Praca zdalna a ochrona danych osobowych – jak zabezpieczyć organizację

Praca zdalna zwiększa ryzyko wycieku danych osobowych i informacji poufnych. Jako administrator danych odpowiadasz za wdrożenie środków technicznych i organizacyjnych adekwatnych do zagrożeń. Poniżej znajdziesz konkretne wymagania prawne, listę najczęstszych ryzyk oraz minimalne zabezpieczenia, które warto wdrożyć – zanim pojawi się incydent.

Dlaczego praca zdalna oznacza wyższe ryzyko niż praca stacjonarna

W biurze kontrolujesz środowisko przetwarzania danych: sieć, sprzęt, fizyczny dostęp do dokumentów, bliskość zespołu IT. Przy pracy zdalnej tracisz większość tych przewag.

Różnice w poziomie ryzyka:

• Sieć – w biurze pracownik łączy się z zabezpieczoną siecią firmową. Zdalnie – często z domowego lub publicznego Wi-Fi.
• Sprzęt – w biurze laptop nie opuszcza budynku. Przy pracy zdalnej jest transportowany, co zwiększa ryzyko kradzieży lub zniszczenia.
• Wsparcie IT – w biurze reakcja jest natychmiastowa. Zdalnie – opóźniona lub ograniczona.
• Dostęp osób trzecich – w biurze obowiązuje kontrola dostępu. W domu lub kawiarni ktoś może podejrzeć ekran lub dane logowania.

Wniosek: jeśli wdrażasz lub utrzymujesz pracę zdalną, musisz osobno przeanalizować i zabezpieczyć ten proces.

Wymogi prawne – co musisz spełnić

RODO – art. 24 ust. 1

RODO zobowiązuje Cię do wdrożenia odpowiednich środków technicznych i organizacyjnych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.

W praktyce oznacza to:

• Przeprowadź ocenę ryzyka – zanim uruchomisz pracę zdalną, oszacuj, jakie dane będą przetwarzane poza biurem i jakie zagrożenia się z tym wiążą.
• Dobierz zabezpieczenia adekwatne do ryzyka – RODO nie podaje gotowej listy środków. Odpowiadasz za to, żeby dobrane rozwiązania były proporcjonalne do zidentyfikowanych zagrożeń.
• Monitoruj i aktualizuj – zabezpieczenia wymagają regularnych przeglądów. To, co było wystarczające rok temu, dziś może nie spełniać standardu.

Kodeks pracy – art. 67²⁶ (obowiązuje od 7 kwietnia 2023 r.)

Przepis nakłada na Ciebie dwa obowiązki:

1. Określ procedury ochrony danych osobowych na potrzeby pracy zdalnej oraz przeprowadź instruktaż i szkolenie.
2. Odbierz od pracownika pisemne potwierdzenie, że zapoznał się z procedurami i zobowiązał się do ich przestrzegania.

Jeśli tego nie zrobisz, brakuje Ci formalnej podstawy do egzekwowania zasad bezpieczeństwa wobec pracownika.

Jak zabezpieczyć pracę zdalną – krok po kroku

Potraktuj wdrożenie pracy zdalnej jak projekt. Zacznij od analizy, potem dobierz środki.

Krok 1: Przeanalizuj dane

• Ustal, jakie kategorie danych osobowych przetwarzasz (dane kadrowe, dane klientów, dane wrażliwe).
• Sprawdź, na jakiej podstawie prawnej je przetwarzasz.
• Określ, do jakich danych będą mieli dostęp poszczególni pracownicy – ryzyko przy pracy zdalnej pracownika działu kadr i płac jest inne niż pracownika administracji.

Krok 2: Dobierz środki zabezpieczające

Istnieją dwie kategorie środków:

• Środki techniczne – rozwiązania materialne, technologiczne i informatyczne: szyfrowanie, VPN, zapory ogniowe, konfiguracja sprzętu, zabezpieczenie sieci.
• Środki organizacyjne – procedury, polityki, instrukcje, wytyczne, szkolenia obowiązujące w organizacji.

Masz swobodę w doborze konkretnych rozwiązań, ale odpowiadasz za ich adekwatność wobec oszacowanego ryzyka. Śledź rekomendacje i wytyczne – zarówno unijne, jak i krajowe – stanowią cenne wskazówki.

Krok 3: Wyeliminuj dokumenty papierowe

Zaprojektuj proces pracy zdalnej tak, aby pracownik nie potrzebował dokumentów papierowych. Aktualne standardy technologiczne pozwalają na pełną digitalizację większości obowiązków.

Jeśli papierowe dokumenty są niezbędne:

• Pracownik musi zwrócić je do biura po zakończeniu pracy.
• Jeśli dokumenty są już nieprzydatne – musi je zniszczyć w bezpieczny sposób.
• Zapewnij narzędzia do niszczenia (niszczarki lub inne rozwiązania) – to Twój koszt i Twoja odpowiedzialność.

