Od niedawna w związku z trudną
sytuacją epidemiologiczną oglądamy w telewizji nową reklamę jednego z dostawców
Internetu, pytającego nas retorycznie, czy dom musi teraz pomieścić jednocześnie
biuro, szkołę i inne aktywności naszego dotychczasowego, codziennego życia. W
praktyce wiemy już, że dom musi pomieścić wszystko a zwiększenie ilości
dostępnego Internetu w prezencie od dostawcy, wydaje się marketingowo trafiać w
nasze potrzeby.
No dobrze, ale jedną kwestią jest to, czy nasz domowy
Internet uciągnie nagłe przeciążenie, a drugie, co zrobić, aby nagle nie
okazało się, że poufne informacje, zawierające dane osobowe naszych klientów
lub tajemnicę przedsiębiorcy przestały być chronione.
CO NA TO PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH
Z pomocą stara się przyjść Prezes Urzędu Ochrony Danych
Osobowych w komunikacie pod tytułem „Ochrona danych osobowych podczas pracy
zdalnej” wydanym na okoliczność epidemii https://uodo.gov.pl/pl/138/1459,
opublikowanym 17 marca 2020 r. na stronach urzędu. Komunikat zawiera dość
ogólne porady, z których część stosować
można i bez epidemii, w związku z upowszechniającą się praktyką pracy zdalnej
wśród tzw. białych kołnierzyków, a nawet trzeba stosować również w ramach pracy
w samym biurze, np. w kwestii potrzeby każdorazowej weryfikacji adresata
nadawanej wiadomości e-mail celem wykluczenia omyłkowej wysyłki do osoby nieupoważnionej
– w końcu pewne minimum staranności obowiązuje nas bez względu na sytuację i
warunki. Z komunikatu wynika nadto, że urządzenia i oprogramowanie przekazane
przez pracodawcę do pracy zdalnej służą do wykonywania obowiązków służbowych,
nie powinniśmy niczego instalować samodzielnie, a to co już mamy, powinno być
zaktualizowane i zabezpieczone systemem antywirusowym.
ZASADY OBOWIĄZUJĄCE W ORGANIZACJI PRZYSŁOWIOWYM GWOŹDZIEM
DO TRUMNY
Komunikat zakłada więc optymistycznie, że wszyscy
otrzymaliśmy, najlepiej jeszcze przed epidemią, służbowe urządzenia przenośne,
należycie skonfigurowane i zabezpieczone, a martwić się możemy najwyżej o
jakość i zabezpieczenie naszego Internetu, jeśli i tego nie zapewnił nam zapobiegliwy
pracodawca. Nie ma tu więc niczego nowego, nie ma też rozwiązań na braki
sprzętowe u pracodawcy, które kryzys może jedynie pogłębić, ale jedno zdanie
powinno jednak dać pracodawcom do myślenia. Jeśli bowiem podsumować zalecenia
Prezesa, to zakładają one, że powinniśmy zawsze stosować się do zasad
obowiązujących w organizacji. I tu pojawia się kwestia, która sama w sobie
będzie albo przeszkodą w zapewnieniu bezpieczeństwa przetwarzania podczas
epidemii albo pomocą.
Pomijam sytuację karygodną, gdy pracodawca nigdy nie
przewidział żadnych zasad. Sporo jednak przedsiębiorców opracowało, spisało i
wdrożyło już zasady pracy na danych osobowych na skutek wejścia w życie w dniu
25 maja 2018 r. Rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w
sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w
sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we
(ogólne rozporządzenie o ochronie danych). Problem w tym, że zasady te zostały często z różnych
przyczyn opracowane jako dość restrykcyjne. Czasami właśnie na skutek strachu
przed kontrolą Prezesa Urzędu Ochrony Danych Osobowych. Niektórzy więc wprost zakazywali
pracy zdalnej pracownikom biurowym albo dopuszczali ją jedynie w marginalnym,
ściśle kontrolowanym zakresie albo wyłącznie przy wykorzystaniu infrastruktury
pracodawcy (czyż nie to sugeruje właśnie Prezes Urzędu Ochrony Danych
Osobowych). Obecnie jednak mamy do czynienia z sytuacją wyjątkową, w której nie
pojedynczy pracownik, ale cała załoga styka się z trudnościami, takimi jak przeciążenie
Internetu, w konsekwencji brak możliwości bezprzewodowego połączenia z siecią pracodawcy,
brak lub przeciążenie Virtual Private Network, wysyłka danych w formie maili na
zasadzie bieżących potrzeb, zaprzestanie archiwizacji danych w miejscach, do
których zwykle zobowiązują regulaminy organizacji, braki sprzętowe. Rozpoczyna
się zatem ratowanie sytuacji poprzez korzystanie z komputerów prywatnych i
sieci domowych. Tego oczywiście większość regulaminów organizacji nie
przewidziała zwykle ze względu na znikomy wpływ pracodawcy na ich
zabezpieczenie, ale również z racji tego, że na komputerach prywatnych mamy
licencje dostawcy oprogramowania typu home, a więc pracując na nich na potrzeby
firmy wchodzi w grę potencjalne naruszenie warunków licencji, a za to przecież
żaden pracodawca odpowiadać nie chce.
