Jak dotąd nie wszyscy polscy przedsiębiorcy byli przygotowani na radykalne zmiany w funkcjonowaniu, które wymusił na nich stan zagrożenia epidemicznego, a następnie ogłoszony 20 marca 2020 r. stan epidemii. Tylko część z nich posiadała odpowiednią infrastrukturę oraz dysponowała procedurami niezbędnymi do świadczenia pracy zdalnej. Podjęcie konkretnych działań przez przedsiębiorców, którzy nie mogą pozwolić sobie na stagnację gospodarczą, będzie związane z wprowadzeniem zmian organizacyjnych.

Organizacja przetwarzania danych przy wprowadzeniu pracy zdalnej

Zmiany będą dotyczyły wprowadzenia środków organizacyjnych związanych z nieodzownym elementem prowadzenia działalności – przetwarzaniem danych osobowych. Jeżeli procedury były wcześniej wprowadzone, ale nie przewidywały tego, że np. operacje przetwarzania ze względu na stan zagrożenia epidemicznego zostaną wykonywane w innej formie niż dotychczas bądź przetwarzanie będzie odbywać się poza wyodrębnionymi obszarami przetwarzania w ramach infrastruktury przedsiębiorstwa, konieczne może być ich uzupełnienie. W takiej sytuacji przedsiębiorcy będą musieli wprowadzić środki zaradcze pozwalające na modyfikację zdezaktualizowanych procedur i dokumentacji.

Jakie kroki powinien podjąć przedsiębiorca przestawiając się na pracę zdalną

Opisane powyżej działanie dotyczy przedsiębiorców, którzy posiadali tego typu środki organizacyjne. W sytuacji, w której wcześniej nie wdrożono środków zapewniających prawidłową ciągłość działania biznesu w obszarze bezpieczeństwa danych osobowych, pojawia się pytanie w jaki sposób można w krótkim czasie przeprowadzić ten proces i jakich narzędzi potrzebują przedsiębiorcy żeby proces zakończył się wprowadzeniem rozwiązań właściwych i adekwatnych (co dla każdego z przedsiębiorców jest indywidualną kwestią), co więcej zapewniających odpowiedni stopień bezpieczeństwa informacji.

Prawidłowe ułożenie procesu związanego z przetwarzaniem danych rozpoczyna się od przeprowadzania procesu inwentaryzacji aktywów przedsiębiorstwa i analizy ryzyka.

To właśnie wnioski płynące z analizy ryzyka wskazują na najbardziej newralgiczne punkty prowadzenia działalności i pozwalają na wdrożenie adekwatnych środków zapewniających możliwie największy stopień bezpieczeństwa. Katalog środków organizacyjnych jest otwarty i różni się w zależności od wielkości przedsiębiorstwa i zakresu prowadzonej działalności. Do przykładowych środków organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych przy przestawieniu się na pracę zdalną można zaliczyć:

  1. przeprowadzenie inwentaryzacji aktywów,
  2. przeprowadzenie analizy ryzyka,
  3. uzupełnienie wydanych upoważnień do przetwarzania danych osobowych, o upoważnienie do wynoszenia dokumentacji oraz przetwarzanie danych poza siedzibą przedsiębiorstwa,
  4. wprowadzenie procedur związanych z pracą zdalną w zakresie bezpieczeństwa danych,
  5. zawarcie z pracownikami umów powierzenia sprzętu komputerowego i nośników,
  6. wprowadzenie odpowiednich zabezpieczeń technicznych związanych z przetwarzaniem danych w formie elektronicznej, środków monitorujących, odpowiednich narzędzi, programów i aplikacji zapewniających ciągłość działania biznesu oraz poufność integralność i dostępność danych,
  7. aktualizacja podstawowych dokumentów organizacyjnych przedsiębiorstwa takich jak; regulamin organizacyjny, regulamin pracy, zakładowy układ zbiory pracy (o ile został wdrożony),
  8. przeprowadzenie szkoleń dla pracowników (również w formie e-learningu).

