Zaštita podataka i home office
Kako poštivati GDPR pravila prilikom rada od kuće
Nakon proglašenja pandemije bolesti Covid-19, brojni poslodavci odlučiti su omogućiti svojim zaposlenicima rad od kuće. Uz današnja tehnološka rješenja, većina zaposlenika može izvršavati poslovne procese iz udobnosti svog doma jednako učinkovito kao i iz ureda, što nužno podrazumijeva i pristup podacima pohranjenim u internom sustavu određenog poduzeća. Iako otvara različite mogućnosti, potrebno je poduzeti odgovarajuće mjere kako home office ne bi postao rizik za zaštitu osobnih podataka i poslovne tajne.
Promijenjene okolnosti obrade podataka, kao što je rad od kuće, povlače za sobom promjenu vrste i razine rizika za zaštitu podataka.
Sukladno Općoj uredbi o zaštiti podataka (GDPR), izvršitelj i voditelj obrade osobnih podataka dužni su provoditi odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti podataka s obzirom na rizik. Promijenjene okolnosti obrade podataka, kao što je rad od kuće, povlače za sobom promjenu vrste i razine rizika za zaštitu podataka. Stoga je, u skladu sa zahtjevima GDPR-a, potrebno prije svega napraviti procjenu odgovarajuće razine rizika prilikom koje će se posebno uzeti u obzir rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima, u kontekstu rada zaposlenika od kuće. Kako mjere poduzete radi zaštite zdravlja zaposlenika ne bi dovele do ugrožavanja sigurnosti podataka, moguće je prilagoditi poslovne procese poduzimanjem sljedećih dodatnih koraka:
ODABRATI SIGURNU METODU DALJINSKOG PRISTUPA
Bilo da se daljinski pristup ostvaruje putem VPN-a (virtual private network) ili korištenjem posebnog softvera (npr. Teamviewer, Anydesk i dr.), važno je da odabrano rješenje uključuje tehnologiju koja jamči zaštićeno daljinsko povezivanje korisnika s uredskom internom mrežom putem sigurne veze. Prijenos podataka putem javnih mreža preporuča se izbjegavati jer znatno povećava rizik od neovlaštenog pristupa podacima.
INSTALIRATI ANTIVIRUSNI PROGRAM NA SVAKI UREĐAJ
Mnogi zaposlenici za rad od kuće koriste vlastita računala, pametne telefone i tablete. Kako putem osobnih uređaja pristupaju zaštićenim podacima i obrađuju ih, nužno je da su i ti uređaji zaštićeni odgovarajućim antivirusnim programom, jednako kao i računala u uredskim prostorijama. Na taj način umanjuje se rizik od uništenja ili neovlaštenog pristupa podacima.
KORISTITI ENKRIPCIJU
Enkripcija je jedna od tehničkih mjera za zaštitu podataka koje izričito propisuje GDPR. Podaci su posebno izloženi riziku prilikom prijenosa putem mreže (Internet), stoga je enkripcija dodatno jamstvo koje će i u slučaju presretanja dokumenata onemogućiti neovlašteni pristup njihovom sadržaju. I podatke koji se ne prenose, već su samo pohranjeni u internom sustavu, također se preporuča zaštititi enkripcijom kao dodatnom mjerom zaštite protiv neovlaštenog pristupa.
SASTAVITI NEPROBOJNE LOZINKE
"Preporučljivo je da svaki zaposlenik, odnosno svaki uređaj ima svoju vlastitu lozinku, različitu od onih koje koriste drugi zaposlenici. Osim što se na taj način otežava neovlašteni pristup „izvana“, tako se osigurava i da će određenim podacima moći pristupiti samo oni zaposlenici koji su za to ovlašteni. Važno je za pristup korisničkim računima i zaštićenim datotekama koristiti jače lozinke te ih mijenjati periodično radi dodatne razine sigurnosti.
NE PREUZIMATI PODATKE NA PRIVATNE UREĐAJE
Ako se putem sigurne veze ostvaruje daljinski pristup uredskom računalu, tada ni nema stvarne potrebe preuzimati podatke na laptop kod kuće, a isto svakako predstavlja rizik za zaštitu podataka. Naime, privatni uređaji zaposlenika koji se ne koriste isključivo za poslovne svrhe, često imaju nižu razinu sigurnosti te manje kvalitetna tehnološka rješenja za zaštitu podataka. Također, podaci koji se pohranjuju na kućnom uređaju u pravilu nemaju „back up“, dok prilikom rada na uredskom računalu (bilo izravno ili putem daljinskog pristupa) interni server redovito (svakodnevno ili po potrebi) izrađuje sigurnosne kopije koje su zaštićene od neovlaštenog pristupa, gubitka ili uništenja u slučaju napada ili nezgode.
