Inspektorzy Ochrony Danych w czasie epidemii

W dniu 12 maja br. odbyło się zdalne spotkanie zespołu IOD w ramach ŚZGiP.  Prowadzący:Piotr Sojka (UM Gliwice), Małgorzata Giela (UM Zabrze wz Jarosława Suszki).

Celem spotkania było przygotowanie do wypracowania rekomendacji zespołu dla pracy zdalnej. Przedstawiono uczestnikom propozycję zakresu rekomendacji.  Propozycja została jednogłośnie przyjęta.  Kolejny etap prac będzie obejmować przedstawienie propozycji własnych stanowisk członków zespołu do zaproponowanych zagadnień.  Następne spotkanie w formie zdalnej zaplanowano na 26.05, w trakcie którego zostaną przedyskutowane zaproponowane zapisy.

Zaproponowany zakres rekomendacji: Bezpieczeństwo pracy zdalnej.


   a. Zakres prawny


   W tym obszarze pracodawca powinien skupić się na wszystkich tych przepisach, które regulują wykonywanie pracy poza urzędem.  Przede wszystkim powinien jasno określić zasady delegowania pracowników do pracy zdalnej.  W dalszej kolejności koniecznie trzeba będzie zastanowić się nad regulaminem pracy zdalnej.  Regulamin pracy zdalnej powinien uwzględniać zasady określone w art.5 RODO. Jeśli pracodawca przewiduje konieczność korzystania ze sprzętu prywatnego pracowników – powinien określić zasady na jakich urządzenia prywatne mogą być wykorzystywane przez pracowników.  Administrator powinien opracować zasady dostępu do zasobów urzędu, wymagany poziom zabezpieczeń, wersję systemu operacyjnego, a także zasady wsparcia ze strony IT.  Wreszcie, jeśli uzna za konieczne monitorowanie pracy, powinien jasno zakomunikować w jaki sposób będzie to robił.


   b. Zakres organizacyjny


   Administrator powinien zadbać o zapewnienie odpowiedniego poziomu kompetencji i świadomości osób, które będą korzystać z rozwiązań pracy zdalnej.  Obowiązkiem administratora jest poinformowanie o niebezpieczeństwach związanych z wykonywaniem pracy poza urzędem, a także o panujących zasadach.  W przyjętych rozwiązaniach należy wziąć pod uwagę takie zagadnienia jak:
- przełączanie rozmów telefonicznych;
- wynoszenie dokumentacji papierowej poza obszar urzędu oraz działania zapobiegawcze w związku z odkażaniem;
- zasady bezpiecznej pracy zdalnej;
- dyżury pracowników;
- analiza ryzyka poszanowania praw i wolności podmiotów danych w związku z wykonywaniem zadań urzędu zdalnie;
- ocena skutków przetwarzania w związku z wdrożeniem nowych rozwiązań organizacyjno technicznych;
- zarządzanie incydentami.

W zależności od przyjętych rozwiązań i możliwości technicznych, administrator powinien również przemyśleć rozwiązanie takich problemów jak:

- komunikacja pomiędzy pracownikami (komunikatory, telefony, e-mail, videochat itp.)
- szkolenia zdalne,
- konsultacje bezpośrednie,
- organizacja posiedzeń kierownictwa.

c. Zakres rozwiązań technicznych


   Administrator powinien zastanowić się nad przyjęciem najbardziej wygodnych dla niego i bezpiecznych rozwiązań technicznych, pozwalających na prowadzenie w miarę normalnej pracy i przetwarzania danych zgodnie z obowiązującymi przepisami.  Problemy do rozwiązania to:
   - przyjęcie narzędzi do pracy zdalnej zapewniających odpowiedni do zagrożeń poziom bezpieczeństwa. Wybór ten będzie zależał od wielu czynników, aczkolwiek podstawowym z nich jest to, czy administrator zezwala na korzystanie z prywatnego sprzętu pracownika, czy też zapewnia własne urządzenia do świadczenia pracy.  W ramach tych narzędzi powinny znaleźć się:
-narzędzia do samodzielnej zmiany haseł,  szyfrowanie lub narzędzia do zdalnego zarządzania sprzętem;
- wsparcie IT dla pracowników pracujących zdalnie:
   i. dyżury pracowników IT,
   ii. kanały komunikacji ze wsparciem IT;
- bezpieczeństwo w zakresie ruchu sieciowego;
- wykonywanie kopii bezpieczeństwa;
- aktualizacja zabezpieczeń.
   Przyjęte rozwiązania powyższych problemów zawsze będą pochodną przyjętych rozwiązań organizacyjno technicznych.  Inne będą rozwiązania w przypadku używania sprzętu prywatnego (BYOD), inne gdy pracownik będzie dysponował sprzętem służbowym. Inaczej będzie w przypadku rozwiązań chmurowych, a inaczej w przypadku bezpośredniej pracy na zasobach administratora.

d. Zakres psychologiczny

Bardzo ważne jest aby wytłumaczyć pracownikom zasady pracy zdalnej w sposób ludzki.  Proste tłumaczenie, z przykładami najlepiej trafia do pracowników.  Człowiek jest najważniejszym elementem całego systemu bezpieczeństwa informacji.  Brak kompetencji pojedynczego pracownika może spowodować trudne do przewidzenia problemy dla administratora.
Należy wziąć pod uwagę, że sytuacja jest bardzo stresogenna.  Pracownicy działając pod wpływem stresu popełniają błędy.  Warto aby IOD miał możliwość przekazania im nowych zasad w sposób prosty, odnosząc się do podstawowych spraw życia codziennego takich jak gimnastyka, organizacja miejsca pracy w domu, relacje z domownikami, posiłki, czy organizacja pracy.

e. Dostępność IOD i monitorowanie sytuacji

IOD powinien zostać zobowiązany do ciągłego monitorowania zmian w przepisach prawa, rekomendacjach i stanowiskach organów Państwa w tej wyjątkowej sytuacji.  Bardzo istotne jest aby IOD był zawsze dostępny dla administratora i jego pracowników. Warto zadbać o to, aby wyposażyć go chociażby w służbowy telefon.  RODO nadal obowiązuje, więc koniecznie też należy zapewnić możliwość kontaktu osób, których dane administrator przetwarza, z IOD.

Jak dojechać