Największe zagrożenia związane z pracą zdalną

Trzy główne ryzyka, z którymi musisz się liczyć:

1. Ryzyko utraty lub zniszczenia sprzętu – pracownicy zdalni transportują laptopy i telefony zdecydowanie częściej niż pracownicy biurowi.
2. Ryzyko przechwycenia danych przez niezabezpieczone Wi-Fi – hakerzy monitorują ruch sieciowy (tzw. sniffing – technika polegająca na przechwytywaniu danych przesyłanych w sieci) przez źle zabezpieczone hotspoty i w ten sposób uzyskują dostęp do danych.
3. Ryzyko podejrzenia ekranu lub danych logowania – w miejscach publicznych ktoś może zobaczyć, nad czym pracownik pracuje, albo odczytać hasło do służbowej poczty.

Sprzęt prywatny w celach służbowych (BYOD)

BYOD (Bring Your Own Device – „przyniesienie własnego urządzenia") to model, w którym pracownik lub współpracownik wykonuje obowiązki służbowe na prywatnym laptopie, smartfonie lub tablecie.

Problem: w odróżnieniu od sprzętu służbowego, przy BYOD cały proces zabezpieczenia i kontroli bezpieczeństwa spoczywa głównie na pracowniku. Dlatego musisz wprowadzić jasne wytyczne i kryteria dopuszczalności – w przeciwnym razie ryzykujesz naruszenie ochrony danych osobowych lub ujawnienie informacji objętych tajemnicą przedsiębiorstwa.

Minimalne wymagania dla sprzętu BYOD

• System operacyjny wspierany przez producenta – niedopuszczalne jest korzystanie np. z Windows 8.1 (wsparcie zakończone 10 stycznia 2023 r.).
• Aktualne oprogramowanie – przede wszystkim system operacyjny i antywirus. Aktualizacje zawierają łatki bezpieczeństwa usuwające luki umożliwiające nieautoryzowany dostęp.
• Aktywna zapora ogniowa (np. Microsoft Defender) oraz skonfigurowany program antywirusowy z aktualnymi bazami danych.
• Silne, unikalne hasło dostępowe – odpowiednia długość, wielkie i małe litery, cyfry, znaki specjalne. Hasło znane tylko użytkownikowi i użyte wyłącznie w jednym miejscu. Wdróż menedżer haseł – narzędzie, które generuje silne hasła, przechowuje je i automatycznie wypełnia pola logowania. Pracownik zapamiętuje tylko jedno hasło główne.
• Ograniczone uprawnienia konta służbowego – konto do pracy codziennej bez uprawnień administratora. Dostęp administratora posiada wyłącznie pracownik (do zarządzania własnym sprzętem).
• Cykliczne kopie zapasowe – szczególnie gdy pracownik nie ma dostępu do zasobów sieciowych organizacji.
• Filtr prywatyzujący na ekran – ogranicza widoczność wyświetlacza do osoby siedzącej na wprost urządzenia.
• Szyfrowanie dysku – odszyfrowanie wymaga dodatkowego hasła. Nawet w przypadku kradzieży i poznania hasła do konta systemowego dysk pozostaje w większości przypadków bezużyteczny dla złodzieja.
• Automatyczny wygaszacz ekranu – uruchamiany po braku aktywności, np. po 3 minutach.
• Dostęp do systemów służbowych wyłącznie przez VPN (Virtual Private Network) – VPN tworzy zaszyfrowany tunel dla danych, ukrywa adres IP i pozwala bezpiecznie korzystać z Wi-Fi.

Procedurę BYOD i procedurę pracy zdalnej skonsultuj z prawnikiem lub inspektorem ochrony danych oraz z informatykiem. Dzięki temu masz pewność, że wdrażane środki są adekwatne do rzeczywistych zagrożeń.

Konsekwencje braku zabezpieczeń

Niewdrożenie odpowiednich środków technicznych i organizacyjnych naraża Twoją organizację na realne straty – finansowe, wizerunkowe i operacyjne.

Co ryzykujesz

• Naruszenie poufności, integralności lub dostępności danych – czyli wyciek, zmianę lub utratę danych osobowych przetwarzanych w organizacji.
• Kara administracyjna od Prezesa UODO – maksymalnie do 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu (zastosowanie ma kwota wyższa).
• Odpowiedzialność wobec osób, których dane dotyczą – roszczenia odszkodowawcze i utrata zaufania.

Przykład z praktyki

Prezes UODO nałożył karę 1,6 mln zł na Virgin Mobile Polska (następca prawny: P4 Sp. z o.o.) za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych.

