Monitorowanie bezpieczeństwa pracy zdalnej przez IOD - udostępniamy narzędzie

Wstęp

Konieczność organizacji pracy zdalnej tak, aby utrzymać ciągłość kluczowych procesów biznesowych, wyrosła z realiów pandemicznych i została utrwalona nowelizacją Kodeksu pracy, która weszła w życie z początkiem 2023 roku. Wiele firm i instytucji umożliwiło pracownikom pracę w ich mieszkaniach oraz korzystanie z prywatnych komputerów i smartfonów oraz komercyjnych narzędzi służących do komunikacji (Slack, Zoom, Skype, Webex) lub gromadzenia informacji (Dropbox, Dysk Google, OneDrive).

Powyższe udogodnienia często były wprowadzane w pośpiechu, bez zachowania odpowiednich standardów bezpieczeństwa organizacji i bez niezbędnej analizy ryzyka. Tymczasem wymagania w zakresie bezpieczeństwa informacji (w tym danych osobowych), czyli dotyczące zachowania ich poufności, dostępności i integralności, podczas pracy zdalnej pozostają takie same jak w normalnych warunkach (pkt 17.1.1 ISO/IEC 27002).

W konsekwencji pojawił się problem zapewnienia zgodności prowadzonej działalności z wymogami prawa, zawartymi kontraktami oraz wewnętrzną polityką w zakresie ochrony danych osobowych. W szczególności dotyczy to bezpieczeństwa przetwarzanych danych, zasad powierzenia danych osobowych do przetwarzania i ich transferu do państw trzecich.

RAPORT

Nowelizacja Kodeksu pracy

12 faktów, które powinien poznać każdy pracodawca

Sprawdź, jak kontrola trzeźwości i praca zdalna wpływają na dodatkowe obowiązki IOD w zakresie RODO.

Więcej

Inspektor ochrony danych (IOD), jako niezależny specjalista, jest zobowiązany do nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych oraz do monitorowania tych działań. W wytycznych Europejskiej Rady Ochrony Danych WP 243 wskazano, że w ramach monitorowania przestrzegania przepisów IOD powinien m.in.:

1. zbierać informacje w celu identyfikacji procesów przetwarzania,
2. analizować i sprawdzać zgodność tego przetwarzania,
3. informować administratora, doradzać mu oraz rekomendować określone działania.

W naszym artykule wskazujemy, jakie procedury powinni wprowadzić administratorzy, aby uregulować monitorowanie przez IOD przestrzegania przepisów o ochronie danych osobowych, nadzór nad zdalnym przetwarzaniem danych osobowych przez personel oraz uprawnienia w zakresie dokumentowania przyjętych ustaleń. Przedstawiamy również przykładowe tematy, które mogą być przedmiotem nadzoru.

A może kwestię monitorowania bezpieczeństwa pracy zdalnej przez IOD chcesz omówić z naszym specjalistą? Cezary Lutyński – nasz doradca ds. ochrony danych z pewnością Ci pomoże.

Podstawowe uregulowania w zakresie monitorowania zgodności z RODO

Według art. 39 ust. 1 lit. b RODO inspektor ochrony danych odpowiada m.in. za monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz wewnętrznych polityk ustanowionych w tym zakresie przez administratora lub podmiot przetwarzający. Dokumentem, który niewątpliwie zalicza się do tej grupy, jest procedura ochrony danych osobowych na potrzeby pracy zdalnej. Obowiązek jej wprowadzenia wynika z art. 67(26) § 1 Kodeksu pracy.

RODO nie określa formalnych wymagań w odniesieniu do wewnętrznych mechanizmów utrzymania systemu ochrony danych osobowych, pozostawiając dużą swobodę administratorowi danych w kształtowaniu polityk i procedur w tym zakresie. W związku z tym sposoby wprowadzenia nadzoru nad zgodnością z przepisami o ochronie danych osobowych, tryb planowania tego nadzoru, przeprowadzania i dokumentowania, a także sposoby dystrybucji wniosków powinny być określone przez administratora i wynikać z analizy ryzyka dla zdefiniowanych przez administratora zasobów (administrowane lub powierzone do przetwarzania dane osobowe) oraz zagrożeń (prawa i wolności osób, których dane dotyczą), z uwzględnieniem istniejących warunków przetwarzania (charakter, zakres, kontekst i cele przetwarzania). Przyjęte w organizacji rozwiązania powinny zapewniać skuteczny nadzór nad systemem ochrony danych osobowych w ramach każdej zidentyfikowanej lokalizacji, w której odbywają się operacje przetwarzania (w tym również w ramach pracy zdalnej, jeżeli taka forma pracy jest dopuszczona przez administratora).

Prezes Urzędu Ochrony Danych Osobowych (UODO), odwołując się do art. 24 ust. 1 RODO, również wskazuje na konieczność posiadania procedur monitorowania zgodności z przepisami o ochronie danych osobowych. Podkreśla, że administrator danych powinien całościowo wykazać zgodność przetwarzania, w tym m.in. zapewnienie kontroli nad procesem przetwarzania danych dzięki monitorowaniu przez inspektora ochrony danych przestrzegania przepisów i przyjętych procedur przetwarzania.

Ponadto Prezes UODO zwraca uwagę na mechanizmy monitorowania, przeglądu oraz doskonalenia systemu zarządzania bezpieczeństwem informacji, o których mowa w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Prezes UODO odwołuje się do wymagań § 20 ust. 2 pkt 14 powyższego rozporządzenia – obowiązku przeprowadzania okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok.

Należy zwrócić uwagę, aby przyjęte procedury i wymagania dotyczące ustanowionych przez administratora wewnętrznych mechanizmów utrzymania systemu ochrony danych osobowych były adekwatne do aktualnego stanu wiedzy technicznej – zgodnie z art. 32 ust. 1 RODO. Stosownie do wytycznych Europejskiej Rady Ochrony Danych 4/2019 w sprawie art. 25 RODO (domyślna ochrona danych oraz ochrona danych w fazie projektowania) chodzi zarówno o wiedzę techniczną na temat dostępnych środków bezpieczeństwa, jak i o wiedzę o systemach zarządzania bezpieczeństwem (standardy w zakresie zarządzania, dokumentowania zmian, konfiguracji i inne elementy, które powinny być zawarte w dokumentacji przetwarzania).

E-LEARNING

RODO przy pracy zdalnej

po nowelizacji Kodeksu pracy

Dzięki szkoleniu pracownicy dowiedzą się, jak w prosty sposób podnieść poziom bezpieczeństwa pracy zdalnej.

Więcej

W związku z powyższym, mając również na uwadze postanowienia normy ISO/IEC 27001 (pkt 9.2), inspektor ochrony danych powinien przeprowadzać audyty w obszarze ochrony danych osobowych w celu dostarczenia administratorowi informacji, czy funkcjonujący system jest zgodny z przepisami o ochronie danych osobowych oraz wewnętrznymi politykami w tym zakresie, a także czy jest skutecznie wdrożony i utrzymywany.

Wymaga to stworzenia mechanizmów dotyczących planowania, ustanawiania, wdrażania oraz utrzymywania programów audytów m.in. w zakresie:

1. częstotliwości przeprowadzania audytów, stosowanych metod oraz wymagań dotyczących raportowania,
2. kryteriów i zakresu każdego audytu,
3. przedstawienia wyników audytu najwyższemu kierownictwu administratora,
4. czasu przechowywania raportów z audytu.

W programie audytów administrator i inspektor ochrony danych powinni przypisać wyższy priorytet tym obszarom, które mają szczególne znaczenie dla danego systemu ochrony danych osobowych. Ze względu na zwiększone ryzyko zaliczają się do nich organizacja i wykonywanie pracy zdalnej. Jest to zatem audytowanie oparte na ryzyku.

Audyt to proces systematyczny, niezależny i udokumentowany, z określonymi wymaganiami formalnymi dotyczącymi trybu jego uruchamiania (konieczność odpowiednio wczesnego poinformowania administratora), przeprowadzania oraz dokumentowania. Dlatego administrator powinien rozważyć stosowanie elastycznych form monitorowania zgodności, np. bieżącą weryfikację przestrzegania polityk przetwarzania danych osobowych.

