Każdy z nas pewnie słyszał, że to człowiek jest najsłabszym ogniwem systemu ochrony danych. Tak może rzeczywiście być, jeśli pracownicy przetwarzają dane objęte ryzykiem szkody (np. utraty środków przez klienta), bez świadomości zagrożeń, znajomości zabezpieczeń, czy nawet dbałości o bezpieczeństwo.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Osoby posiadające najszerszy dostęp do danych z reguły są ogniwem najistotniejszym – nie tylko z perspektywy możliwych skutków incydentu, ale też realizacji praw osób, których dane dotyczą. Poważny incydent może jednak spowodować właściwie każdy pracownik – nie tylko z braku świadomości, ale czasem także z braku poczucia odpowiedzialności, a nawet złośliwości czy głupoty.
Najpopularniejszych typów incydentów zwykle można uniknąć, jeśli pracownik nie popełni błędów, takich jak: wysyłka wiadomości pod błędny adres, zgubienie laptopa, pozostawienie niezabezpieczonych dokumentów, praca w domu przy dostępie rodziny i znajomych itd. Może się też zdarzyć, że pracownik z niskich pobudek rozmyślnie ujawni informacje o koledze z pracy lub kliencie, nie znając możliwych konsekwencji dla siebie i organizacji.
Skutki nieświadomości pracownika częściowo można ograniczyć dzięki rozwiązaniom technicznym, ale zwykle nie będzie to wystarczające. Na przykład, możemy ustawić automatyczne blokowanie ekranu po kilku minutach nieaktywności, ale nie tuż po odejściu pracownika od komputera. Możemy ułatwić korzystanie z książki adresów e-mail, ale nie zablokujemy możliwości błędnego wpisania adresata. Możemy zakupić niszczarki, ale dokumenty nadal można wyrzucić bez ich użycia.
Jak najlepiej podejść do zapewnienia świadomości pracowników?
Świadomość pracowników jest kluczem: brak wiedzy, jak zachować się w danej sytuacji, może nie tylko zwolnić pracownika z odpowiedzialności, ale przede wszystkim – stanowić jedną z zasadniczych podatności. W jaki sposób to rozwiązać?
Po pierwsze, należy określić, czego oczekujemy od pracownika na danym stanowisku. Nie chodzi tutaj o ogólny stopień znajomości przepisów, ale przede wszystkim o odpowiedź, jaka jest rola danego pracownika w ramach systemu ochrony danych. Dobrze przygotowane procedury powalają łatwo ustalić zakresy odpowiedzialności poszczególnych osób.
Przykład: Każda osoba upoważniona do przetwarzania danych powinna kierować się zasadami wiedzy koniecznej do wykonywanych obowiązków, zabezpieczać dane po odejściu od stanowiska, unikać zwiększania ryzyka dla danych (np. poprzez zapisywanie haseł na karteczkach, czy pozostawianie wydruków w drukarce), a także wiedzieć, jak postępować w razie wykrycia zagrożeń lub wpływu żądania realizacji praw z RODO.
Po drugie, należy formalnie przedstawić pracownikowi jego obowiązki związane z ochroną danych. Najlepiej, jeśli będzie to udostępnienie polityk i procedur, do których stosowania pracownik jest zobowiązany. Dokumenty powinny opisywać sposób postępowania krok po kroku – samo powtórzenie treści przepisów może nie być wystarczające. Wymogi powinny być dostosowane do kompetencji i kwalifikacji pracownika.
Po trzecie, należy odpowiednio przeszkolić pracownika. Znajomość procedur jest wymogiem minimalnym, natomiast nie miejmy złudzeń: wielu przejrzy te dokumenty jedynie pobieżnie. Ochrona danych nie jest suchą wiedzą – to przede wszystkim umiejętności. Z tego powodu, najlepiej zorganizować szkolenie dostosowane do danej kategorii pracowników lub udostępnić szkolenie elektroniczne, gdzie wiedza zostanie sprawdzona testem końcowym.
Po czwarte, bezpieczeństwa nie osiąga się jednorazowo. Ze względu na zmiany w organizacji, technologii, prawie, a także składzie osobowym zespołu pracowników, efekty jednego szkolenia spadają z upływem czasu. Do budowania świadomości najlepiej podejść jako do procesu ciągłego: organizować szkolenia wstępne dla nowych pracowników, prowadzić regularne akcje uświadamiające (np. w formie wiadomości e-mail, ulotek, plakatów), a także dokonywać przeglądu funkcjonujących procesów.