Podsumowanie – co wdrożyć i w jakiej kolejności

1. Przeprowadź ocenę ryzyka dla pracy zdalnej – uwzględnij kategorie danych, role pracowników i środowisko pracy.
2. Dobierz środki techniczne – szyfrowanie, VPN, zapory ogniowe, aktualne oprogramowanie, menedżer haseł.
3. Przygotuj środki organizacyjne – procedury ochrony danych przy pracy zdalnej, politykę BYOD, instrukcje postępowania z dokumentami papierowymi.
4. Przeszkol pracowników i odbierz pisemne potwierdzenie zapoznania się z procedurami (wymóg art. 67²⁶ Kodeksu pracy).
5. Monitoruj i aktualizuj – regularnie przeglądaj adekwatność wdrożonych zabezpieczeń.

Statystyki potwierdzają wagę szkoleń: prawie 95% incydentów ma charakter nieumyślny, a 86% zbadanych naruszeń spowodował personel administratora danych.

Źródła:

1. NordVPN – Sniffer: co to?
2. Poradnik bezpieczeństwa w zakresie telepracy / pracy zdalnej i używania prywatnych urządzeń (BYOD)
3. Decyzja UODO dotycząca Virgin Mobile Polska
4. Raport incydentów 2022 – ZFODO

Często zadawane pytania

Jakie obowiązki dotyczące ochrony danych musi spełnić pracodawca przy pracy zdalnej? RODO (art. 24 ust. 1) wymaga od Ciebie przeprowadzenia oceny ryzyka, dobrania środków technicznych i organizacyjnych adekwatnych do zagrożeń oraz ich regularnego monitorowania i aktualizowania. Kodeks pracy (art. 67²⁶, obowiązujący od 7 kwietnia 2023 r.) nakłada dodatkowo dwa obowiązki: musisz określić procedury ochrony danych na potrzeby pracy zdalnej wraz z instruktażem i szkoleniem, a następnie odebrać od pracownika pisemne potwierdzenie zapoznania się z tymi procedurami. Bez tego potwierdzenia nie masz formalnej podstawy do egzekwowania zasad bezpieczeństwa wobec pracownika.

Jakie są najważniejsze ryzyka dla danych osobowych przy pracy zdalnej? Trzy główne zagrożenia to: ryzyko utraty lub zniszczenia sprzętu (pracownicy zdalni transportują laptopy i telefony znacznie częściej niż pracownicy biurowi), ryzyko przechwycenia danych przez niezabezpieczone Wi-Fi (hakerzy monitorują ruch sieciowy przez źle zabezpieczone hotspoty techniką zwaną sniffingiem) oraz ryzyko podejrzenia ekranu lub danych logowania w miejscach publicznych. Do tego dochodzi ograniczone wsparcie IT i brak fizycznej kontroli dostępu, które w biurze stanowią naturalną barierę ochronną.

Jak krok po kroku zabezpieczyć pracę zdalną w firmie zgodnie z RODO? Zacznij od analizy danych – ustal, jakie kategorie danych osobowych przetwarzasz, na jakiej podstawie prawnej i którzy pracownicy będą mieli do nich dostęp zdalny. Następnie dobierz środki techniczne (szyfrowanie dysków, VPN, zapory ogniowe, aktualne oprogramowanie, menedżer haseł) oraz środki organizacyjne (procedury ochrony danych przy pracy zdalnej, politykę BYOD, instrukcje postępowania z dokumentami papierowymi). Na końcu przeszkol pracowników, odbierz pisemne potwierdzenia zapoznania się z procedurami i regularnie przeglądaj adekwatność wdrożonych zabezpieczeń – to, co było wystarczające rok temu, dziś może nie spełniać standardu.

Czy można dopuścić prywatny laptop pracownika do pracy z danymi osobowymi i jakie warunki trzeba wtedy spełnić? Można, ale musisz wprowadzić jasne wytyczne i minimalne wymagania techniczne, bo przy BYOD cały proces zabezpieczenia spoczywa głównie na pracowniku. Wymagania obejmują: system operacyjny wspierany przez producenta, aktualne oprogramowanie i antywirus, aktywną zaporę ogniową, silne unikalne hasło z menedżerem haseł, konto służbowe bez uprawnień administratora, cykliczne kopie zapasowe, filtr prywatyzujący na ekran, szyfrowanie dysku, automatyczny wygaszacz ekranu oraz dostęp do systemów służbowych wyłącznie przez VPN. Procedurę BYOD skonsultuj z prawnikiem lub inspektorem ochrony danych oraz z informatykiem.

Co grozi firmie, jeśli nie wdroży odpowiednich zabezpieczeń danych przy pracy zdalnej? Ryzykujesz naruszenie poufności, integralności lub dostępności danych osobowych, karę administracyjną od Prezesa UODO do 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu (zastosowanie ma kwota wyższa) oraz roszczenia odszkodowawcze od osób, których dane dotyczą. Przykład z praktyki: Prezes UODO nałożył karę 1,6 mln zł na Virgin Mobile Polska za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych.