GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

„Praca zdalna – analiza ryzyka i bezpieczeństwo danych osobowych” – odpowiedzi na wybrane pytania

Zapraszamy do zapoznania się z odpowiedziami na pytania uczestników zadane ekspertom Omni Modo podczas webinaru pt. „Praca zdalna – analiza ryzyka i bezpieczeństwo danych osobowych”

Na pytania odpowiada prowadzący webinar ekspert ds. Bezpieczeństwa Informacji – Arkadiusz Rzycki

„Czy „teamsy służbowe” na telefonach prywatnych są dopuszczalne?”

Odp.: Należy oszacować ryzyko z uwzględnieniem zakresu danych przetwarzanych w trakcie korzystania z komunikatora. Dopuszczanie prywatnych urządzeń mobilnych do przetwarzania danych generuje określone ryzyka i musi to być w ramach analizy rozważone.

„27005 mówi, że jest szacowanie, które składa się z identyfikacji, analizy, oceny. To jest wspólny język”

Odp.: Tak, zgodnie z normą ISO 27005 proces zarządzania ryzykiem w bezpieczeństwie informacji składa się między innymi z identyfikacji, analizy oraz oceny ryzyka. Zostały one zgrupowane i określone jako szacowanie ryzyka. Oczywiście proces składa się jeszcze z innych operacji.

„Wysokie ryzyko jest w ochronie zdrowia. Zatem nie możemy przetwarzać danych dotyczących zdrowia, czyli danych szczególnej kategorii?”

Odp.: To czy ryzyko jest wysokie nie wynika jedynie z kategorii danych jakie są przetwarzane. Aby stwierdzić jaki poziom ryzyka niesie ze sobą przetwarzanie danych w ramach konkretnego procesu należy dokonać dla niego szacowania ryzyka i dopiero wtedy jesteśmy w stanie określić jego poziom. Oczywiście jest prawdopodobne, , że tam gdzie dochodzi do przetwarzania danych szczególnych kategorii będziemy mieli do czynienia z podwyższonym pierwotnym ryzykiem.  Wtedy należy tak dobrać zabezpieczenia, aby to ryzyko zminimalizować do poziomów akceptowalnych. . Innymi słowy, z samego faktu, że pracujemy na danych medycznych nie wynika zakaz ich przetwarzania.

„Czy pracodawca powinien konkretnie określić jakie środki techniczne i organizacyjne musi stosować pracownik podczas pracy zdalnej?”

Odp.: Pracodawca powinien określić środki techniczne i organizacyjne stosowane w trakcie wykonywania pracy zdalnej na tyle precyzyjnie na ile się da i tak aby było to jasne i zrozumiałe oraz nie budziło wątpliwości. Każde nieprecyzyjne określenie może prowadzić do obniżenia skuteczności tych środków co w konsekwencji może skończyć się naruszeniem ochrony danych osobowych.

„Czy w rejestrze czynności przetwarzania będzie to nowa czynność przetwarzania czy zmiana już istniejących czynności?”

Odp.: Praca zdalna to nie jest właściwe stricte nowy proces, ale kilka procesów z czego część to procesy już istniejące.  W ramach wdrażania pracy zdalnej w mniejszym lub w większym stopniu będą one wymagały zmiany. .

„Czy samo ustalenie sposobu kontaktu z innymi pracownikami też wymaga odrębnej oceny ryzyka? Przecież nie każdy pracownik będzie używał prywatnych komórek żeby dzwonić do pracowników stacjonarnych więc trzeba ustalić jakiś kanał komunikacji (komunikator) i przesyłania dokumentów?”

Odp.: Sposób komunikacji powinien zostać uwzględniony w poddawanych ocenie procesach. Innymi słowy należy go przeanalizować pod kątem ryzyk. Oczywiście w praktyce będziemy mieli do czynienia z więcej niż jednym niż kanałem komunikacji. Będziemy używać telefonu, kontaktować się mailowo czy za pomocą komunikatora.

„Czy analizę ryzyka należy wykonać tylko dla poszczególnych czynności przetwarzania czy też dla rodzaju przetwarzania jak np. praca zdalna?”

Odp.: Analizę ryzyka wykonujemy dla poszczególnych czynności przetwarzania – czyli procesów, w których przetwarzane są dane osobowe w określonym celu. Cel ten determinuje zakres danych oraz kategorie osób, których dane są przetwarzane.

„Czy analiza ryzyka dla pracy zdalnej okazjonalnej czymś się będzie różnić od analizy ryzyka regularnej pracy zdalnej?

Odp.: Będzie różna, bo przebieg i częstotliwość tej pracy będzie różna. Sposób wykonywania niektórych operacji (zadań)  w trakcie pracy zdalnej okazjonalnej może być różny –np. druk dokumentów możliwy będzie jedynie w biurze, a podczas regularnej pracy zdalnej będzie się wiązał z drukowaniem dokumentów poza biurem. I to zmieni nam przebieg analizy.

„Czy przy wykonywaniu pracy zdalnej pracownicy mogą korzystać z prywatnych komputerów z uwagi na brak komputerów przenośnych?”

Odp.: Aby uzyskać odpowiedź na to pytanie należy określić ryzyko z uwzględnieniem takiego przetwarzania oraz dobrać środki techniczne i organizacyjne obniżające poziom ryzyka do akceptowalnego poziomu. Wykorzystanie sprzętu prywatnego powinno być elementem analizy, pod kątem zapewnienia bezpieczeństwa danym na prywatnym urządzeniu pracownika, nad którym de facto nie mamy kontroli.

„Czy dokumenty zabezpieczające ochronę danych dotyczą tylko Pracowników biurowych, czy również należy je wdrożyć wśród Managerów i Przedstawicieli, którzy „”od zawsze”” pracują w terenie?”

Odp.: Nie rozróżniamy czy to pracownik szeregowy czy menedżer, dokumenty określające zasady bezpieczeństwa powinny być stosowane również wobec pracowników na stanowiskach kierowniczych jak i do pracowników niższego szczebla, bez względu na to gdzie pracują.

„A jak jest z łączeniem z komputera prywatnego poprzez VPN do sieci komputerowej firmy?”

Odp.: Należy uwzględnić fakt wykorzystywania komputera prywatnego do celów służbowych w ramach oceny. VPN jest jednym ze środków technicznych służących do zapewnienia poufności komunikacji czy to z komputera służbowego czy prywatnego pracownika i może nie być skutecznym środkiem mitygującym ryzyko związane z przetwarzaniem danych z wykorzystaniem prywatnego komputera.

„Czy dopuszczalibyście Panowie wymóg zainstalowania na PRYWATNYM TELEFONIE PRACOWNIKA tylko aplikacji – authenticatora dla dwuskładnikowej weryfikacji? Czy właściwsze wydaje się korzystanie z dwuskładnikowej weryfikacji przez kanał SMS (wysłanie kodu-tokena) Pracodawca nie musi mieć numeru prywatnego pracownika – i nie może go żądać. Ale wymagając zainstalowania aplikacji nie wymagam numeru telefonu prywatnego.”

Odp.: Kanał przekazywania kodu za pośrednictwem SMS jest podatny na przechwycenie komunikacji oraz możliwość spoofigu weryfikacji przez SMS, i dlatego nie jest to rozwiązanie do końca bezpieczne.

„Skąd wynika obowiązek przeprowadzenia analiza ryzyka i bezpieczeństwa danych osobowych przy pracy zdalnej? Jest jakaś podstawa prawna?”

Odp.: Wynika to z art. 24, 25, 30, 32, 33, 34, 35, 36 RODO.