Na stronie internetowej Organu Ochrony Danych Księstwa Liechtenstein pojawiły się porady dotyczące tego co należy, a czego nie należy robić w miejscu pracy, tak aby zapewnić bezpieczeństwo danych osobowych. Naturalnie temat ten nie jest niczym nowym, jednakże ww. wytyczne mogą być użyteczne, ponieważ są zwięzłe, ale jednocześnie zawierają sporo informacji.
Ponadto ich atutem jest to, że zostały przygotowane przez organ nadzorczy w rozumieniu RODO.
Poniżej znajduje się tłumaczenie dokumentu, którego treść w języku niemieckim jest dostępna: tutaj.
Co robić a czego nie w miejscu pracy:
- Organizacja oraz wyposażenie:
- Należy zawsze ustawiać oraz instalować m. in. ekrany, tablice czy listy w taki sposób, aby nieuprawnieni odwiedzający czy klienci nie mogli ich zobaczyć.
- Laptopy używane w miejscach publicznych (np. w środkach transportu publicznego) należy chronić folią ochronną przed spojrzeniami zbyt ciekawych sąsiadów.
- Również w przypadku pracy zdalnej należy zawsze uważać na poufność danych, nośników danych oraz dokumentów jak również na to, żeby osoby nieuprawnione nie uzyskały dostępu do danych.
- Własne zachowanie:
- Nie należy zostawiać żadnych dokumentów zawierających dane osobowe w wolno dostępnych miejscach poza godzinami pracy czy podczas rozmów z osobami postronnymi („polityka czystego biurka”), jak również w koszach na śmieci czy w punktach na makulaturę.
- Należy usuwać, m. in. po spotkaniu oraz po godzinach pracy, poufne notatki na flipchartach czy fiszkach (np. kartkach samoprzylepnych).
- Przy opuszczeniu miejsca pracy w związku z przerwą, spotkaniem czy rozmową itd., zawsze należy blokować ekran.
- W przypadku rozmów telefonicznych, podczas których będzie mowa o zidentyfikowanych osobach, należy zamknąć drzwi lub poszukać osobnego pomieszczenia bez nieuprawnionych osób.
- Dokumentów z danymi osobowymi, które nie są już potrzebne należy pozbywać się, względnie niszczyć w niszczarkach (a nie po prostu wrzucać do kosza na śmieci czy umieszczać w punkcie na makulaturę);
- Elektroniczne nośniki danych, które nie są już potrzebne należy zawsze niszczyć profesjonalnie;
- W przypadku współdzielenia drukarki z innymi działami lub przedsiębiorstwami należy uważać, aby osoby nieuprawnione nie uzyskały dostępu do poufnych dokumentów (nie należy pozostawiać wydruków na drukarce!).
- Nikt nie jest nieomylny: jeżeli faktycznie dojdzie do niezamierzonego pozostawienia czy utraty danych osobowych lub powstanie podejrzenie takiej sytuacji, należy natychmiast poinformować odpowiedzialną osobę w przedsiębiorstwie, dokonać zgłoszenia a nie czekać czy ukrywać taki incydent.
- System informatyczny oraz telefon:
- Należy stosować bezpieczne hasło, dbać o jego poufność i nie przekazywać go dalej;
- Do oprogramowania służącego do zdalnego kontaktu jak np. Team Viewer, należy dopuszczać na własnym systemie jedynie upoważnione osoby.
- W przypadku korzystania z publicznych sieci WLAN (np. w hotelach, na dworcach czy lotniskach) nie należy przekazywać poufnych informacji. Do takich działań należy używać jedynie zabezpieczonych kanałów, jak np. zaszyfrowane połączenie USB.
- Nie należy korzystać z nieznanych urządzeń USB.
- Automatyczna blokada ekranu podczas bezczynności zapobiega uzyskaniu dostępu do komputera przez osoby nieuprawnione podczas nieobecności.
- Na telefonach służbowych nie należy używać usług Messengera, jak np. WhatsApp, które udostępniają lub kopiują listę kontaktów.
- Przy korzystaniu ze skrzynki mailowej należy zawsze być czujnym i nie otwierać podejrzanych maili czy załączników, względnie natychmiast poinformować osobę odpowiedzialną w przedsiębiorstwie za IT.
- W przypadku maili z większą ilością adresatów należy zawsze sprawdzić, czy należy skorzystać z opcji „DO” lub „DW” (np. w przypadku grup roboczych czy wewnątrz przedsiębiorstwa) czy z opcji „UDW” (w przypadku grupy w ramach której nie ma bliższych powiązań);
- Należy zakrywać kamerki internetowe w przypadku niekorzystania z nich.
- Należy odłączyć zewnętrzne mikrofony, gdy się z nich nie korzysta.
- Należy regularnie przeprowadzać aktualizację systemów IT (urządzeń oraz oprogramowania) oraz wprowadzić solidny firewall (obejmujący skanowanie wirusów), tak aby zawsze zapewniać możliwie największe bezpieczeństwo danych (integralność, odporność).*
- Należy regularnie tworzyć kopie zapasowe, aby w każdej sytuacji zapewnić dostępność danych.*
* Co do zasady będzie to wprowadzone przez dział IT, względnie dostawcę usług IT. Pojedynczy użytkownik nie ma na to właściwie żadnego wpływu.