Jednym z kluczowych wymogów RODO jest odpowiednia ich ochrona. Przy czym działania w tym zakresie muszą objąć nie tylko dane wykorzystywane przez pracującego z domu urzędnika, lecz także informacje o nim samym. Przedstawiamy listę pytań, które warto sobie zadać.
Urząd decydując się na wysłanie pracownika na pracę zdalną, przede wszystkim musi ocenić, czy środki bezpieczeństwa narzucone pracownikowi (np. programy antywirusowe, aplikacje do kontroli bezpieczeństwa stacji roboczych) nie rodzą zagrożeń na innych płaszczyznach dotyczących ochrony danych, np. czy nie stanowią monitoringu czasu pracy, co wymaga m.in. poinformowania go o tym. Należy też wziąć pod uwagę, że zarówno RODO, jak i ustawa o krajowym systemie cyberbezpieczeństwa oparta jest na podejściu uwzględniającym ocenę ryzyka. W związku z tym to, jakie środki powinny być wdrożone w konkretnym urzędzie, powinno wynikać z tej analizy ryzyka przeprowadzonej przez jego kierownictwo przy udziale inspektora ochrony danych. Wykonując ją, przykładowo powinno się:
☛ określić aktywa służące do pracy zdalnej – np. sprzęt służbowy, sprzęt prywatny, nośniki wymienne, sieci;
☛ ustalić tło oceny ryzyka – m.in., jakie kategorie danych będą wykorzystywane w pracy zdalnej;
☛ opisać scenariusze zagrożeń, które mogą wpływać na bezpieczeństwo, np. kradzież danych; utrata danych ze względu na uszkodzenie sprzętu (patrz zestaw pytań poniżej;
☛ ustalić, jakie jest prawdopodobieństwo i waga zagrożeń – przy uwzględnieniu kategorii danych i kategorii osób, których one dotyczą;
☛ oszacować wysokość ryzyka;
☛ zdecydować, czy zaplanowane lub już wdrożone środki bezpieczeństwa minimalizują ryzyka, których źródłem są zidentyfikowane zagrożenia.

wewnętrzne reguły i organizacja

Osoba pracująca w sposób zdalny powinna zostać zapoznana i przeszkolona w tym zakresie. W szczególności musi wiedzieć:
  • z jakiego sprzętu może korzystać w ramach pracy zdalnej (służbowy/prywatny);
  • w przypadku sprzętu prywatnego – jakie zabezpieczenia powinny być wdrożone na tym sprzęcie (np. oprogramowanie antywirusowe, szyfrowanie dysku lub poszczególnych folderów, etc.);
  • gdzie należy przechowywać dane (np. na dysku udostępnianym przez dostawcę usług chmurowych);
  • czy można przechowywać dane na lokalnym komputerze (np. laptopie);
  • czy można korzystać z nośników wymiennych (np. pendrive’ów) w celu przechowania danych i jeżeli tak – jak powinny być zabezpieczone;
  • jak powinna być zabezpieczona sieć domowa (np. router);
  • jak powinien być przechowywany sprzęt komputerowy wykorzystywany do pracy zdalnej;
  • jak i gdzie przechowywać dokumenty papierowe;
  • jak zgłaszać przypadki naruszenia (lub samego podejrzenia) bezpieczeństwa (np. podejrzenie kradzieży danych);
  • w jaki sposób wykorzystywać pocztę e-mail (czy i jak np. szyfrować załączniki e-maili);
  • z jakich systemów należy korzystać w ramach pracy zdalnej (np. z jakich komunikatorów);
  • czego unikać w ramach pracy zdalnej (np. przeglądanie danych przez osoby postronne; zasada czystego biurka).

weryfikacja

Nie mniej ważne jest sprawdzenie, jak działają poszczególne obszary, w których porusza się urzędnik pracujący zdalnie. Poniższe zastawienie pytań pozwoli uniknąć ryzyka. Poniżej przedstawiono typowe problemy, które zostały poruszone w wytycznych różnych organów (zob. poniżej wykaz źródeł).

Sieć domowa

Należy sprawdzić, czy:
  • zmieniono domyślne hasło do routera w ramach domowej sieci;
  • hasła do routera i do sieci Wi-Fi są odpowiednio skomplikowane;
  • oprogramowanie routera jest aktualne;
  • router jest fizycznie zabezpieczony przed dostępem osób postronnych;
  • pracodawca umożliwia korzystanie na komputerach z szyfrowania VPN.