WORK FROM
ANYWHERE, ANYTIME, ON ANY DEVICE
Czy zatem należy dojść do konkluzji, że pracownik nie może
korzystać z prywatnego komputera w wyjątkowej, czasowo ograniczonej sytuacji,
uzasadnionej np. brakiem środków pracodawcy na dokupienie sprzętu czy
oprogramowania cloudowego czy zawsze zachowanie najwyższych standardów jest
koniecznością? Obecne czasy zmuszają nas do masowego wdrożenia modelu “work from anywhere, anytime, on any
device”, bo inaczej przestaniemy pracować w ogóle. Jednak to, że
pracujemy na jakichkolwiek urządzeniach nie oznacza, że pracować mamy byle jak.
Ustawy ani rozporządzenia nie powiedzą nam jak skonfigurować bezpieczną sieć,
jak wdrożyć zastępcze archiwizowanie, jak ominąć hackerów – innymi słowy jak
zamienić dom w biuro. Ale to właśnie one przewidziały instytucje, które w miarę
możliwości mogą wypracować właściwe rozwiązania, przy czym właściwe nie oznacza
takie same, jak w biurze.
PLAN AWARYJNY
Chyba więc czas na poważnie potraktować tę całą
dokumentację, którą przedsiębiorcy implementowali u siebie, miejmy nadzieję
wraz z wejściem w życie ogólnego rozporządzenia o ochronie danych, nie jako
zasłonę dymną na wypadek kontroli wdrażającej rzekomo maksymalne bezpieczeństwo,
które z realiami przedsiębiorstwa nie ma wiele wspólnego, a już na pewno w
czasach kryzysyzowych, ale jako dokumentację elastyczną mającą wspomóc
przedsiębiorcę m.in. w takich sytuacjach jak obecna. Dokumentacja musi
zatem przewidywać plany awaryjne, np. na wypadek epidemii, ale i osoby, które
te plany mają wdrożyć, takie jak inspektor ochrony danych czy w odpowiednim zakresie inspektor
bezpieczeństwa i higieny pracy, którzy na bieżąco powinni śledzić komunikaty
Głównego Inspektora Sanitarnego celem dostosowania się do zmieniającej
sytuacji. To oni w związku z tym powinni mieć nadane szczególne uprawnienia w
ramach zaistniałej sytuacji. Plan awaryjny jest po to, aby gdy się
wszystko wali, zminimalizować zagrożenie. Plan nie oznacza narzucenia wyśrubowanych
kryteriów, których nie będziemy w stanie spełnić, ale umożliwić zapewnienie
koniecznego bezpieczeństwa w koniecznym, oznaczonym (nawet jeśli następnie
przedłużanym) czasie.
Plan awaryjny można zrobić na 2 sposoby:
1.
starać się z góry przewidzieć wszystkie możliwie
najbardziej czarne scenariusze, konfrontując je z realiami firmy i wdrożyć do
niego odpowiednie procedury; lub
2.
w związku z tym, że życie lubi zaskakiwać, co
dobitnie przypomniała nam epidemia koronawirusa, powołać odpowiednie osoby i
nadać im odpowiednie uprawnienia do wdrażania tych procedur, w tym uchylania
istniejących procedur być może zbyt ambitnych na czas epidemii, które pomogą
zapewnić konieczny komfort i bezpieczeństwo pracy.
Osobom zaś, na których barkach spocznie
zadanie wdrożenia planu awaryjnego, z pomocą przyjdzie nielubiane i niedoceniane przez
przedsiębiorców narzędzie w postaci prowadzenia oceny skutków dla danych
osobowych, przewidziane w art. 35 ogólnego rozporządzenia o ochronie danych. Oczywiście
nie każdy musi robić taką ocenę, ale każdy może ją wykorzystać. Nie powinien
być to jednorazowy dokument stanowiący kolejną zasłonę dymną na wypadek
kontroli, lecz realny raport zarządczy na potrzeby wewnętrzne, robiony
cyklicznie w formie uproszczonej aktualizacji o zmieniającej się sytuacji,
napotkanych problemach, pomysłach na ich rozwiązanie i efektach przyjęcia danego
rozwiązania.
Jednym z zagrożeń prawidłowego przetwarzania danych
osobowych jest utrata nam nimi kontroli. Brak planu to brak kontroli.
Autorka
jest partnerem w kancelarii Gorazda Świstuń Wątroba i Partnerzy,
specjalistką w zakresie ochrony danych sosbowych.
(https://gsw.com.pl/zespol/natalia-rutkowska)
