V dôsledku druhej vlny pandémie koronavírusu stále viac firiem opätovne zatvára svoje kancelárie a priestory a tisícky pracovníkov zostáva pracovať z domu, v režime tzv. home office. Zamestnávatelia musia novým podmienkam výkonu práce prispôsobiť aj vysoké štandardy na ochranu údajov. Nedostatočná ochrana by totiž okrem iného mohla viesť k finančným aj reputačným škodám na strane danej spoločnosti.

Práca z domu môže pre firmy znamenať zvýšené riziká v oblasti bezpečnosti, najmä v organizáciách, ktoré doteraz neboli na takýto výkon práce pripravené. „Prevádzkovatelia a sprostredkovatelia osobných údajov musia zabezpečiť zavedenie vhodných technických a organizačných bezpečnostných opatrení a prípadné porušenia ochrany údajov oznamovať podľa platných právnych predpisov,“ hovorí právnička spoločnosti CMS Martina Šímová, ktorá sa zaoberá ochranou osobných údajov.

Podľa Šímovej by firmy mali dôkladne preskúmať všetky opatrenia a rozhodnutia prijaté v čase prechodu na nový režim výkonu práce. „Spoločnosti by nemali ani zabúdať na informovanie zamestnancov o ich povinnostiach týkajúcich sa ochrany údajov a bezpečnosti informácií. Zvážiť by mali aj vypracovanie alebo úpravu plánu pre prípad výskytu porušenia bezpečnosti.“

Riziká nedostatočnej ochrany dát

Ak majú firmy väčší počet zamestnancov, ktorí pracujú z domu a využívajú pri tom firemné zariadenia a pripojenie do firemných sietí, mali by myslieť na riziká vo viacerých oblastiach:

  • Hackerské útoky – nedostatočne zabezpečené firemné siete môžu čeliť phishingovým podvodom, vírusom, útokom v podobe malware alebo ransomware, a to z dôvodu, že zamestnanecké zariadenia využívané na prácu z domu môžu byť zraniteľnejšie.
  • Bezpečnosť infraštruktúry – nesprávne zriadený prístup zamestnancov do firemných sietí a zariadení, napríklad cez virtuálnu privátnu sieť alebo duálne overenie, má vplyv na bezpečnosť infraštruktúry.
  • Osobné údaje – zvýšené nebezpečenstvo porušenia ochrany údajov vzniká pri ich prenose z kancelárie domov, napríklad keď zamestnanci používajú externé médiá na uchovávanie dát, údaje zasielajú z firemného e-mailu na svoje osobné e-mailové účty alebo tlačia citlivé pracovné materiály na nezabezpečenej osobnej tlačiarni.
  • Domáce siete – v prípade využívania domácich sietí zamestnancov existuje nedostatočná kontrola a pravdepodobnosť slabších protokolov týchto sietí.
  • Softvér – je potrebné, aby zamestnanci pracujúci z domu nevyužívali iný ako zamestnávateľom schválený softvér, ani neznáme platformy.
  • Strata a krádež zariadenia – pri práci mimo kancelárie vzniká zvýšené riziko straty alebo krádeže firemných zariadení s citlivými údajmi.
  • Vzdialené pracovné systémy – firmy zavádzajú nové systémy bez dostatočnej ochrany a vzniká riziko porušenia ochrany citlivých údajov zo strany dodávateľov takýchto systémov.

Ako chrániť dáta pred únikom

Vzhľadom na tieto riziká by firmy mali:

  • zabezpečiť pre používateľské účty silné heslá,
  • zaistiť šifrovanie údajov na zariadeniach v čase, keď nie sú využívané,
  • pomocou softvéru na správu mobilných zariadení nastaviť možnosť vzdialeného uzamknutia zariadenia alebo vymazania potrebných údajov,
  • zaistiť, aby zamestnanci vedeli, ako hlásiť problémy, ako udržiavať softvér a zariadenia v aktualizovanom stave a ako používať aktualizácie,
  • skontrolovať, či je virtuálna súkromná sieť dostatočne chránená,
  • zakázať používanie vlastných externých médií na zálohovanie dát,
  • podľa potreby používať antivírusové nástroje.

V prípade, že spoločnosť zavádza nové systémy a nástroje na prácu na diaľku, mala by venovať zvýšenú pozornosť zachovaniu vysokých bezpečnostných štandardov. „Firmy by mali neustále prehodnocovať bezpečnostné opatrenia a v prípade potreby ich aktualizovať tak, aby zohľadňovali nové pracovné prostredie a súvisiace riziká,“ dopĺňa Martina Šímová.

Porušenie ochrany údajov

Ak už k porušeniu ochrany údajov príde, firma by mala mať vypracovaný plán reakcie na takúto situáciu, vrátane oznámenia porušenia ochrany osobných údajov dozornému orgánu a dotknutým osobám.

Podľa európskeho nariadenia GDPR platia pre firmy, ktoré sú v pozícii prevádzkovateľa osobných údajov, tieto povinnosti:

  • oznámiť porušenie ochrany údajov príslušnému dozornému orgánu, ktorým je na Slovensku Úrad na ochranu osobných údajov Slovenskej republiky, a to bez zbytočného odkladu, najneskôr však do 72 hodín po tom, ako sa o porušení dozvedela (okrem prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody dotknutých osôb),
  • oznámiť bez zbytočného odkladu porušenie ochrany údajov dotknutým osobám, pre práva a slobody ktorých porušenie ochrany pravdepodobne predstavuje vysoké riziko.

„Ak je firma sprostredkovateľom osobných údajov, musí o porušení ochrany údajov bez zbytočného odkladu informovať prevádzkovateľa a pomôcť mu s dodržiavaním jeho povinností,“ uzatvára Martina Šímová.

Viac informácií nájdete na webe spoločnosti CMS: www.cms.law

Značky: