Zasady pracy w trybie zdalnym mają na celu umożliwienie pracownikom realizację zadań bez wychodzenia z domu. Wytyczne w tej kwestii opracował w dniu 18 marca 2020 roku Urząd Ochrony Danych Osobowych. Przygotowany dokument ściśle opisuje w jaki sposób należy postępować podczas pracy w trybie home office, aby nie naruszyć przepisów oraz jakie zabezpieczenia należy rekomendować pracownikom w organizacji. Wskazano w nim najważniejsze kwestie dotyczące urządzeń i oprogramowania, dostępu do chmury i sieci oraz korzystania ze skrzynki pocztowej.
Art. 5 ust. 1 lit. f RODO reguluje zasady przetwarzania danych, w tym zasady dotyczące poufności i integralności. Dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo i ochronę przez ich utratą lub niezgodnym z prawem przetwarzaniem. Administrator danych jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych, w tym poufności i integralności, a to w praktyce oznacza, że administrator powinien dysponować dowodami potwierdzającymi odpowiednio wdrożone środki bezpieczeństwa. Urządzenia wykorzystywane przez pracowników muszą zostać odpowiednio przygotowane i sprawdzone pod względem sprawności, oprogramowania i zabezpieczeń.
Poniżej przedstawiam listę najczęściej stosowanych środków technicznych:
Komputer służbowy
– sprzęt komputerowy powinien być odpowiednio zabezpieczony poprzez używanie silnych haseł i wielopoziomowe uwierzytelnianie. Tego typu zabezpieczenia ograniczają dostęp osobom niepowołanym oraz zmniejszają ryzyko utraty danych w przypadku kradzieży sprzętu;
– nakładki prywatyzujące na ekran minimalizują ryzyko wglądu przez osoby postronne;
– program antywirusowy z firewallem;
– wygaszacz ekranu;
– możliwość sprawnego łączenia z firmową siecią poprzez VPN;
Telefon służbowy
– podobnie jak w przypadku komputera powinien zostać odpowiednio zabezpieczony poprzez blokadę ekranu;
– możliwość szyfrowania danych i możliwość łączenia się z internetem oraz siecią firmową za pomocą łącza VPN;
– blokada karty sim oraz blokada ekranu;
– możliwość szyfrowania danych i automatycznego back’upu.
Firma może dopuścić możliwość pracy na prywatnym sprzęcie pracownika, przepisy RODO tego nie zabraniają. Jednak przy tego typu praktykach zanim to nastąpi powinno się realnie ocenić możliwości zastosowania zabezpieczeń, które pozwolą na sprawowanie chociaż minimalnej kontroli poprzez zdalny dostęp do zasobów sieci firmowej.
Bardzo istotnym elementem jest budowanie świadomości pracowników w zakresie ochrony danych osobowych, w tym prowadzenie szkoleń. W normalnych warunkach szkolenia przeprowadzane są zazwyczaj podczas spotkań, ale obecnie kiedy nie jest to możliwe warto rozważyć prowadzenie szkoleń on-line poprzez aplikacje, platformy e-learningowe lub komunikatory wewnętrzne.
Nie da się ukryć, że praca w systemie home office to szereg obowiązków, ale jedynie świadomość jak ważne jest właściwe ich przestrzeganie, zapewni bezpieczeństwo i nie narazi nikogo na ryzyko wycieku i utraty danych.
