Ochrona danych osobowych w trybie home office. Praca zdalna to wyzwanie dla bezpieczeństwa danych osobowych. Jak zadbać o nie w nowej rzeczywistości? Co zrobić, aby po powrocie do biur były one jeszcze lepiej chronione przed niekontrolowanym wyciekiem informacji?
Za dane firmowe odpowiedzialny jest zarówno pracodawca, jak i pracownik. Wprowadzając nowe procedury warto je wdrożyć skutecznie, aby służyły nam na lata – nawet, gdy wrócimy do normalnego funkcjonowania. Dlatego ochrona danych osobowych jest taka ważna. Organizując pracę zdalną swojego personelu firma powinna zadbać przede wszystkim o następujące elementy dotyczące urządzeń mobilnych:
- szyfrowanie dysków, kart pamięci lub innych elektronicznych nośników informacji,
- przyznanie pracownikom praw dostępu adekwatnych do ich roli w organizacji (domyślnie jako użytkownicy),
- zainstalowanie systemu antywirusowego,
- włączenie wszystkich funkcji bezpieczeństwa (np. hasła, automatyczne blokady ekranu, zdalne usuwanie zawartości sprzętu),
- włączenie automatycznych aktualizacji dla systemu operacyjnego, aplikacji oraz systemu antywirusowego.
Ochrona danych osobowych obejmuje także zasoby i e-mail
Z poczty oraz zasobów korzystamy zarówno podczas pracy z domu, jak i stacjonarnej, dlatego warto pamiętać o tym, żeby:
- wykorzystywać pocztę służbową jedynie do kontaktów z pracownikami, klientami lub kontrahentami,
- nie umieszczać danych w publicznych chmurach obliczeniowych, komunikatorach lub innych usługach dostępnych w sieci, które nie są autoryzowane przez organizację,
- starać się nie utrwalać danych na lokalnym dysku komputera. Do tego celu należy wykorzystywać dedykowane przez organizację zasoby sieciowe, które podlegają wykonywaniu kopii zapasowych,
Starajmy się korzystać z Internetu służbowego. Jeżeli nie jest to możliwe, poprośmy pracowników o zmianę domyślnego hasła do domowego routera oraz potwierdzenie, że odpowiada ono zasadom bezpieczeństwa ustanowionym w organizacji – wskazuje Tomasz Ochocki, kierownik zespołu merytorycznego, ODO 24. Co więcej, dbajmy o bieżącą aktualizację oprogramowania urządzenia sieciowego. Wyłączenie możliwość konfiguracji sprzętu sieciowego z urządzeń znajdujących się poza siecią LAN lub jej ograniczenie do zdefiniowanych adresów IP, zdefiniowanie urządzeń, które mogą uzyskać dostęp do sieci np. z wykorzystaniem filtracji adresów MAC – radzi ekspert.
Będąc właścicielem firmy pamiętajmy o tym, żeby zadbać o częste szkolenia z zasad bezpiecznej pracy zdalnej. Także o określenie procedury i kanału zgłaszania problemów technicznych i zgłaszania naruszeń ochrony danych osobowych.
W nowej rzeczywistości nierzadko korzystamy z narządzi do wideokonferencji. W tym przypadku również warto zadbać o bezpieczeństwo. Zasady wprowadzone teraz zaowocują w przyszłości. W przypadku wykorzystania podmiotów zewnętrznych, należy zawrzeć z nimi umowę powierzenia (weryfikując wcześniej stosowane środki bezpieczeństwa). Należy ustalić, czy provider nie wykorzystuje metadanych (kto, z kim, kiedy się komunikował) ani danych dotyczących treści komunikacji (w szczególności danych analitycznych, telemetrycznych i diagnostycznych) dla własnych celów. Sprawdźmy też, czy nie wykorzystuje Pixela lub inne technologie śledzące. Rekomendowane jest domyślne włączenie nagrywania głosu i obrazu oraz wyraźne poinformowanie uczestników konferencji o jego rozpoczęciu. W miarę możliwości, należy nie przekazywać danych do państw trzecich.