NE SLATI PODATKE NA PRIVATNI E-MAIL
Kao što je već istaknuto, podaci su općenito najviše izloženi riziku upravo prilikom prijenosa putem Interneta. Za privatni e-mail zaposlenika vrijedi slično kao i za privatne uređaje. Službeni uredski e-mail u pravilu je zaštićen jakim lozinkama koje se periodično mijenjaju te se često koriste domene koje pružaju veću razinu privatnosti i sigurnosti za korisnike, za razliku od uobičajenih pružatelja usluga elektroničke pošte koje koristi većina osoba za privatne svrhe.
Voditelj je dužan u roku od 72 sata o povredi podataka obavijestiti Agenciju za zaštitu osobnih podataka.
PRIJAVITI SVAKU POVREDU PODATAKA
Unatoč svim poduzetim mjerama ipak može doći do neovlaštenog pristupa, gubitka ili uništenja podataka, primjerice ako uređaj bude zaražen virusom ili izgubljen, neovlaštena osoba presretne podatke i sl. U tom slučaju voditelj je dužan u roku od 72 sata o povredi obavijestiti Agenciju za zaštitu osobnih podataka, osim ako nije vjerojatno da će povreda uzrokovati rizik za prava i slobode pojedinaca. U slučaju povrede za koju je vjerojatno da će prouzročiti visoki rizik za prava i slobode, potrebno je bez odgađanja obavijestiti i ispitanike. Također, potrebno je bez odgode poduzeti sve razumne mjere radi pokušaja ublažavanja potencijalnih posljedica povrede.
IZBJEGAVATI KORIŠTENJE JAVNIH MREŽA
Korištenje javnih mreža (kao što su knjižnice, hoteli, kafići) za pristup i obradu zaštićenih podataka znatno povećava rizik od povrede podataka, budući da javnoj mreži može pristupiti neograničeni broj korisnika, a razina sigurnosti koju ista pruža često nije ni približno jednaka sigurnosti interne mreže.
I prilikom održavanja video sastanaka važno je pročitati politiku zaštite privatnosti i informirati ispitanike.
USKLADITI VIRTUALNE SASTANKE S GDPR-om
Prilikom organiziranja sastanaka putem online servisa kao što su Skype, Zoom i drugi, poželjno se prije početka uporabe informirati o politici privatnosti i pravilima zaštite podataka tih aplikacija. Ukoliko postoji sumnja o usklađenosti softvera s GDPR-om, tada je potrebno raspitati se o drugim mogućnostima te odabrati onu opciju koja predstavlja najmanji rizik za podatke svih sudionika, kad god je to moguće. Kod svakog sastanka, predavanja ili radionice (webinari) voditelj je dužan obavijestiti sve sudionike o tome koji njihovi podaci će se pohraniti ili biti vidljivi drugima (ime, lokacija, broj mobitela i sl.) i pružiti sve ostale informacije propisane GDPR-om (podaci o voditelju, svrsi i trajanju obrade, pravima ispitanika,…). Navedene informacije mogu biti sudionicima dostavljene uz poziv za sudjelovanje, putem poveznice koja će se svima dostaviti prilikom pridruživanja u online seminar i sl. Obzirom da neke online platforme omogućuju i snimanje sastanaka, o eventualnom snimanju mora se odgovarajuće obavijestiti svaki sudionik.
EDUCIRATI ZAPOSLENIKE I USKLADITI INTERNE AKTE
Svaki voditelj obrade podataka treba putem ovlaštenih osoba obavijestiti sve zaposlenike o primjerenim mjerama za siguran rad od kuće, educirati ih o načinu njihove primjene, te prema potrebi i pomoći im u uspostavljanju dodatnih sustava zaštite. Ako internim aktima već nisu uređeni dodatni koraci koji se poduzimaju u posebnim okolnostima, potrebno je uskladiti pravilnike i evidencije s novim načinom rada.
Kao i uvijek, usklađivanje poslovanja s GDPR-om postiže se na različite načine ovisno o vrsti poslovanja, kategorijama podataka koji se obrađuju, sudionicima u postupku obrade itd. No, ono što je zajedničko svima, jest činjenica da je usklađivanje poslovnih procesa sa zahtjevima zaštite podataka proces koji nikad ne završava, odnosno nužno je kontinuirano se prilagođavati aktualnim promjenama i rizicima, kao što je rad od kuće – trenutno nužnost za mnoge, ali i općenito rastući trend među poslodavcima.
Za više informacija kontaktirajte nas na:
Tel: 01/4862-690
E-mail: odvjetnicko.drustvo@owens-houska.hr