    Zobacz również:

    Jak wykonywać obowiązki dotyczące bezpieczeństwa i higieny pracy w czasie pandemii

Stacje robocze

W celu ustalenia, czy np. laptopy i komputery stacjonarne spełniają wymagania, trzeba zweryfikować:
  • czy oprogramowanie służące do pracy zdalnej jest legalne i może być wykorzystywane do tego celu (niektóre typy licencji „niekomercyjnych” mogą tego zabraniać);
  • czy na komputerze zainstalowany jest aktualny program antywirusowy/firewall (czy baza sygnatur wirusów jest aktualna/automatycznie aktualizowana);
  • czy system operacyjny komputera jest aktualny i automatycznie aktualizowany;
  • czy zabezpieczono dysk (lub poszczególne foldery) poprzez szyfrowanie (np. program Bitlocker w przypadku systemu Windows 10);
  • w jaki sposób przechowywane jest hasło dostępowe do systemu operacyjnego komputera (czy jest odpowiednio skomplikowane);
  • czy komputer wymaga logowania
  • w jaki sposób tworzone są kopie zapasowe i czy są zabezpieczone (a także gdzie należy je przechowywać);
  • jak przechowywane są komputery (czy zabezpieczono przed kradzieżą/uszkodzeniem).

RODO - przykłady z praktyki >>

Nośniki wymienne

Chcą uniknąć ryzyka przy tego typu rządzeniach, powinno się ocenić:
  • czy wykorzystywane są nośniki wymienne;
  • jak zabezpieczone są nośniki wymienne (szyfrowanie);
  • gdzie przechowywane są nośniki wymienne i chronione przed kradzieżą/zgubieniem.

Dostęp do systemów

Tu konieczna jest odpowiedzi na następujące pytania:
  • jak zabezpieczono dostęp do systemów, w tym danych uzyskiwany poprzez internet (np. hasła do aplikacji dostępnych przez przeglądarkę, czy wdrożono mechanizm dwuskładnikowego uwierzytelnienia);
  • czy hasło do poczty elektronicznej jest odpowiednio złożone i bezpiecznie przechowywane;
  • kto ma dostęp do systemów i czy nie jest on zbyt szeroki (wgląd do danych w zbyt szerokim zakresie);
  • jak przechowywane są lokalnie hasła do systemów/aplikacji (np. wykorzystanie menedżerów haseł);
  • czy i jak odseparowano (lub ustalono w tym zakresie zasady) odnośnie odseparowania danych prywatnych od służbowych (gdy możliwe jest korzystanie ze sprzętu prywatnego);
  • czy pracownicy zostali poinformowani, jak chronić się przed phishingiem (podszywanie się w ramach korespondencji pod osobę/instytucję w celu np. wyłudzenia informacji).

Wideokonferencje

Urzędy, które wykorzystują tę metodę komunikacji, muszą ustalić:
  • jakie narzędzia do wideokonferencji są wykorzystywane w organizacji;
  • czy zawarto umowę powierzenia z dostawcami tych usług;
  • czy dopuszczalne jest nagrywanie spotkań online;
  • w jaki sposób uczestnicy informowani są o nagrywaniu spotkania;
  • kogo można zapraszać do wideokonferencji (np. osoby spoza urzędu);
  • jak wysyłany jest dostęp do wideokonferencji i czy może być on wykorzystany przez osobę postronną (np. poprzez przesłanie linku do wideokonferencji dalej);
  • czy dostęp do wideokonferencji jest zabezpieczony hasłem;
  • gdzie i na jakich zasadach przechowywane są nagrania z wideokonferencji;
  • gdzie przechowywane są pliki udostępniane w ramach wideokonferencji;
  • czy dopuszczalne jest udostępnianie pulpitu w czasie wideokonferencji i czy zweryfikowano zagrożenia z tym związane;
  • kto będzie miał dostęp do korespondencji realizowanej w czasie spotkania online (popularne czaty online).©℗
Listę kontrolną przygotowano na podstawie:
• ENISA, Top Tips for Cybersecurity when Working Remotely (https://www.enisa.europa.eu/news/executive-news/top-tips-for-cybersecurity-when-working-remotely);
• NCSC, Video conferencing services: security guidance for organisations (https://www.ncsc.gov.uk/guidance/video-conferencing-services-security-guidance-organisations);
• Data Protection Commission, Staying safe online during a pandemic (https://www.dataprotection.ie/en/news-media/blogs/staying-safe-online-during-pandemic);
• ICO, Working from home (https://ico.org.uk/for-organisations/working-from-home/);
• Data Protection Commissioner, Data Protection Tips for Video-conferencing (https://www.dataprotection.ie/en/news-media/blogs/data-protection-tips-video-conferencing©℗
Podstawa prawna
• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
• ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560; ost. zm. Dz.U. z 2019 r. poz. 2248)