Podkreślenia wymaga fakt, że audyt prowadzony przez IOD w ramach monitorowania nie jest tym samym, co kontrola wykonywania pracy zdalnej, o której mowa w art. 6728 Kodeksu pracy, ani jej nie zastępuje. Na pierwszy rzut oka wydaje się, że zakres przedmiotowy tych dwóch czynności pozostaje – chociaż częściowo – zbieżny. Kontrola może bowiem obejmować kwestie związane z bezpieczeństwem i higieną pracy oraz przestrzeganiem wymogów w zakresie bezpieczeństwa i ochrony informacji – a w tym również procedur ochrony danych. Różnica polega jednak na tym, że audyt ma na celu weryfikację, jak z wdrożeniem procedur ochrony danych poradziła sobie cała organizacja, a kontrola weryfikuje jedynie, czy stosuje się do nich dany pracownik.

Sposoby monitorowania

Biorąc pod uwagę powyższe ustalenia, monitorowanie zgodności przetwarzania danych osobowych dokonywanego w ramach pracy zdalnej może być realizowane za pomocą:

1. audytu planowego – zgodnie z przyjętym programem audytów,
2. audytu doraźnego, gdy inspektor ochrony danych powziął wiadomość o naruszeniu ochrony danych osobowych lub ma uzasadnione podejrzenie wystąpienia takiego naruszenia,
3. bieżącej weryfikacji przestrzegania polityk przetwarzania danych osobowych na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych lub zgłoszenia osoby trzeciej lub z inicjatywy inspektora ochrony danych.

Podczas audytu (bez względu na sposób jego przeprowadzania) IOD powinien ocenić:

1. opracowanie i kompletność dokumentacji przetwarzania danych,
2. zgodność dokumentacji przetwarzania danych z obowiązującymi przepisami prawa,
3. stan faktyczny w zakresie przetwarzania danych osobowych,
4. zgodność ze stanem faktycznym technicznych i organizacyjnych środków ochrony danych przewidzianych w dokumentacji przetwarzania danych,
5. przestrzeganie przez personel zasad i obowiązków określonych w dokumentacji przetwarzania danych.

Sposoby dokumentowania czynności w trakcie monitoringu

Inspektor ochrony danych dokumentuje podejmowane w ramach monitoringu czynności w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz w taki sposób, który jest określony przez administratora w dokumentacji ochrony danych osobowych.

SZKOLENIE

RODO w HR

po nowelizacji Kodeksu pracy

Dla osób, które chcą zrozumieć, na czym polega ochrona danych osobowych w kontekście danych kadrowych i jak stosować wymogi prawa w tym zakresie.

Więcej

Dokumentowanie czynności może polegać na:

1. utrwaleniu danych z systemu informatycznego służącego do przetwarzania danych osobowych na informatycznym nośniku danych lub dokonaniu wydruku tych danych,
2. sporządzeniu notatki z czynności, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin oraz czynności związanych z dostępem do urządzeń, nośników i systemów informatycznych służących do przetwarzania danych osobowych,
3. odebraniu wyjaśnień od osoby, której czynności objęto sprawdzeniem,
4. sporządzeniu kopii otrzymanego dokumentu,
5. sporządzeniu kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania danych osobowych,
6. sporządzeniu kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.

Obszary podlegające weryfikacji

Kryteria monitoringu przeprowadzanego przez inspektora ochrony danych – oprócz tego, że zostały uregulowane w przepisach o ochronie danych osobowych – są określane także w szczegółowej polityce i procedurze ustanowionej przez danego administratora. Mimo to można wyróżnić elementy uniwersalne dla modelu pracy zdalnej. Należą do nich:

1. bezpieczeństwo osobowe,
2. bezpieczeństwo fizyczne i środowiskowe,
3. bezpieczeństwo sieci,
4. bezpieczeństwo sprzętu komputerowego,
5. bezpieczeństwo systemów i aplikacji.