Bezpieczeństwo danych osobowych podczas pracy zdalnej

Okres pandemiczny wymusił na wielu przedsiębiorstwach zmianę trybu pracy na zdalny oraz załatwianie większości możliwych spraw online. Niektóre firmy korzystały z tego modelu pracy od lat, inne zmuszone warunkami dopiero wdrażały taki model w swoich strukturach. Nie każdy był jednak przygotowany na sprawne i szybkie wdrożenie odpowiednich środków mających na celu zabezpieczenie danych osobowych. Dlatego też, gdy zagrożenie pandemiczne w dużej mierze minęło, warto przyjrzeć się kwestiom związanym z wprowadzeniem odpowiednich zabezpieczeń tak, aby proces przetwarzania danych osobowych podczas pracy zdalnej był obarczony jak najmniejszym ryzykiem naruszenia praw i wolności osób, których dane dotyczą.

Bezpieczeństwo pracy stacjonarnej

W sytuacji, gdy pracownik wykonuje swoją pracę w biurze organizacji, zdecydowanie łatwiej chronić tajemnicę przedsiębiorstwa oraz dane osobowe. Pracodawca ma kontrolę nad tym, do jakiej sieci łączy się komputer pracownika, ryzyko kradzieży sprzętu służbowego jest stosunkowo niewielkie, a poza tym zawsze można szybko udać się do zespołu IT Helpdesk, który z reguły sprawnie pomoże z wszelkimi problemami natury technicznej.

Podczas pracy zdalnej ryzyko wycieku danych i informacji poufnych jest zdecydowanie większe, o czym szerzej w dalszej części artykułu. Aby zminimalizować ryzyko związane z wymienionymi zagrożeniami, organizacja powinna odpowiednio przeanalizować i zabezpieczyć uprzednio taki proces.

Wymogi prawne

W przypadku przetwarzania danych osobowych, należy zwrócić uwagę na przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych osobowych – popularnie zwanym RODO.

Art. 24 ust. 1 RODO wskazuje, iż:

„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.”

Oznacza to, że w przypadku chęci wprowadzenia pracy zdalnej, zadaniem administratora będzie między innymi ocena ryzyka naruszenia praw lub wolności osób, których dane osobowe dotyczą w kontekście takiego działania. Jako, że RODO nie mówi wprost o tym jakie zabezpieczenia należy wdrożyć (wskazuje jedynie, że muszą być adekwatne), taka ocena będzie punktem wyjściowym do zastosowania odpowiednich zabezpieczeń, tzw. środków technicznych i organizacyjnych. Dodatkowo, należy stale monitorować adekwatność dobranych środków, poddawać je przeglądom i aktualizować.

Ponadto, wdrażając stosowne zabezpieczenia należy zwrócić uwagę także na inne przepisy. Przykładowo, na mocy obowiązującego od dnia 7 kwietnia 2023 r. art. 67²⁶ Kodeksu pracy:

1. Na potrzeby wykonywania pracy zdalnej pracodawca określa procedury ochrony danych osobowych oraz przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie.
2. Pracownik, który wykonuje pracę zdalną, musi potwierdzić zapoznanie się z tymi procedurami oraz zobowiązać się do ich przestrzegania.

Zabezpieczenie pracy zdalnej

Jeśli podejść do wdrożenia pracy zdalnej jako do nowego projektu, proces przeprowadzenia oceny i zabezpieczenia nie będzie szczególnie trudny. Przede wszystkim należy przeanalizować jakie dane osobowe przetwarzamy, dlaczego i na jakiej podstawie prawnej. Ponadto, warto zwrócić też uwagę na to, do jakich danych osobowych będą mieli dostęp poszczególni pracownicy pracujący zdalnie. Ryzyko naruszenia praw lub wolności osób fizycznych będzie inne w przypadku zadań pracownika działu kadr i płac, a inne w przypadku pracownika działu administracji.

Dopiero po przeprowadzeniu analizy należy przejść do rozważenia stosownych środków zabezpieczających. Istnieją dwie podstawowe kategorie środków zabezpieczających:

1. środki techniczne - będą to przede wszystkim rozwiązania mające charakter głównie materialny, odnoszące się do pomieszczeń, w których przetwarzane są dane, w tym również rozwiązania technologiczne i informatyczne.
2. środki organizacyjne - oznaczają wszelkiego rodzaju procedury, polityki, instrukcje, wytyczne oraz szkolenia obowiązujące w danej organizacji.

Administrator ma swobodę co do środków, które może zastosować. Należy mieć jednak świadomość, że odpowiada za ich dobór w odniesieniu do oszacowanego ryzyka naruszenia praw i wolności osób, których dane dotyczą. Niestety RODO nie przewiduje katalogu określonych środków, które należy zastosować. Ustawodawca unijny zakładał, że dzięki technologicznej neutralności, RODO będzie mogło służyć obywatelom przez wiele lat. Niemniej jednak, warto śledzić wszelkiego rodzaju rekomendacje i wytyczne, zarówno te na poziomie Unii Europejskiej jak i krajowe, ponieważ stanowią one cenne wskazówki co do możliwych do zastosowania zabezpieczeń. Należy podkreślić, że rodzaj zabezpieczeń powinien być zawsze skorelowany z zakresem, kontekstem, celami przetwarzania oraz ryzykiem naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającymi z przetwarzania.

Proces pracy zdalnej warto stworzyć również tak, aby wykonujący ją pracownik nie potrzebował do jej prawidłowego wykonywania dokumentów papierowych. Aktualne standardy technologiczne pozwalają, aby zdecydowana większość obowiązków służbowych była wykonywana w pełni na dokumentach elektronicznych. Jeśli jednak specyfika obowiązków danego pracownika wymusza wykorzystywanie dokumentów papierowych, pracownik ten musi obowiązkowo zwrócić takie dokumenty z powrotem do biura albo też dokonać ich zniszczenia w przypadku, gdy będą już one nieprzydatne. Rozwiązanie to wymaga jednak dodatkowych nakładów jak np. udostępnienie niszczarek lub innych rozwiązań pozwalających na bezpieczne niszczenie dokumentów zawierających dane osobowe.

Największe zagrożenia związane z pracą zdalną

Mimo wielu pozytywów, jakie niesie ze sobą praca zdalna, należy liczyć się także ze zwiększonym ryzykiem wystąpienia incydentów i naruszeń ochrony danych osobowych.

Po pierwsze, personel pracujący zdalnie zdecydowanie częściej transportuje służbowy sprzęt – zwiększa się zatem ryzyko jego utraty bądź zniszczenia.

Po drugie, zwiększa się ryzyko naruszenia ze względu na korzystanie z niezabezpieczonych punktów WIFI – praktyka zna przypadki, w których hakerzy uzyskiwali dostęp do danych poprzez monitorowanie ruchu sieciowego (tzw. sniffing), który najprościej osiągnąć można przez źle zabezpieczone hotspoty.

Wzrasta także ryzyko, iż podczas pracy w miejscach publicznych ktoś zwyczajnie będzie w stanie podejrzeć nad czym pracownik aktualnie pracuje bądź też pozyskać dane do logowania do służbowej poczty elektronicznej.¹

Sprzęt prywatny wykorzystywany w celach służbowych

Z różnych przyczyn coraz więcej organizacji dopuszcza także, aby pracownik / współpracownik wykonywał obowiązki służbowe przy pomocy swojego prywatnego laptopa, smartfona lub tabletu. Rozwiązanie to, dostarcza wielu organizacjom szeregu wyzwań, ponieważ w przeciwieństwie do sprzętu, który niejako „powierza się” pracownikowi, tutaj w większości wypadków cały proces zabezpieczenia sprzętu jak i kontroli bezpieczeństwa spoczywa przede wszystkim na pracowniku. Takie działanie określa się jako „przyniesienie własnego urządzenia” (ang. Bring Your Own Device – BYOD).

Aby w sposób możliwie bezpieczny korzystać z polityki BYOD, należy wprowadzić odpowiednie wytyczne i kryteria dopuszczalności takiego rozwiązania, tak aby w wyniku niedopatrzenia nie doszło do naruszenia ochrony danych osobowych lub do ujawnienia informacji objętych tajemnicą przedsiębiorstwa. Warto zwrócić uwagę na pojawiające się dodatkowe wytyczne, choćby Poradnik bezpieczeństwa w zakresie telepracy / pracy zdalnej i używania prywatnych urządzeń (BYOD).² Zawiera on zalecenia dotyczące zabezpieczania urządzeń BYOD wykorzystywanych  do telepracy i zdalnego dostępu, jak również tych, które są bezpośrednio podłączane do sieci organizacji. Poniżej wskazano kilka przykładowych wymagań minimalnych, jakie powinien spełnić sprzęt prywatny wykorzystywany do użytku służbowego

