Okres pandemiczny wymusił na wielu przedsiębiorstwach zmianę trybu pracy na zdalny oraz załatwianie większości możliwych spraw online. Niektóre firmy korzystały z tego modelu pracy od lat, inne zmuszone warunkami dopiero wdrażały taki model w swoich strukturach. Nie każdy był jednak przygotowany na sprawne i szybkie wdrożenie odpowiednich środków mających na celu zabezpieczenie danych osobowych. Dlatego też, gdy zagrożenie pandemiczne w dużej mierze minęło, warto przyjrzeć się kwestiom związanym z wprowadzeniem odpowiednich zabezpieczeń tak, aby proces przetwarzania danych osobowych podczas pracy zdalnej był obarczony jak najmniejszym ryzykiem naruszenia praw i wolności osób, których dane dotyczą.
W sytuacji, gdy pracownik wykonuje swoją pracę w biurze organizacji, zdecydowanie łatwiej chronić tajemnicę przedsiębiorstwa oraz dane osobowe. Pracodawca ma kontrolę nad tym, do jakiej sieci łączy się komputer pracownika, ryzyko kradzieży sprzętu służbowego jest stosunkowo niewielkie, a poza tym zawsze można szybko udać się do zespołu IT Helpdesk, który z reguły sprawnie pomoże z wszelkimi problemami natury technicznej. Podczas pracy zdalnej ryzyko wycieku danych i informacji poufnych jest zdecydowanie większe, o czym szerzej w dalszej części artykułu. Aby zminimalizować ryzyko związane z wymienionymi zagrożeniami, organizacja powinna odpowiednio przeanalizować i zabezpieczyć uprzednio taki proces.
W przypadku przetwarzania danych osobowych, należy zwrócić uwagę na przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych osobowych – popularnie zwanym RODO.
Art. 24 ust. 1 RODO wskazuje, iż:
„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.”
Oznacza to, że w przypadku chęci wprowadzenia pracy zdalnej, zadaniem administratora będzie między innymi ocena ryzyka naruszenia praw lub wolności osób, których dane osobowe dotyczą w kontekście takiego działania. Jako, że RODO nie mówi wprost o tym jakie zabezpieczenia należy wdrożyć (wskazuje jedynie, że muszą być adekwatne), taka ocena będzie punktem wyjściowym do zastosowania odpowiednich zabezpieczeń, tzw. środków technicznych i organizacyjnych. Dodatkowo, należy stale monitorować adekwatność dobranych środków, poddawać je przeglądom i aktualizować.
Ponadto, wdrażając stosowne zabezpieczenia należy zwrócić uwagę także na inne przepisy. Przykładowo, na mocy obowiązującego od dnia 7 kwietnia 2023 r. art. 6726 Kodeksu pracy:
Jeśli podejść do wdrożenia pracy zdalnej jako do nowego projektu, proces przeprowadzenia oceny i zabezpieczenia nie będzie szczególnie trudny. Przede wszystkim należy przeanalizować jakie dane osobowe przetwarzamy, dlaczego i na jakiej podstawie prawnej. Ponadto, warto zwrócić też uwagę na to, do jakich danych osobowych będą mieli dostęp poszczególni pracownicy pracujący zdalnie. Ryzyko naruszenia praw lub wolności osób fizycznych będzie inne w przypadku zadań pracownika działu kadr i płac, a inne w przypadku pracownika działu administracji.
Dopiero po przeprowadzeniu analizy należy przejść do rozważenia stosownych środków zabezpieczających. Istnieją dwie podstawowe kategorie środków zabezpieczających:
Administrator ma swobodę co do środków, które może zastosować. Należy mieć jednak świadomość, że odpowiada za ich dobór w odniesieniu do oszacowanego ryzyka naruszenia praw i wolności osób, których dane dotyczą. Niestety RODO nie przewiduje katalogu określonych środków, które należy zastosować. Ustawodawca unijny zakładał, że dzięki technologicznej neutralności, RODO będzie mogło służyć obywatelom przez wiele lat. Niemniej jednak, warto śledzić wszelkiego rodzaju rekomendacje i wytyczne, zarówno te na poziomie Unii Europejskiej jak i krajowe, ponieważ stanowią one cenne wskazówki co do możliwych do zastosowania zabezpieczeń. Należy podkreślić, że rodzaj zabezpieczeń powinien być zawsze skorelowany z zakresem, kontekstem, celami przetwarzania oraz ryzykiem naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającymi z przetwarzania.
Proces pracy zdalnej warto stworzyć również tak, aby wykonujący ją pracownik nie potrzebował do jej prawidłowego wykonywania dokumentów papierowych. Aktualne standardy technologiczne pozwalają, aby zdecydowana większość obowiązków służbowych była wykonywana w pełni na dokumentach elektronicznych. Jeśli jednak specyfika obowiązków danego pracownika wymusza wykorzystywanie dokumentów papierowych, pracownik ten musi obowiązkowo zwrócić takie dokumenty z powrotem do biura albo też dokonać ich zniszczenia w przypadku, gdy będą już one nieprzydatne. Rozwiązanie to wymaga jednak dodatkowych nakładów jak np. udostępnienie niszczarek lub innych rozwiązań pozwalających na bezpieczne niszczenie dokumentów zawierających dane osobowe.
