Czas na RODO, czyli zbiór informacji, które szczególnie teraz mogą się przydać
Chociaż jeszcze do niedawna nerwowo reagowaliśmy na wszelkie wieści o aktualizacjach związanych z RODO, wdrożyliśmy w naszych firmach potrzebne usprawnienia. Czy w dobie koronawirusa coś się zmienia? Jeśli chcesz dowiedzieć się więcej o ochronie danych osobowych w czasie pandemii, zapraszamy na podsumowanie LIVE’a z Damianem Dziubą, ekspertem z zakresu danych osobowych, wykładowcą i audytorem. W rozmowie z Jarkiem Krawczykiem z Otodom, udało nam się uzyskać odpowiedzi na pytania:
- jak wygląda praca zdalna w związku z obostrzeniami RODO,
- ochrona danych osobowych na nośnikach elektronicznych oraz dokumentach papierowych,
- czym jest analiza ryzyka danych osobowych,
- zdalne podpisywanie umów a RODO,
- jakie są sankcje za ujawnienie danych osobowych.
Zapraszamy na podsumowanie kilku poruszonych zagadnień.
O czym przeczytasz w tym artykule?
Co powinniśmy zrobić, żeby zdalna praca, była zgodna z RODO?
Pierwsza podstawowa rzecz, na która powinniśmy zwrócić uwagę to kwestia zabezpieczenia danych osobowych przetwarzanych przez naszych pracowników w systemie pracy zdalnej. Należy tu wziąć pod uwagę przede wszystkim zabezpieczenia związane z zagrożeniami fizycznymi, jak i zagrożeniami związanymi z infrastrukturą IT. Między innymi mówimy tu o sposobie zabezpieczenia komputera, telefonu, łącza, sposobu porozumiewania się z klientami, z innymi współpracownikami, np. przez różnego rodzaju komunikatory, które być może wcześniej nie były używane. Istotny jest aspekt szacowania ryzyka dla danych osobowych. Musimy pamiętać, ze RODO w głównej mierze opiera się o bezpieczeństwo danych i dotyczy praw i wolności osób fizycznych, których dane dotyczą. Musimy więc wiedzieć, co może tym danym osobowym zagrażać, jakie są niebezpieczeństwa.
W pierwszej kolejności administrator danych powinien zadbać o zabezpieczenie sprzętu, na którym pracownik pracuje. Sprawdzić, czy pracuje na powierzonym mu komputerze czy będzie wykorzystywał urządzenia prywatne. W przypadku sprzętu dostarczanego przez pracodawcę powinniśmy mieć większą pewność co do zabezpieczenia danych – komputery takie mają zaktualizowane oprogramowanie, są zaszyfrowane, programy antywirusowe, niejednokrotnie również szyfrowane dane w używanych komunikatorach typu „end to end”. Natomiast wykorzystywanie sprzętu prywatnego niesie większe ryzyko, związane z niespełnieniem wszelkich zabezpieczających norm. Oczywiście pracownik może wykonywać swoje obowiązki na prywatnym sprzęcie, jednak w takim wypadku powinna zostać wprowadzona procedura regulująca konieczne zabezpieczenia, dodatkowo należy pomyśleć o szkleniu pracowników, po to, aby uczulić ich na próby wycieku takich danych (ataki phishingowe, próby wyłudzenia danych, dostęp osób zewnętrznych) i właściwe zabezpieczenie, zarówno online, jak i w formatach papierowych.
Musimy pamiętać również o zabezpieczaniu telefonu służbowego – istnieje możliwość szyfrowania takiego telefonu, który zawsze powinien być zabezpieczony kodem PIN. Telefon musi być zahasłowany i należy pamiętać o poufności prowadzenia rozmów. Istotnym jest podkreślenie, że nasi domownicy, przy których wykonujemy pracę zdalną, nie są osobami upoważnionymi przez administratora do tego, aby wchodzić w informacje związane z procesami przetwarzania i samych danych osobowych.