• systemy operacyjne oraz informatyczne wykorzystywane na prywatnym sprzęcie powinny być cały czas wspierane przez producenta; niedopuszczalne zatem będzie wykorzystywanie do pracy systemu operacyjnego Windows 8.1, dla którego wsparcie zostało zakończone 10 stycznia 2023 r.;
• zawsze należy pracować na zaktualizowanym oprogramowaniu, w szczególności jeśli chodzi o system operacyjny oraz oprogramowanie antywirusowe – takie aktualizacje prócz poprawy funkcjonalności systemu zawierają bardzo często wszelkiego rodzaju usprawnienia bezpieczeństwa czy też łatki mające na celu usunięcie luk, które pozwolą osobie nieuprawnionej na przejście przez zabezpieczenia i nieautoryzowany dostęp do danych;
• sprzęt powinien posiadać aktywną zaporę ogniową (np. Microsoft Defender) oraz skonfigurowany i opatrzony aktualnymi bazami danych program antywirusowy;
• hasło dostępowe powinno być odpowiednio skomplikowane (posiadać określoną długość, wykorzystywać wielkie i małe litery, cyfry oraz znaki specjalne), znane tylko użytkownikowi sprzętu oraz niepowtarzalne tzn. wykorzystane tylko w jednym miejscu. Tu z pomocą przychodzi Menedżer haseł - narzędzie, które generuje silne hasła, bezpiecznie je przechowuje i automatycznie wypełnia pola logowania. Menedżer haseł ogranicza zapamiętanie unikalnych, złożonych haseł do minimum — wystarczy zapamiętać tylko główne hasło do samego menedżera;
• konto systemowe służące do wykonywania obowiązków służbowych posiada ograniczone uprawnienia, natomiast dostęp administratora posiada tylko pracownik;
• wykonywanie cyklicznych kopii zapasowych, w przypadku jeżeli pracownik nie ma dostępu do zasobów sieciowych organizacji;
• stosowanie filtrów prywatyzujących na ekran monitora – dzięki czemu wyświetlacz będzie czytelny tylko dla osoby siedzącej na wprost urządzenia;
• zastosowane zostało szyfrowanie dysku komputera – jego odszyfrowanie odbywa się przy pomocy np. wprowadzenia dodatkowego hasła – dzięki temu zabezpieczeniu nawet w przypadku kradzieży i poznania hasła do konta systemowego, w większości przypadków dysk będzie dla złodzieja bezużyteczny;
• automatycznie uruchamiany wygaszacz ekranu, w przypadku braku aktywności np. po 3 minutach;
• dostęp do systemów służbowych możliwy jest jedynie poprzez tzw. sieć VPN (ang. Virtual private network) - VPN tworzy zaszyfrowany tunel dla danych, chroni tożsamość w sieci poprzez ukrycie adresu IP i pozwala bezpiecznie korzystać z sieci Wi-Fi.

Procedurę wykorzystywania sprzętu prywatnego jak również samą procedurę pracy zdalnej warto skonsultować zarówno z prawnikiem/inspektorem ochrony danych jak i informatykiem – dzięki czemu organizacja będzie mieć pewność, że wdraża środki bezpieczeństwa adekwatne do zagrożeń.

Konsekwencje wynikające z naruszenia przepisów RODO

Niewdrożenie odpowiednich środków technicznych i organizacyjnych może pociągać za sobą szereg negatywnych konsekwencji zarówno dla organizacji będącej administratorem danych osobowych jak i dla osoby, której dane osobowe dotyczą. Przede wszystkim w znacznej większości sytuacji odpowiednio dobrane środki zabezpieczające pozwalają jeśli nie na całkowite to przynajmniej znaczne ograniczenie prawdopodobieństwa i konsekwencji działań, które mogą naruszać poufność, integralność i dostępność danych osobowych.

Odpowiednie podejście do wdrożenia środków jest jednym z fundamentów funkcjonowania systemu ochrony danych osobowych w organizacjach.

Powaga omawianego zagadnienia znajduje także potwierdzenie w decyzjach Urzędu Ochrony Danych Osobowych nakładającego kary na administratorów danych osobowych właśnie za niezastosowanie lub nieadekwatne wdrożenie zabezpieczeń w stosunku do zagrożeń. W jednej z wydanych decyzji, Prezes UODO  stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez Virgin Mobile Polska, której następcą prawnym jest P4 Sp. z o.o., odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych ³, a w konsekwencji czego spółka otrzymała dotkliwą karę finansową w wysokości 1,6 mln zł. Należy mieć jednak na uwadze, że za nieprzestrzeganie przepisów RODO grożą surowe kary pieniężne. Maksymalny wymiar kary administracyjnej wynosi do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kara wyższa).

Podsumowanie

Organizacja przygotowująca się do pracy zdalnej powinna wdrożyć odpowiednie środki dotyczące zarówno technicznego zabezpieczenia wykorzystywanego sprzętu, jak również proceduralne, gromadzące zasady postepowania i wytyczne dla pracowników. Bardzo ważne jest także stałe podnoszenie świadomości personelu oraz edukacja. Jak pokazuje niezmienny od lat trend, prawie 95% przypadków incydentów miało charakter nieumyślny, w tym 86% zbadanych naruszeń spowodowano działaniami wewnętrznymi personelu administratora danych osobowych ⁴.

1. Nord VPN - Sniffer - Co to?
2. Poradnik bezpieczeństwa w zakresie telepracy / pracy zdalnej i używania prywatnych urządzeń (BYOD)
3. Decyzja UODO dotycząca Virgin Mobile Polska
4. Raport incydentów 2022