Praca zdalna – Analiza Ryzyka

 

Praca zdalna nie jest nowym procesem, który ma znaleźć odzwierciedlenie w Rejestrze Czynności Przetwarzania (RCzP) a w większości znajdzie się w procesach:

1.    Prowadzenie dokumentacji osobowej pracowników;

2. Monitoring poczty i ruchu sieciowego;

3. Obsługa korespondencji papierowej przychodzącej i wychodzącej;

4. Bezpieczeństwo teleinformatyczne;

5. Platforma programistyczna.

Jak przeprowadzić taką analizę omówiłem w filmie:

https://youtu.be/dBLNOJzUJaU

Jak się podobało daj „łapkę w górę” oraz za „Subskrybuj” kanał.

Badanie trzeźwości i na obecność narkotyków – Analiza Ryzyka

 

Badanie trzeźwości i na obecność narkotyków nie jest procesem nowym który ma znaleźć odzwierciedlenie w Rejestrze Czynności Przetwarzania (RCzP) a w większości znajdzie się w procesie:

1. Prowadzenie dokumentacji osobowej pracowników;

2. Monitoring wizyjny.

Jak przeprowadzić taką analizę omówiłem w filmie:

https://youtu.be/WOuCU8HQtgQ

Jak się podobało daj „łapkę w górę” oraz za „Subskrybuj” kanał.

Obowiązek informacyjny

 

Obowiązek informacyjny można zrealizować poprzez politykę warstwową, gdzie w kolejnych warstwach coraz precyzyjniej informujemy osobę o tym kto jest administratorem (ADO), jakie ma prawa itd.

Warstwa I – to znak np.: kamerka, czyli Uwaga obiekt monitorowany

Warstwa II – zawiera szczątkowe informacje o ADO

Warstwa III – zawiera pełne informacje i jest realizowana np.: na portierni tuz przy wejściu do firmy.

Szczególnie sprawdza się właśnie we wspomnianym monitoringu telewizyjnym, gdzie chronimy duży obszar a mamy obowiązki wobec osób wchodzących w zakres kamer.

Szczegóły omówiłem w filmie na YT:

https://youtu.be/HVdD8xcnuhU

 

Wymagania dotyczące zastosowania środków kontroli i bezpieczeństwa oraz stopień ich wypełnienia

 

Jeżeli nie mamy Inspektora Ochrony Danych oraz brakuje specjalisty od RODO to możemy skorzystać z podręcznika UODO: Jak stosować podejście oparte na ryzyku? cz 2. W nim znajdziemy krok po kroku zapisy co mamy zrobić aby wdrożyć RODO w firmie. I tak odnośnie zabezpieczeń:

zabezpieczeń organizacyjnych, tj. środków organizacyjnych oraz wymagań dotyczących polityki zarządzania procesem przetwarzania, w tym zastosowanych procedur:

- zarządzania projektem,

- zarządzania incydentami,

- zarządzania personelem,

- zarządzania udziałem stron trzecich, w tym podmiotów przetwarzających,

- zarządzania eksploatacją używanych systemów i innych narzędzi przetwarzania danych,

- sposobu nadzoru, w tym audytów i raportowania alertów.

środków kontroli logicznej procesu przetwarzania, w tym wymagań dotyczących zastosowania takich środków ochrony, jak:

- anonimizacja i pseudonimizacja,

- środki ochrony kryptograficznej,

- środki kontroli integralności danych,

- środki kontroli dostępu do danych,

- środki kontroli dotyczące rozliczalności wykonywanych operacji,

- środki wspierające weryfikację danych na etapie ich wprowadzania, typu: zgodność z wzorcem, podanymi wartościami granicznymi itp.,

- środki bieżącego monitoringu,

- zastosowane środki ochrony przed działaniem oprogramowania szkodliwego typu wirusy, środki szpiegujące, środki służące ochronie przed wykradaniem danych itp.

- środki ochrony sieci przed działaniem osób z zewnątrz. 

środków ochrony fizycznej wszystkich aktywów informacyjnych i technicznych, w tym:

- dotyczących miejsca przetwarzania danych, takich jak: ukształtowanie terenu (np. podatność na powódź, wyładowania atmosferyczne itp.), sąsiedztwo obiektów lub podmiotów, mogących wpływać na bezpieczeństwo, jak np. lotnisko, stacja paliw, zakłady przetwórstwa chemicznego itp.,

- środków bezpieczeństwa infrastruktury technicznej wykorzystywanej do przetwarzania danych,

- środków bezpieczeństwa dokumentacji papierowej, w tym papierowych rejestrów zawierających dane osobowe,

- środków bezpieczeństwa związanych z przepływem informacji w postaci dokumentów papierowych lub nośników elektronicznych,

- środków ochrony przed żywiołami niezależnymi od człowieka, typu ogień, woda.

Zawsze później można zlecić monitoring całości lub najbardziej niepokojącego nas fragmentu zewnętrznemu specjaliści, który podpowie, czy jest dobrze czy też co należy poprawić. Jest to tańsza forma wdrożenia RODO i na pewno ekonomiczniejsza dla większości małych i średnich firm. 

Domyślna ochrona danych o co chodzi?

 

Domyślna ochrona danych to takie zastosowanie środków technicznych i organizacyjnych aby w sposób domyślny, nawet w systemach elektronicznych, przetwarzanie było ograniczone do danych osobowych które są niezbędne do osiągnięcia tego konkretnego celu w tym pod celów. Czyli jeżeli w procesie rozliczania podróży służbowej istnieje ścieżka przechodząca przez 10 osób to każda z nich przetwarza tylko te dane osobowe które są jej niezbędne do realizacji swojego pod celu. Co to oznacza? Przykładowo jeżeli ktoś potrzebuje zidentyfikować jakim pojazdem byłem w podróży służbowej to powinien mieć dostęp do numeru rejestracyjnego typu marki, pojemności, bo oszacuje  jaka wartość za kilometr się należy ale jeżeli już rozlicza tylko i wyłącznie wartość która nam się należy z tytułu spania w hotelu czy posiłku to numer rejestracyjny nie jest mu potrzebny czy typ pojazdu jego marka zwłaszcza jak to jest pojazd prywatny. Praca ma być tak zorganizowana, aby w poszczególnych etapach był spełniony ten warunek ponieważ obowiązek ten odnosi się do ilości zbieranych danych, ich zakresu, okresu przechowywania i ilości osób którym się udostępnia. Czyli jak już widać z samej definicji RODO mocno porządkuje przebieg obiegu i strukturę organizacyjną firmy zwyczajnie ucina nadmiarowe przetwarzanie. Jak to zastosować w praktyce w jednej komórce organizacyjnej na przykład finansowej? Bardzo prosto przydzielamy po prostu każdemu z pracowników daną grupę do rozliczeń na przykład biurami, działami, komórkami lub zakładami co domyślnie stanowi, że ma dostęp tylko i wyłącznie do danych przyporządkowanych sobie osób. A co w przypadku, kiedy jedna osoba nie daje sobie rady i druga musi ją wspomóc? Wtedy w ramach rozliczalności upoważniamy na krótki okres drugą osobę która ją wspomaga i to musi być odnotowane w systemie nie możemy z góry na cały czas przypisać dwóm osobom jeżeli cały czas na tych danych nie pracują czyli z charakteru pracy nie wynika że muszą to być dwie osoby. Co w przypadku, kiedy ktoś pójdzie na L-4? Wtedy przełożony w danym dniu upoważnia inną osobę na zastępstwo i to też musi być odnotowane w systemie oczywiście czy zrobił to na zasadzie że krążą dokumenty czy będzie to tylko mail informujący osoby które muszą ustawić dostępy do systemu czyli informatyków ale najważniejsze aby w tym czasie powiadomić IODę o takiej sytuacji.  

Praca zdalna a odpowiedzialność karna informatyka

 

Kodeks pracy wprowadza pracę zdalna, ale to generuje wyzwanie dla informatyków z RODO oraz Kodeksu Karnego. Sprawa rozbija się o sieć prywatną pracownika. Zgodnie z art. 267 KK

Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej (…) podłączając się do sieci (…) informatyczne (…) podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2 Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

A taki dostęp uzyskuje informatyka jak praca zdalna jest realizowana przez pracownika w domu. Będzie się musiał mocno nagłowić jak to zrobić, aby nie oberwać z tego artykułu oraz rykoszetem z RODO.

