RODO

Analizy

RODO: Jak wzmocnić swój biznes przed naruszeniami ochrony danych w dobie COVID-19

Newsletter: RODO #39 | marzec 2020 r.

Przybliżamy najistotniejsze wyzwania związane z RODO w ramach pracy zdalnej w dobie pandemii, a także praktyczne sposoby radzenia sobie z nimi bez konieczności ponoszenia przez przedsiębiorców znaczących kosztów.

Walka z epidemią COVID-19 sprawiła, że zdecydowana większość przedsiębiorców wprowadziła u siebie – przynajmniej częściowo - różne formy pracy zdalnej. Dążenie do ograniczenia obecności pracowników w biurach wiąże się z wdrożeniem mechanizmów pracy z miejsca zamieszkania dla różnych grup zatrudnionych. Jeżeli jednak w przedsiębiorstwie nie było wcześniej kultury pracy zdalnej, nagły „exodus” z biur może zastać organizację oraz jej pracowników nieprzygotowanych na ryzyka związane z ochroną danych, w tym danych osobowych. Zagrożeń płynących m.in. z wykorzystania nowych technologii w pracy zdalnej czyha wiele, a zrozumiałe obawy związane z zagrożoną płynnością finansową wielu przedsiębiorstw nie skłaniają do inwestycji w bezpieczeństwo i odsuwają ochronę danych osobowych na dalszy plan.

Ochrona danych osobowych podczas pracy zdalnej – obszary zagrożenia

W pierwszej kolejności należy przypomnieć, iż zgodnie z RODO, naruszeniem ochrony danych osobowych jest każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Naruszeniem takim będzie zatem nie tylko sytuacja, w której dane „wyciekają”, czyli dostają się w niepowołane ręce (np. w wyniku ataku hakerskiego), ale także np. utrata dostępu do danych wskutek zagubienia dokumentów lub uszkodzenie nośnika danych (np. służbowego pendrive’a).

RODO

Wszystko o wpływie unijnego rozporządzenia na porządek prawny w Polsce

Dowiedz się więcej

Jakie zatem okoliczności związane z pracą zdalną zwiększają podatność organizacji na powyższe zagrożenia i stanowią potencjalne luki w bezpieczeństwie danych? Należą do nich niewątpliwie:

a) w aspekcie bezpieczeństwa IT – z perspektywy pracownika:

  • postępowanie niezgodnie z wytycznym pracodawcy w zakresie przetwarzania, przechowywania i przesyłania informacji, wykorzystywanie do tego celu niezabezpieczonych  odpowiednio prywatnych urządzeń prywatnych i mobilnych (np. brak antywirusa, nieaktualizowane oprogramowanie systemowe i aplikacje, brak szyfrowania zasobów, itd.) oraz sieci Wi-Fi (np. brak silnego hasła do sieci)
  • używanie niewłaściwych narzędzi niezapewniających odpowiedniej ochrony danych osobowych (np. popularnych darmowych komunikatorów internetowych) lub wykorzystywanie sieci społecznościowych do komunikacji firmowych (o ile nie zostały wcześniej zaakceptowane do tego celu);
  • chaos informacyjny dotyczący zagadnień związanych ze zwalczaniem wirusa SARS-CoV-2, zwiększający podatność np. na phishing;
  • niezapewnienie uwierzytelnienia wieloskładnikowego w usługach typu VPN lub innych firmowych usługach (O365, OWA, itd.) dostępnych (widocznych) z poziomu Internetu;
  • brak planu awaryjnego / alternatywnych scenariuszy komunikacji i pracy w przypadku niedostępności (np. w wyniku przeciążenia) podstawowych usług pracy zdalnej (VPN, platforma komunikacyjna etc.);

b) w aspekcie fizycznego zabezpieczenia danych:

  • przenoszenie dokumentów i nośników informacji z miejsca na miejsce (np. z biura do domu);
  • zagrożenia wynikające z nieprzystosowania powierzchni domowej do pracy, takie jak np. możliwość zniszczenia lub kradzieży wrażliwych dokumentów.

c) w aspekcie organizacyjnym:

  • brak podstawowych środków ciągłości działania i zapasowych urządzeń (np. brak energii elektrycznej, awaria urządzeń, ale również prozaiczna awaria telefonu komórkowego lub słuchawek);
  • potencjalnie utrudniony dostęp do osób zapewniających wsparcie w ochronie informacji (Działu IT, inspektora ochrony danych, compliance officer’a etc.); oraz
  • niski poziom wiedzy pracowników co do zagrożeń związanych z ochroną danych osobowych, w szczególności w sytuacjach, w których dotychczasowe szkolenia oraz akcje awareness’owe ukierunkowane były na zagrożenia występujące w normalnym trybie pracy.

Zagrożeń, jak już wyżej wspomniano, występuje bardzo wiele, jednak sposoby ich przeciwdziałaniu wcale nie muszą być skomplikowane i kosztowne. Warto przyjrzeć się najważniejszym z nich.

Sposoby przeciwdziałania zagrożeniom

Procedura zdalnej pracy dla pracowników

Jeżeli w organizacji nie przyjęto dotychczas procedur dotyczących ochrony danych osobowych w ramach pracy zdalnej, jest to dobry czas, aby w tym momencie opracować takie zasady i je wdrożyć. W tym przypadku będą to podstawowe wytyczne przyjęte, aby zaadresować potrzeby i cele wyznaczone przez sztab kryzysowe. Zostaną one uzupełnione w momencie przywrócenia normalnych operacji biznesowych.

Minimalne wymogi bezpieczeństwa

Jeżeli praca zdalna wiąże się z korzystaniem przez pracowników z ich własnych urządzeń, warto zaktualizować wiedzę pracowników o podstawowych zasadach postępowania z informacjami, a także określić / przypomnieć minimalne wymogi bezpieczeństwa dla urządzeń i sieci, z których pracownicy ci korzystają.

Wyeliminowanie korzystania z darmowych narzędzi

Darmowe narzędzia, takie jak poczta czy popularne komunikatory, nie zapewniają odpowiedniego poziomu ochrony danych i zazwyczaj nie są przeznaczone do wykorzystania ich w celach służbowych. Pracodawca powinien polecić pracownikom, które kanały komunikacji (komunikatory, platformy, itd.) akceptuje do tego celu.

Edukacja i uświadamianie

Uświadamianie i szkolenia najlepiej wykonywać przed sytuacją kryzysową, ale jeśli się już w niej znaleźliśmy, warto wpleść informacje o zagrożeniach dla danych osobowych w ustalony kanał komunikacji kryzysowej z pracownikami. Przykładowo warto uświadomić pracowników, iż w nadchodzących dniach mogą być szczególnie narażeni na, przykładowo, atak phishingowy ukryty pod „klikalną” informacją o koronawirusie (scammerzy wykorzystywali w tym celu np. mapy rozprzestrzeniania się SARS-CoV-2), i co powinni zrobić w takim przypadku (np. niezwłocznie powiadomić Dział IT).

Uwaga na monitoring

Pracodawcy powinni jednak uważać, ponieważ wdrożenie nowych rozwiązań z zakresu bezpieczeństwa danych osobowych może wiązać się z koniecznością spełnienia wymogów dotyczących monitoringu pracowników. W takiej sytuacji, pracodawca powinien poinformować pracowników o celu, zakresie i sposobie stosowania takich rozwiązań w sposób określony w Kodeksie pracy, a także określić te aspekty w regulaminie pracy, jeżeli ma obowiązek jego przyjęcia.

- Anna Skuza, Radca prawny, Senior Managing Associate

Gdy do naruszenia już doszło

Co natomiast zrobić, gdy do naruszenia już doszło, np. pracownik zgubił przenoszone dokumenty, sieć padła ofiarą ataku hakerów albo awaria zasilania sprawiła, że dane osobowe zostały utracone? Przede wszystkim należy pamiętać, iż konieczne może być zgłoszenie naruszenia Prezesowi Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od stwierdzenia naruszenia. Zgłoszenie powinno zawierać m.in. opis charakteru naruszenia oraz jego możliwe konsekwencje. W tym celu sprawna komunikacja z pracownikiem będzie niezbędna, aby właściwie ocenić ryzyko związane z naruszeniem, a następnie przekazać organowi, wszystkie wymagane informacje. W niektórych przypadkach może być koniecznie także powiadomienie osób dotkniętych naruszeniem.

Warto pamiętać, że jeżeli na skutek naruszenia ochrony danych urząd przeprowadzi kontrolę w przedsiębiorstwie, wszelkie uprzednio podjęte działania o charakterze prewencyjnym mogą służyć jako argument, iż administrator danych wdrożył niezbędne środki organizacyjne i techniczne, aby chronić dane osobowe. Powinno to w konsekwencji przełożyć się na wysokość ewentualnej kary pieniężnej, jeżeli doszłoby do jej nałożenia.

- Jakub Kowal, Radca prawny, Senior Associate, Deloitte Legal

 

Aktywność organów

Na zakończenie trzeba przypomnieć, iż zarówno UODO, jak i UKNF publikują swoich stronach internetowych przydatne poradniki dotyczące przeciwdziałania zagrożeniom bezpieczeństwa danych, w tym danych osobowych. Warto śledzić informacje i komunikaty publikowane przez te organy i na bieżąco wdrażać opracowywane rekomendacje i zalecenia.

Cykl webcastów: Tarcza antykryzysowa


Tarcza antykryzysowa - Rządowe drogowskazy dla przedsiębiorców w obliczu pandemii

> Odsłuchaj nagranie

Tarcza antykryzysowa - Wpływ COVID-19 na inwestorów działających w ramach Polskiej Strefy Inwestycji i SSE

> Odsłuchaj nagranie

Tarcza antykryzysowa - Nowe możliwości finansowego wsparcia dla pracodawców w walce z COVID-19

> Odsłuchaj nagranie

Masz pytania lub wątpliwości?
Chcesz dowiedzieć się więcej?

Napisz do nas

Więcej informacji: Combating COVID-19 with resilience 

Czy ta strona była pomocna?