Po piąte, pracownicy potrzebują narzędzi do osiągnięcia stawianych im wymogów. Przykładowo, realizacja terminów usunięcia danych czy żądań w zakresie usunięcia danych często wymaga zapewnienia odpowiednich funkcjonalności systemów informatycznych. Wskazuje to na konieczność weryfikacji – najlepiej w toku audytu – jak przyjęte rozwiązania funkcjonują w praktyce i co jest źródłem niedociągnięć.
RODO poradnik dla pracowników
w prosty i przystępny sposób prezentuje kluczowe pojęcia, których znajomość jest niezbędna do zrozumienia problematyki ochrony danych osobowych. Ponadto dzięki możliwości uzupełnienia specjalnego pola przeznaczonego do wskazania danych osoby wyznaczonej w Państwa organizacji do kontaktu na wypadek incydentu, stanowi wygodne narzędzie do udostępnienia pracownikom informacji także w tym zakresie.
Zachęcamy do pobrania i rozdystrybuowania poradnika w Państwa organizacji. W celu rozszerzenia wiedzy z zakresu ochrony danych osobowych zalecamy przekazanie go przede wszystkim pracownikom i współpracownikom mającym lub mogącym mieć dostęp do danych osobowych. Na siódmej stronie poradnika znajduje się pole, które mogą Państwo uzupełnić swoimi danymi do kontaktu, w celu udzielenia dalszych wyjaśnień osobom zainteresowanym. Pobierz
Rozliczalność to także… mniejsza odpowiedzialność
Jeśli organizacja sama spełni wymogi RODO, odpowiednio informując, szkoląc i wyposażając pracownika, to ewentualną odpowiedzialność za wystąpienie naruszenia poniesie sam pracownik – najczęściej w formie sankcji dyscyplinarnych. Podstawowym testem w tym zakresie jest, czy:
- Organizacja wdrożyła prawidłowe rozwiązania.
- Pracownik był formalnie zobowiązany do ich realizacji.
- Pracownik miał odpowiedni poziom świadomości.
- Pracownik miał narzędzia umożliwiające ich realizację.
Podobnie jest między samymi pracownikami – każdy odpowiada za wypełnienie swoich własnych obowiązków i wystarczy, jeśli jest w stanie wykazać, że działał zgodnie z instrukcjami.
Przykład: Administrator formalnie przyjął i opublikował politykę czystego biurka, zobowiązując pracowników do zamykania dokumentów na klucz w szafkach przy każdorazowym opuszczaniu stanowiska. Przedstawiciel handlowy zapomniał tego zrobić i przemieszczając się po salonie sprzedaży, pozostawił segregator z podpisanymi umowami na biurku. Do utraty danych doszło przez zaniedbanie pracownika.
Kiedy ostatnio
robiłeś analizę ryzyka?
Co zrobić, aby pracownicy współdziałali, traktując bezpieczeństwo jako wspólną wartość?
Do zapewnienia bezpieczeństwa potrzebna jest nie tylko świadomość, ale i zaangażowanie pracowników. Jeśli jeden z nich zobaczy niezabezpieczone dane, otwarte drzwi lub inne zagrożenie – powinien reagować nie tylko z poczucia obowiązku, ale przede wszystkim ze względu na to, że dobro organizacji i jej klientów to także dobro jej pracownika. Utrata reputacji lub konieczność zapłaty wysokich odszkodowań czy kar finansowych, mogłaby przecież odbić się na całym zespole pracowników.
Wskazówka: Warto w sposób klarowny przedstawić powyższą zależność – najlepiej w formie, która zapadnie w pamięć. Na przykład – po godzinach pracy oznaczając czyste biurka zielonymi karteczkami, zaś czerwonymi te, gdzie pozostały dokumenty. Za pierwszym razem można nie wyciągać konsekwencji personalnych, a zamiast tego wysłać do wszystkich wiadomość, że powtórzenie się sytuacji może być źródłem zupełnie niepotrzebnych naruszeń i odpowiedzialności, których skutki odczują wszyscy.
Zamiast podsumowania – kolejna wskazówka
Pracownik stanowi jeden z kluczowych elementów systemu ochrony danych – jest podobnie jak z organizmem, gdzie dysfunkcja pojedynczego organu może mieć katastrofalny wpływ na funkcjonowanie całego organizmu. Dlatego uświadomienie pracowników jest niezbędne, aby pieniądze wydane na przygotowanie klauzul, dokumentacji, a także zabezpieczeń technicznych i organizacyjnych, nie poszły na marne z powodu braku wykorzystania przez naszych pracowników tych narzędzi w praktyce, a może nawet zwykłej ludzkiej nonszalancji właściwej czasom sprzed stosowania RODO.