GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Bezpieczeństwo pracy zdalnej

bezpieczeństwo pracy zdalnej

Prawdopodobnie nikomu nie trzeba przypominać z jakim problemem destabilizującym pracę wielu przedsiębiorstw zmaga się od pewnego czasu świat. W związku z powoli spełniającym się czarnym scenariuszem, zamykaniem kolejnych biur, sklepów a nawet granic, pracodawcy stanęli przed poważnym wyzwaniem – jak zorganizować pracę ludzi bez narażania ich na niebezpieczeństwo infekcji.

Sprawność operacyjna każdej mniejszej lub większej firmy jest obecnie (poza oczywiście bezpieczeństwem osób i uchronieniem się przed infekcją) tematem numer jeden prawdopodobnie w każdym biurze. Istnieje niewiele przedsiębiorstw, które są w stanie przetrwać zamknięcie działalności operacyjnej na miesiąc, dwa lub trzy i wciąż funkcjonować na rynku, są takie dla których każdy dzień takiej pracy to jedyna sposób walki o przetrwanie. Dlatego też uruchomione zostały procedury reagowania kryzysowego, nawet tam, gdzie te procedury nie istnieją. Tu właśnie powstaje pierwszy i najważniejszy problem – chaos w działaniu .

Chaotyczne działanie

Walcząc o zapewnienie ciągłości działania organizacji nie wolno zapominać o bezpieczeństwie nie tylko osób, ale również informacji. Stres, napięcie, panika i strach sprzyjają błędom oraz pochopnym decyzjom. Nie pomaga również chaos informacyjny i fala fałszywych informacji napływających z każdej strony. Każdy ma pewnie takiego znajomego, którego szwagier ma kolegę w ABW, od którego słyszał, że jutro będzie zamknięte miasto lub cały region odcięty od świata. Tego rodzaju „prawdziwe informacje” wywierają silną presję i sprzyjają podejmowaniu decyzji pod wpływem emocji, a to początek kłopotów. Jak się przed tym uchronić? Należy śledzić oficjalne komunikaty polskich organizacji zajmujących się walką z epidemią (https://gis.gov.pl/) oraz Światowej Organizacji Zdrowia (https://www.who.int/), przyjmować wszystkie informacje „na chłodno” i nie dać się ponieść emocjom. W trakcie podejmowania decyzji na temat sposobów utrzymania działalności operacyjnej w dobie kryzysu należy stworzyć odpowiedni plan – oczywiście jeśli tego planu wcześniej nie zrobiliśmy. Przyda się zebranie specjalistów z zakresu zarówno IT jak i bezpieczeństwa informacji, ochrony danych osobowych oraz specjalistów operacyjnych i wspólne zaplanowanie działań przed wypuszczeniem wszystkiego ze swoich rąk i zrzuceniem odpowiedzialności na kierowników operacyjnych. Nawet, jeżeli już wypuściliśmy naszych pracowników do domów aby wykonywali pracę zdalnie, nie jest jeszcze za późno na wdrożenie planu działania.

Plan działania

Tworząc plan działania stawiamy na pierwszym miejscu działalność operacyjną – przede wszystkim firma musi działać, jest to bezsprzeczne. Powinniśmy zrobić listę działań kluczowych, które wykonuje nasza organizacja i które są niezbędne do prawidłowego funkcjonowania naszego przedsiębiorstwa. Następnie należy zrobić listę osób, usług, zasobów które są niezbędne do funkcjonowania działalności operacyjnej. Posiadając wiedzę na temat tego, co musi działać w naszej firmie, aby nie przerwać działalności operacyjnej, powinniśmy zaplanować „czarny scenariusz” i ustalić działania w przypadku niedostępności tych kluczowych osób, zasobów etc. W obliczu epidemii niestety nie jesteśmy w stanie zagwarantować, że kluczowe osoby, mimo względnej izolacji w domach będą dostępne w 100% – zawsze istnieje ryzyko, że zostaną zainfekowane. Jeżeli taki scenariusz się wydarzy, należy podjąć pewne decyzje na etapie planowania, aby zapobiec skutkom niedostępności tych osób.

Plan działania powinien również obejmować sposoby przetwarzania informacji, w tym komunikację pomiędzy pracownikami. Wiele organizacji wdrożyło środki, które miały na celu zapewnienie ciągłości działania, tj. m.in. wysłano pracowników do domów, aby wykonywali pracę poza swoim stałym miejscem wykonywania pracy. Wiele z tych rozwiązań należy niestety traktować jako rozwiązania doraźne, nie zostały one wcześniej w sposób kompleksowy zaplanowane i przeanalizowane, stąd też nasza teza, że nie jest za późno, aby podjąć się planowania.

Po identyfikacji kluczowych procesów oraz zasobów należy ustalić na jak długo przygotowujemy się do zmian organizacyjnych. Wielokrotnie spotykamy się z planami operacyjnymi na tydzień, dwa, jednak czy obecne zmiany na pewno potrwają tylko przez dwa tygodnie? Tego nie wiemy i wiedzieć niestety nie możemy, dlatego należałoby przyjąć, że rozwiązania tymczasowe mogą stać się długotrwałymi, gdyż nie wiemy jak długo trwać będzie walka z pandemią.

Wraz ze zmianą działań operacyjnych zmieniły się również procesy przetwarzania danych, w tym danych osobowych. Fakt, że poruszamy się w rzeczywistości kryzysowej nie oznacza, że zostaliśmy zwolnieni z przestrzegania obowiązujących przepisów prawa, dlatego należy pamiętać, że przepisy dotyczące ochrony danych osobowych wciąż są w mocy i należy ich przestrzegać. Cały czas mamy do czynienia z naruszeniami i incydentami. Ziemia nie przestała się kręcić. Dlatego tym bardziej w aktualnej sytuacji sugerujemy przeprowadzenie analizy zmienionych procesów przetwarzania danych osobowych oraz skutków dla ochrony danych tam, gdzie jest to wskazane. Mamy bowiem do czynienia z nowymi zagrożeniami oraz nowymi sposobami chociażby przesyłania czy przechowywania informacji, jako Administrator Danych Osobowych nie możemy dopuścić do tego, że stracimy kontrolę nad naszymi danymi.

Nowe formy przetwarzania danych

Pisząc o zmianach, które obecnie zachodzą w przedsiębiorstwach na całym świecie, wielokrotnie mówimy o „nowych formach przetwarzania danych” – ale czy na pewno są one nowe? Praca zdalna (nawet jeśli nie odpowiada w pełni definicji legalnej i jest „zwykłym” pozwoleniem na częściową pracę w domu) nie jest koncepcją nową, była wykorzystywana przez pracodawców , nie jest to więc domena jedynie korporacyjna. Przetwarzanie danych z wykorzystaniem komputerów przenośnych też nie jest niczym nowym, skąd więc ta nagła trudność organizacyjna? Wynika to ze skali zjawiska. Do tej pory nie mieliśmy bowiem do czynienia z pracą zdalną w takim wymiarze, z delegowaniem do pracy w domu wszystkich, lub prawie wszystkich pracowników. Nie dochodziło do niedostępności w siedzibie wszystkich pracowników danego działu, do konieczności korzystania z łączy komunikacyjnych jednocześnie i w takiej skali. Właśnie z powodu tej skali powstały nowe problemy – praca na komputerach prywatnych, wynoszenie dokumentacji poza siedzibę spółki, trudności z połączeniem do systemów firmowych, brak jasno określonych narzędzi (do magazynowania informacji, wymiany informacji, komunikacji operacyjnej etc.) –

Więcej informacji na ten temat w wywiadzie mec. Tomasz Osiej dla TVP 3.

Wszystkie te elementy zostały już w sposób mniej lub bardziej zgodny ze sztuką wdrożone w większości organizacji, teraz przyszedł czas na analizę, czy postępujemy w sposób prawidłowy. Nie należy bagatelizować problemów odpowiadając słowami „przecież to tylko tymczasowe rozwiązanie”. Wykorzystując te tymczasowe rozwiązania narażamy siebie oraz podmioty danych na różne ryzyka, w tym naruszenia ochrony danych osobowych. Przeprowadzając analizę wdrożonych rozwiązań należy wziąć pod uwagę zagrożenia wynikające z pracy zdalnej oraz podjąć decyzję o ewentualnej przebudowie procesów i wdrożeniu zmian, aby przyjąć taką formę pracy jako „normalną” działalność operacyjną. Jeżeli problem związany z epidemią faktycznie ustanie w ciągu dwóch tygodni, to należy  się cieszyć, wrócimy bowiem do pracy operacyjnej z czasów przed epidemią i będziemy mieli gotowe plany awaryjne na wypadek podobnych problemów w przyszłości.

Pozostanie nam bezcenne i w miarę bezbolesne, ale przydatne doświadczenie. Jeżeli jednak utrudnienia związane z epidemią nie ustaną w ciągu kilku tygodni, powinniśmy być gotowi na przyjęcie nowych dla organizacji metod działania jako „normalne” i w sposób prawidłowy je zaprojektować. Musimy w tej sytuacji nauczyć się żyć w nowej rzeczywistości, zaadaptować do nowych warunków. Na szczęście zarówno człowiek jak i organizacja mają takie umiejętności, należy je jedynie mądrze wykorzystać by zyskać jak najwięcej, a stracić jak najmniej.