4 wskazówki dla ADO – jak zadbać o dane osobowe w pracy zdalnej

Przepisy prawa, które nakazują zachowanie poufności danych albo wewnętrzne ustalenia dot. zachowania w tajemnicy niektórych informacji obowiązują bowiem nadal. Konieczne jest więc taka organizacja pracy i wybór narzędzi, aby pracownicy mogli pracować zdalnie przy zapewnieniu odpowiedniego poziomu bezpieczeństwa informacji. Jakie działania powinna podjąć organizacja aby zapewnić odpowiedni poziom bezpieczeństwa?

Osoby zajmujące się wsparciem informatycznym pracowników na co dzień z reguły są wyznaczane także do pomocy osobom pracującym zdalnie. Kwestia bezpieczeństwa danych powinna zostać potraktowana przez nie priorytetowo. Stąd też to one będą odpowiedzialne za konfigurację środowisk i urządzeń, które umożliwią bezpieczną pracę zdalna, wydanie pracownikom sprzętu, a następnie bieżące wsparcie ich (zdalne) w działaniu.

Z drugiej strony, to na dziale IT spoczywa również obowiązek przekazywania informacji dotyczących tego jak zachować bezpieczeństwo podczas pracy zdalnej.

Praca na plikach z danymi, udostępnionymi przez pracodawcę, w tym wymiana tych plików pomiędzy poszczególnymi pracownikami, powinna odbywać się przy wykorzystaniu służbowych laptopów – oczywiście o ile jest to technicznie możliwe. Pozwala to na zachowanie obowiązujących w organizacji zasad dotyczących:

• wykorzystania systemów operacyjnych,
• aktualizacji oprogramowania,
• instalacji programów antywirusowych
• ograniczenia możliwości korzystania z aplikacji niezatwierdzonych przez administratora.

Samo przesyłanie informacji za pomocą e-maila powinno odbywać się przy użyciu służbowej skrzynki pocztowej danego pracownika.

1. W miarę możliwości, korespondencja elektroniczna powinna być szyfrowana (np. przy wykorzystaniu rozwiązań PGP lub S/MIME).
2. Jeżeli do korespondencji są dołączane załączniki zawierające np. dane osobowe albo inne informacje poufne, to powinny one także być zaszyfrowane (nawet jeśli nie szyfrujemy samej wiadomości).
3. Klucz rozszyfrowujący należy przekazywać odbiorcy innym niż e-mail kanałem komunikacji – np. SMSem.

W związku z ostatnimi wydarzeniami, znacznie zwiększa się popularność narzędzi ułatwiających pracę zespołów na odległość, wymianę plików, zarządzanie projektami czy kontrolę bieżących efektów prac. Wybór takiego narzędzia nie może odbywać się jednak bez wzięcia pod uwagę kwestii bezpieczeństwa. Konieczne wiec jest zweryfikowanie tego gdzie będą przechowywane nasze dane, ze szczególnym uwzględnieniem tego, czy mogą być one przetransferowane poza państwa należące do Europejskiego Obszaru Gospodarczego. Warto również sprawdzić, jakie zabezpieczenia wdrożył dostawca takiego narzędzia – np. czy szyfruje dane przechowywane w jego ramach. Dodatkowo, akceptowane przez nas regulaminy powinny zawierać postanowienia dotyczące powierzenia przetwarzania danych osobowych.

Szczególna sytuacja, w której obecnie się znajdujemy, nie zwalnia administratora z obowiązku stosowania się do zasad bezpieczeństwa, w tym również tych, które dotyczą pracy zdalnej.

Organizacje, które już wcześniej pozwalały niektórym pracownikom na wykonywanie zadań poza biurem, mają tu ułatwione zadanie. Często wewnętrzne procedury dotyczące bezpieczeństwa IT posiadają uregulowania dot. korzystania z narzędzi informatycznych poza standardowym miejscem pracy. Te przedsiębiorstwa, które nie praktykowały dotąd takiego modelu pracy, muszą się szybko dostosować do nowego otoczenia.