Mimo wielu pozytywów, jakie niesie ze sobą praca zdalna, należy liczyć się także ze zwiększonym ryzykiem wystąpienia incydentów i naruszeń ochrony danych osobowych.
Po pierwsze, personel pracujący zdalnie zdecydowanie częściej transportuje służbowy sprzęt – zwiększa się zatem ryzyko jego utraty bądź zniszczenia.
Po drugie, zwiększa się ryzyko naruszenia ze względu na korzystanie z niezabezpieczonych punktów WIFI – praktyka zna przypadki, w których hakerzy uzyskiwali dostęp do danych poprzez monitorowanie ruchu sieciowego (tzw. sniffing), który najprościej osiągnąć można przez źle zabezpieczone hotspoty.
Wzrasta także ryzyko, iż podczas pracy w miejscach publicznych ktoś zwyczajnie będzie w stanie podejrzeć nad czym pracownik aktualnie pracuje bądź też pozyskać dane do logowania do służbowej poczty elektronicznej.1
Z różnych przyczyn coraz więcej organizacji dopuszcza także, aby pracownik / współpracownik wykonywał obowiązki służbowe przy pomocy swojego prywatnego laptopa, smartfona lub tabletu. Rozwiązanie to, dostarcza wielu organizacjom szeregu wyzwań, ponieważ w przeciwieństwie do sprzętu, który niejako „powierza się” pracownikowi, tutaj w większości wypadków cały proces zabezpieczenia sprzętu jak i kontroli bezpieczeństwa spoczywa przede wszystkim na pracowniku. Takie działanie określa się jako „przyniesienie własnego urządzenia” (ang. Bring Your Own Device – BYOD). Aby w sposób możliwie bezpieczny korzystać z polityki BYOD, należy wprowadzić odpowiednie wytyczne i kryteria dopuszczalności takiego rozwiązania, tak aby w wyniku niedopatrzenia nie doszło do naruszenia ochrony danych osobowych lub do ujawnienia informacji objętych tajemnicą przedsiębiorstwa. Warto zwrócić uwagę na pojawiające się dodatkowe wytyczne, choćby Poradnik bezpieczeństwa w zakresie telepracy / pracy zdalnej i używania prywatnych urządzeń (BYOD).2 Zawiera on zalecenia dotyczące zabezpieczania urządzeń BYOD wykorzystywanych do telepracy i zdalnego dostępu, jak również tych, które są bezpośrednio podłączane do sieci organizacji. Poniżej wskazano kilka przykładowych wymagań minimalnych, jakie powinien spełnić sprzęt prywatny wykorzystywany do użytku służbowego
Procedurę wykorzystywania sprzętu prywatnego jak również samą procedurę pracy zdalnej warto skonsultować zarówno z prawnikiem/inspektorem ochrony danych jak i informatykiem – dzięki czemu organizacja będzie mieć pewność, że wdraża środki bezpieczeństwa adekwatne do zagrożeń.
Niewdrożenie odpowiednich środków technicznych i organizacyjnych może pociągać za sobą szereg negatywnych konsekwencji zarówno dla organizacji będącej administratorem danych osobowych jak i dla osoby, której dane osobowe dotyczą. Przede wszystkim w znacznej większości sytuacji odpowiednio dobrane środki zabezpieczające pozwalają jeśli nie na całkowite to przynajmniej znaczne ograniczenie prawdopodobieństwa i konsekwencji działań, które mogą naruszać poufność, integralność i dostępność danych osobowych.
Odpowiednie podejście do wdrożenia środków jest jednym z fundamentów funkcjonowania systemu ochrony danych osobowych w organizacjach.
Powaga omawianego zagadnienia znajduje także potwierdzenie w decyzjach Urzędu Ochrony Danych Osobowych nakładającego kary na administratorów danych osobowych właśnie za niezastosowanie lub nieadekwatne wdrożenie zabezpieczeń w stosunku do zagrożeń. W jednej z wydanych decyzji, Prezes UODO stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez Virgin Mobile Polska, której następcą prawnym jest P4 Sp. z o.o., odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych 3, a w konsekwencji czego spółka otrzymała dotkliwą karę finansową w wysokości 1,6 mln zł. Należy mieć jednak na uwadze, że za nieprzestrzeganie przepisów RODO grożą surowe kary pieniężne. Maksymalny wymiar kary administracyjnej wynosi do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kara wyższa).
Organizacja przygotowująca się do pracy zdalnej powinna wdrożyć odpowiednie środki dotyczące zarówno technicznego zabezpieczenia wykorzystywanego sprzętu, jak również proceduralne, gromadzące zasady postepowania i wytyczne dla pracowników. Bardzo ważne jest także stałe podnoszenie świadomości personelu oraz edukacja. Jak pokazuje niezmienny od lat trend, prawie 95% przypadków incydentów miało charakter nieumyślny, w tym 86% zbadanych naruszeń spowodowano działaniami wewnętrznymi personelu administratora danych osobowych 4.