienia użytkowników w zakresie dokonywania modyfikacji,
  • zainstalować zdalne i bezpieczne połączenia VPN,
  • zainstalować nakładki prywatyzujące na ekran, które minimalizują ryzyko wglądu w ekran monitora osobom postronnym.

TELEFONY SŁUŻBOWE, które są często podstawowym narzędziem do sprawdzania poczty e-mail, a nawet obsługi przeglądarkowych systemów informatycznych zawierających bardzo duże ilości danych osobowych, powinny być odpowiednio zabezpieczone

APLIKACJE I WSPARCIE TECHNOLOGICZNE, które są związane z zarządzaniem projektami, cyberbezpieczeństwem, wideokonferencjami i współpracą zespołową, powinniśmy zapewnić wszystkim pracownikom. Dla kadry zarządzającej mogą się okazać niezbędne narzędzia, które umożliwią kontrolę i monitorowanie pracy tj. planowanie, wyznaczanie i rozliczanie zadań dla pracowników zdalnych.

Jak zaprojektować zabezpieczenia organizacyjne

Nasze przygotowania w obszarze organizacyjnym powinny objąć opracowanie nowych zasad pracy i szkolenia dla pracowników.

W myśl zasady privacy by design weryfikacja i aktualizacja dokumentacji powinna zostać przeprowadzona pod kątem zasad odnoszących się do pracy poza siedzibą, zasad postępowania ze sprzętem służbowym, zasad zabezpieczenia informacji poufnych i danych osobowych, zobowiązania do zachowania poufności, zasad odnoszących się do korzystania z narzędzi informatycznych, poczty elektronicznej i Internetu.

Pamiętajmy, że praca zdalna generuje większe ryzyko naruszenia przepisów RODO, co może się wiązać z nałożeniem sankcji. Posiadanie procedur może mieć kluczowe znaczenie przy ocenie dokonywanej przez organ nadzorczy w przypadku wystąpienia incydentu związanego z ochroną danych, np. wycieku, nieuprawnionego dostępu osób trzecich itp.

Bardzo ważnym elementem w przygotowaniu organizacji do pracy w trybie zdalnym zgodnej z założeniami privacy by design jest zbudowanie odpowiedniej świadomości pracowników w tym zakresie. Konieczne jest poinformowanie personelu o zasadach związanych z przejściem organizacji na tryb pracy zdalnej oraz przeprowadzenie szkoleń.

Podsumowanie

Pamiętajmy, że rzetelna praca wykonana na początku całego procesu pozwoli organizacji spełnić wymagania RODO, w tym wymagania art. 25, czyli spełnić wymogi zasady privacy by design oraz przede wszystkim zapewnić odpowiedni poziom bezpieczeństwa informacji przetwarzanych przez organizacje. Co więcej, prawidłowe przygotowanie całego procesu pozwoli w znacznym stopniu zminimalizować ryzyko naruszenia danych osobowych.