Analiza ryzyka danych osobowych – czy da się ją wykonać samemu?
Taką analizę wykonuje administrator danych i powinien mieć ją gotową na dzień 25 maja 2018 roku, a nie dopiero teraz w dobie pandemii. Co więcej, na podstawie artykułu 32 powinniśmy sprawdzić, czy ta analiza i środki, które były stosowane do tej pory wciąż się sprawdzają, czy należy wdrożyć jakieś zmiany/zabezpieczenia. Ryzyka powinniśmy sprawdzać, powinniśmy udoskonalać metody ich redukcji. Pomoc osób, które zajmują się tym profesjonalnie jest oczywiście zasadna i skuteczna, ale wystarczy sięgnąć na stronę https://uodo.gov.pl/ , gdzie można znaleźć wszelkiego rodzaju poradniki, wytyczne w jaki sposób tę analizę powinniśmy przeprowadzić. Musimy także pamiętać o zarządzaniu ryzykiem.
A co z dokumentacją papierową?
Czy któreś dokumenty muszą zostać w biurze i nie można ich zabrać do domu? Co do zasady o tym decyduje administrator danych. Jeśli więc przetwarzanie takich dokumentów w warunkach domowych jest niezbędne do zachowania ciągłości pracy, oczywiście należy je przetwarzać. Niemniej trzeba zachować odpowiednie środki ostrożności, żeby takie dane, podobnie jak w przypadku danych dostępnych online, nie dostały się w niepowołane ręce. W momencie pobierania takich dokumentów z biura warto pamiętać o inwenturze – kto je pobrał, kiedy, kiedy zwrócił, itp. W jaki sposób podpisać umowę, np. rezerwacji mieszkania, w taki sposób, żeby zabezpieczyć dane. Dokumenty powinny być zabezpieczone – szyfrowany mail, sam dokument też powinien być dodatkowo zabezpieczony hasłem. Hasło powinno być podane innym środkiem komunikacji, np. SMS.
Na co jeszcze powinniśmy zwrócić uwagę w czasie pracy zdalnej? Czy RODO jeszcze czegoś wymaga?
Administrator powinien poza aktualizacją ryzyka powinien przejrzeć zakresy upoważnień (być może w czasie pracy zdalnej rozszerzył uprawnienia pracownikowi), dodatkowo prowadzone rejestry, przeanalizować konieczność przeprowadzenia oceny skutków przetwarzania danych osobowych, o której mowa w art. 35 RODO. Dobrym rozwiązaniem jest audyt podmiotu przetwarzającego dane osobowe w związku z nową sytuacją, bowiem musimy pamiętać, że administrator w dalszym ciągu będzie za te dane odpowiedzialny. Jakie pytania zadać podmiotowi przetwarzającemu? Część z tych pytań można znaleźć na blogu mojej strony www.rodokontrola.pl
Podczas rozmowy przypomnieliśmy również inne ciekawe kwestie związane z RODO, na które jako pośrednicy, deweloperzy, ale także klienci powinniśmy zwracać uwagę.
Śledź na bieżąco relacje z naszymi ekspertami w Otodom.
Damian Dziuba – absolwent Wydziału Prawa i Administracji studiów podyplomowych Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Wykładowca z zakresu ochrony danych osobowych na Collegium Humanum Wyższej Szkole Menedżerskiej w Warszawie na kierunku Inspektor Ochrony Danych. Certyfikowany audytor Systemu Zarządzania Bezpieczeństwem Informacji normy: PN/ISO: 27001. Szkoleniowiec, audytor, wdrożeniowiec RODO w kilkudziesięciu podmiotach na terenie całego kraju, współpracujący z firmami szkoleniowymi. Od ponad 12 lat związany z procesami HR w tym: zarządzał kilkoma agencjami pracy tymczasowej, zaś od 2015 roku pełnił rolę administratora bezpieczeństwa informacji w APT, obecnie inspektor ochrony danych osobowych w kilku podmiotach.