Wyobraźmy sobie scenariusz, że pracownik jest w konflikcie z pracodawcą i najpierw zgłasza do prokuratury podejrzenie przestępstwa popełnionego przez konkretnego informatyka. Ten broniąc się wskazuje dyrektora, który mu kazał a tamten zarząd firmy. Kółko się zamyka a jednocześnie trwają sprawy z KC przeciwko im wszystkim w etapach za naruszenie RODO. Wtedy to pracownik zyskuje lewary na pracodawcę a konsekwencje karne ponosi informatyk oraz dyscyplinarne, bo w pierwszym odruchu pracodawca go zwalnia dyscyplinarnie. Paradoksalnie to przestrzeganie RODO przez informatyka może mu uratować skórę. Ale to temat na inny wpis.

Czy RODO dotyczy branży, w której działasz?

 

Ochrona danych osobowych nakłada na przedsiębiorców obowiązek dostosowania zasad działalności do przepisów RODO. Poniżej zapisałem w 5 krokach opis minimalnych działań, jakie należy wykonać.

Krok 1. Sprawdź czy RODO Ciebie dotyczy (raczej nie spotkałem firmy, której nie dotyczy, ale kto wie)

Obowiązki wynikające z przepisów o ochronie danych osobowych spoczywają na firmach prowadzących działalnością gospodarczą i to bez względu na wielkość czy obrót przedsiębiorstwa. Czynnikiem decydującym jest przetwarzanie danych osobowych w ramach czynności o charakterze biznesowym np.: prowadzisz firmę zajmującą się doradztwem, projektowaniem, budową, przetwarzaniem odpadów czy też sprzedajesz urządzenia czy części itp., z całą pewnością powinieneś podjąć działania mające na celu wdrożenie zasad ochrony danych osobowych (DO). Oznacza to, że jesteś administratorem danych osobowych (ADO), na którym spoczywają liczne obowiązki wynikające z przepisów RODO.

 

Krok 2. Przeanalizuj jakie dane osobowe i w jakim celu przetwarzasz

Czynność polega na ustaleniu z jakimi danymi osobowymi mamy do czynienia przy prowadzeniu działalności gospodarczej oraz oszacowanie jakie ryzyko wiąże się z naruszeniem praw i wolności osób, których dane przetwarzasz. Najczęściej będą to dane zwykłej takie jak: imię, nazwisko, adres siedziby, numer telefonu, adres e-mail dotyczące osób fizycznych, w tym prowadzących działalność gospodarczą. Jeśli jednak firma zatrudnia pracowników, zakres przetwarzania będzie szerszy i obejmuje tzw. dane wrażliwe (badania medycyny pracy). W zależności od celu w jakim dane są zbierane i wykorzystywane, z ich przetwarzaniem mogą wiązać się dodatkowe działania jak pozyskanie zgody przy wysyłce newslettera. Tu pamiętamy, że osoba może w każdej chwili wycofać zgodę a to oznacza usunięcie jej DO. Po zidentyfikowaniu wszystkich procesów na danych osobowych jakie przetwarzamy w firmie,  oszacujemy prawdopodobieństwa i skutków nieuprawnionego ujawnienia czy dostępu do danych osobowych, czyli wykonujemy analizę ryzyka.

 

Krok 3. Opracuj podstawowe zasady przetwarzania danych osobowych

W zależności od rodzaju i sposób przetwarzania danych osobowych zaleca się opracowanie oraz wdrożenie do stosowania w firmie odpowiednich polityk ochrony danych. Polityka stanowi zbiór procedur i instrukcji regulujących m.in. sposób postępowania w razie np.: wystąpienia naruszenia ochrony danych, tryb realizacji żądań osób, których dane dotyczą, zasad retencji danych czy sposobu spełniania obowiązku informacyjnego. W większości firm w określonej branży występuje specyfika przetwarzanie danych osobowych. Każda firma zatrudniająca pracowników prowadzi rejestr czynności przetwarzania, stanowiącego usystematyzowaną mapę czynności przetwarzania DO.