Ryzyko

Nieprawidłowe zabezpieczenie systemów wykorzystywanych do pracy zdalnej może mieć katastrofalne skutki dla przedsiębiorcy. Warto wspomnieć, że nie chodzi tu tylko i wyłącznie o kary nakładane przez Prezesa Urzędu Ochrony Danych Osobowych. Luki w zabezpieczeniach przy przetwarzaniu danych mogą doprowadzić do ujawnienia tajemnicy przedsiębiorstwa, co może skutkować trudnymi do oszacowania stratami dla firmy zarówno w średnim jak i długim okresie.

Innym realnym ryzykiem jest narażenie przedsiębiorstwa na atak typu BEC (Business email compromise). Oszustwo to w najbardziej podstawowej formie polega na podszyciu się pod kontrahenta firmy w celu wyłudzenia płatności za rzeczywiste zdarzenie gospodarcze. Przykładowo oszust, poznawszy zawartość skrzynki e-mail pracującego z domu przy użyciu otwartej sieci Wi-Fi pracownika działu księgowości, może wysłać do przedsiębiorcy wiadomość podszywając się pod pracownika prawdziwego kontrahenta. Wiadomość ta (zawierająca formatowanie i styl pisma typowy dla znanego od lat partnera biznesowego) może być prośbą o dokonanie płatności za określone faktury na nowe konto bankowe. Środki przelane na takie konto oczywiście nigdy nie trafią do rzeczywistego kontrahenta.

Konieczność zapewnienia bezpieczeństwa przetwarzanych danych osobowych

Przy wykonywaniu pracy zdalnej, w trakcie której dochodzi do przetwarzania danych osobowych, należy również dopilnować realizacji nałożonego na przedsiębiorcę przez art. 32 RODO obowiązku zapewnienia bezpieczeństwa przetwarzania danych osobowych. Oznacza to, iż pracownik, świadcząc pracę poza obszarem przedsiębiorstwa, musi przestrzegać zasad ochrony danych osobowych, w tym obowiązku nieujawniania ich osobom nieuprawnionym. Podkreślić w tym miejscu należy, że w świetle omawianych przepisów takimi osobami, przed którymi należy chronić przetwarzane dane osobowe są w szczególności współmałżonek pracownika oraz jego dzieci.

Wprowadzając pracę zdalną pracodawca powinien również rozważyć kwestie korzystania przez pracowników z papierowych dokumentów, w tym dokumentów zawierających dane osobowe. W przypadku wydania zgody na korzystanie przez pracownika z tych dokumentów, konieczne jest również podjęcie stosownych decyzji w zakresie zabezpieczenia wykorzystywanych przez pracownika dokumentów przed ich utratą, czy dostępem osób nieuprawnionych. Za konieczne należy również uznać wdrożenie odpowiednich procedur postępowania ze zbędnymi dokumentami, jak również z wydrukami roboczymi zawierającymi dane osobowe. Materiały te nie powinny trafiać do zwykłego kosza na śmieci, czy odpady sortowane. Konieczne jest ich zniszczenie przy pomocy niszczarki do dokumentów o odpowiednim poziomie bezpieczeństwa.

Kolejnym istotnym zagadnieniem jest zapewnienie bezpieczeństwa systemów informatycznych. Istotną rolę odgrywa zapewnienie bezpiecznego połączenia z siecią, wykorzystanie sieci VPN, zapewnienie aktualizacji oprogramowania (w tym antywirusowego) oraz nie instalowanie aplikacji pochodzących z niepewnych źródeł.  Warto w tym zakresie zapoznać się ze wskazówkami opublikowanymi przez Prezesa Urzędu Ochrony Danych Osobowych.

Dlaczego należy wdrożyć odpowiednie środki organizacyjne w zakresie bezpieczeństwa danych osobowych?

Zgodnie z aktualnym stanowiskiem UODO pomimo stanu zagrożenia i wprowadzenia ustaw szczególnych, wszystkie działania powinny być zgodne z przepisami RODO. Niewątpliwie po ustaniu stanu epidemii i unormowaniu się sytuacji dalej prowadzone będą kontrole. Przedsiębiorcy będą wówczas musieli wykazać przez Prezesem Urzędu Ochrony Danych Osobowych, że zapewnili zgodny z prawem proces przetwarzania danych osobowych – zgodnie z zasadą rozliczalności. Uniknięcie strat związanych z atakami hakerskimi będzie dodatkową korzyścią dla przedsiębiorcy.