V dôsledku druhej vlny pandémie koronavírusu stále viac firiem opätovne zatvára svoje kancelárie a priestory a tisícky pracovníkov zostáva pracovať z domu, v režime tzv. home office. Zamestnávatelia musia novým podmienkam výkonu práce prispôsobiť aj vysoké štandardy na ochranu údajov. Nedostatočná ochrana by totiž okrem iného mohla viesť k finančným aj reputačným škodám na strane danej spoločnosti.
Práca z domu môže pre firmy znamenať zvýšené riziká v oblasti bezpečnosti, najmä v organizáciách, ktoré doteraz neboli na takýto výkon práce pripravené. „Prevádzkovatelia a sprostredkovatelia osobných údajov musia zabezpečiť zavedenie vhodných technických a organizačných bezpečnostných opatrení a prípadné porušenia ochrany údajov oznamovať podľa platných právnych predpisov,“ hovorí právnička spoločnosti CMS Martina Šímová, ktorá sa zaoberá ochranou osobných údajov.
Podľa Šímovej by firmy mali dôkladne preskúmať všetky opatrenia a rozhodnutia prijaté v čase prechodu na nový režim výkonu práce. „Spoločnosti by nemali ani zabúdať na informovanie zamestnancov o ich povinnostiach týkajúcich sa ochrany údajov a bezpečnosti informácií. Zvážiť by mali aj vypracovanie alebo úpravu plánu pre prípad výskytu porušenia bezpečnosti.“
Riziká nedostatočnej ochrany dát
Ak majú firmy väčší počet zamestnancov, ktorí pracujú z domu a využívajú pri tom firemné zariadenia a pripojenie do firemných sietí, mali by myslieť na riziká vo viacerých oblastiach:
- Hackerské útoky – nedostatočne zabezpečené firemné siete môžu čeliť phishingovým podvodom, vírusom, útokom v podobe malware alebo ransomware, a to z dôvodu, že zamestnanecké zariadenia využívané na prácu z domu môžu byť zraniteľnejšie.
- Bezpečnosť infraštruktúry – nesprávne zriadený prístup zamestnancov do firemných sietí a zariadení, napríklad cez virtuálnu privátnu sieť alebo duálne overenie, má vplyv na bezpečnosť infraštruktúry.
- Osobné údaje – zvýšené nebezpečenstvo porušenia ochrany údajov vzniká pri ich prenose z kancelárie domov, napríklad keď zamestnanci používajú externé médiá na uchovávanie dát, údaje zasielajú z firemného e-mailu na svoje osobné e-mailové účty alebo tlačia citlivé pracovné materiály na nezabezpečenej osobnej tlačiarni.
- Domáce siete – v prípade využívania domácich sietí zamestnancov existuje nedostatočná kontrola a pravdepodobnosť slabších protokolov týchto sietí.
- Softvér – je potrebné, aby zamestnanci pracujúci z domu nevyužívali iný ako zamestnávateľom schválený softvér, ani neznáme platformy.
- Strata a krádež zariadenia – pri práci mimo kancelárie vzniká zvýšené riziko straty alebo krádeže firemných zariadení s citlivými údajmi.
- Vzdialené pracovné systémy – firmy zavádzajú nové systémy bez dostatočnej ochrany a vzniká riziko porušenia ochrany citlivých údajov zo strany dodávateľov takýchto systémov.
Ako chrániť dáta pred únikom
Vzhľadom na tieto riziká by firmy mali:
- zabezpečiť pre používateľské účty silné heslá,
- zaistiť šifrovanie údajov na zariadeniach v čase, keď nie sú využívané,
- pomocou softvéru na správu mobilných zariadení nastaviť možnosť vzdialeného uzamknutia zariadenia alebo vymazania potrebných údajov,
- zaistiť, aby zamestnanci vedeli, ako hlásiť problémy, ako udržiavať softvér a zariadenia v aktualizovanom stave a ako používať aktualizácie,
- skontrolovať, či je virtuálna súkromná sieť dostatočne chránená,
- zakázať používanie vlastných externých médií na zálohovanie dát,
- podľa potreby používať antivírusové nástroje.
V prípade, že spoločnosť zavádza nové systémy a nástroje na prácu na diaľku, mala by venovať zvýšenú pozornosť zachovaniu vysokých bezpečnostných štandardov. „Firmy by mali neustále prehodnocovať bezpečnostné opatrenia a v prípade potreby ich aktualizovať tak, aby zohľadňovali nové pracovné prostredie a súvisiace riziká,“ dopĺňa Martina Šímová.
Porušenie ochrany údajov
Ak už k porušeniu ochrany údajov príde, firma by mala mať vypracovaný plán reakcie na takúto situáciu, vrátane oznámenia porušenia ochrany osobných údajov dozornému orgánu a dotknutým osobám.
Podľa európskeho nariadenia GDPR platia pre firmy, ktoré sú v pozícii prevádzkovateľa osobných údajov, tieto povinnosti:
- oznámiť porušenie ochrany údajov príslušnému dozornému orgánu, ktorým je na Slovensku Úrad na ochranu osobných údajov Slovenskej republiky, a to bez zbytočného odkladu, najneskôr však do 72 hodín po tom, ako sa o porušení dozvedela (okrem prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody dotknutých osôb),
- oznámiť bez zbytočného odkladu porušenie ochrany údajov dotknutým osobám, pre práva a slobody ktorých porušenie ochrany pravdepodobne predstavuje vysoké riziko.
„Ak je firma sprostredkovateľom osobných údajov, musí o porušení ochrany údajov bez zbytočného odkladu informovať prevádzkovateľa a pomôcť mu s dodržiavaním jeho povinností,“ uzatvára Martina Šímová.
Viac informácií nájdete na webe spoločnosti CMS: www.cms.law