 

Krok 4. Zastosuj środki ochrony danych osobowych

Konsekwencją oceny jest dobór właściwych środków technicznych i organizacyjnych celem zapewnienia bezpieczeństwa danych. Decydując się na konkretne środki należy kierować się proporcjonalnością zabezpieczeń do okoliczności przetwarzania i związanego z nim ryzyka, ale również uwzględnić stan aktualnej wiedzy technicznej czy koszt wdrażania dostępnych na rynku środków bezpieczeństwa. Do podstawowych środków organizacyjnych w firmie zalicza się m.in. umożliwienie przetwarzania danych osobowych wyłącznie upoważnionym i przeszkolonym pracownikom, którzy dodatkowo zobowiązali się do zachowania danych w poufności oraz  organizację obszaru przetwarzania (miejsca pracy) tak, aby uniknąć dostępu osób nieupoważnionych do danych. Minimalnymi środkami technicznymi służącymi ochronie danych przetwarzanych w systemach IT są w szczególności programy antywirusowe, firewall, tworzenie kopii zapasowych czy dostęp do systemów przy użyciu indywidualnych identyfikatorów i bezpiecznych haseł logowania.

 

Krok 5. Zastanów się nad profesjonalnym doradztwem Inspektora Ochrony Danych

Jeśli kroki opisane powyżej wydają się zbyt skomplikowane, najlepiej zlecić wdrożenie wymogów RODO Inspektorowi ochrony danych (IOD) lub specjaliście w tej dziedzinie. Ochrona danych osobowych jak każda inna dziedzina wymaga wsparcia osób specjalizujących się w tym obszarze i dlatego można to zadanie zlecić osobie zewnętrznej. Natomiast w sytuacji, w której w firma już wprowadziła przepisy o ochronie danych osobowych, warto rozważyć zlecenie okresowego audytu ochrony danych lub sprawdzenia jakiegoś procesu specjaliście zewnętrznemu, który potwierdzi zgodność procesów z RODO lub pozwoli na wskazanie obszarów wymagających podjęcia dodatkowych działań. Nieprzestrzeganie przepisów ochronie danych osobowych może się bowiem wiązać z odpowiedzialnością karną, cywilną czy administracyjną mogącą sięgać nawet kilku milionów EUR. Każda z tych odpowiedzialności może być egzekwowana niezależnie od siebie.

Ustanowienie kontekstu przetwarzania danych.

 

Ustanowienie kontekstu to określenie wszystkich informacji i sposobów przetwarzania, które korzystają z danych osobowych. Można je podzielić na zewnętrzne i wewnętrzna.

Do info zewnętrznych zaliczamy:

* informacje dotyczące środowiska prawnego,

* informacje dotyczące środowiska społecznego,

* informacje dotyczące środowiska politycznego,

* informacje dotyczące korzystania z usług lub zasobów podmiotów zewnętrznych,

* informacje o zasięgu terytorialnym działalności organizacji.

Do info wewnętrznych zaliczamy:

* strukturę i rozmiary organizacji,

* strategie i polityki stosowane w organizacji,

* systemy obiegu informacji, procesy podejmowania decyzji, rola przywództwa,

* informacje dotyczące środowiska technologicznego i możliwości jego zmian (finansowych, technicznych, organizacyjnych),

* normy i standardy przyjęte przez organizację, tzw. kultura organizacyjna.

Odpowiedzialność Rady Nadzorczej za RODO.

 

Członek rady nadzorczej nie odpowiada za szkodę wywołaną RODO, jeżeli udowodni, że nie ponosi winy. Jednak zapis art. 483 § 3 kodeksu spółek handlowych określa co musi zrobić, czyli musi działać na podstawie analiz i opinii, aby dokonać starannej oceny. Przekładając to na przykład dotyczący wprowadzenia zmian w kodeksie pracy w zakresie badania trzeźwości i pracy zdalnej powinien zażądać od Administratora analizy ryzyka a od IODy opinii (sugestii) w tych tematach. Dobra praktyka wskazuje, aby IODa napisał dwie osobne opinie: badanie trzeźwości i pracę zdalną, ponieważ to są dwa dość odmienne procesy przetwarzania danych osobowych.

Kara dla Sądu od UODO za pendrive

 

UODO ukarało sąd za prywatne pendrive. Z tego płynie lekcja, że zaszyfrowany, ale zgubiony pendrive nie jest naruszeniem. Jednak ciekawe jest uzasadnienie i wnioski jakie płyną z dokumentu. UODO wyjaśnia w szerszy sposób jak przetwarzać DO w zgodzie z RODO. Wykonałem wideo podsumowanie na ok 20 min.

Link: Opis decyzji UODO dot Sądu