Świadomość pracowników
to klucz do zgodności z RODO

Podsumowanie 2018

Jakie znaczenie dla zgodności z RODO i bezpieczeństwa informacji mają nasi pracownicy?

Każdy z nas pewnie słyszał, że to człowiek jest najsłabszym ogniwem systemu ochrony danych. Tak może rzeczywiście być, jeśli pracownicy przetwarzają dane objęte ryzykiem szkody (np. utraty środków przez klienta), bez świadomości zagrożeń, znajomości zabezpieczeń, czy nawet dbałości o bezpieczeństwo.

Znaczenie poszczególnych kategorii pracowników dla zgodności z RODO ma nie tylko różny stopień, ale dotyczy też różnych aspektów ochrony danych. Na przykład, szczególną rolą pracowników pozyskujących dane osobowe jest spełnianie obowiązku informacyjnego oraz zapewnianie odpowiednich podstaw prawnych (np. zbieranie zgód). Z kolei pracownicy działu IT są kluczowi dla identyfikacji luk i ryzyk w zakresie sieci i systemów informatycznych.

Osoby posiadające najszerszy dostęp do danych z reguły są ogniwem najistotniejszym – nie tylko z perspektywy możliwych skutków incydentu, ale też realizacji praw osób, których dane dotyczą. Poważny incydent może jednak spowodować właściwie każdy pracownik – nie tylko z braku świadomości, ale czasem także z braku poczucia odpowiedzialności, a nawet złośliwości czy głupoty.

Najpopularniejszych typów incydentów zwykle można uniknąć, jeśli pracownik nie popełni błędów, takich jak: wysyłka wiadomości pod błędny adres, zgubienie laptopa, pozostawienie niezabezpieczonych dokumentów, praca w domu przy dostępie rodziny i znajomych itd. Może się też zdarzyć, że pracownik z niskich pobudek rozmyślnie ujawni informacje o koledze z pracy lub kliencie, nie znając możliwych konsekwencji dla siebie i organizacji. Więcej przykładów: „Niebezpieczne biurka – jak pracownicy narażają firmy”.

E-learning

Skutki nieświadomości pracownika częściowo można ograniczyć dzięki rozwiązaniom technicznym, ale zwykle nie będzie to wystarczające. Na przykład, możemy ustawić automatyczne blokowanie ekranu po kilku minutach nieaktywności, ale nie tuż po odejściu pracownika od komputera. Możemy ułatwić korzystanie z książki adresów e-mail, ale nie zablokujemy możliwości błędnego wpisania adresata. Możemy zakupić niszczarki, ale dokumenty nadal można wyrzucić bez ich użycia. Więcej w wystąpieniu przedstawiciela Urzędu m. st. Warszawy, dyr. Adama Grzegrzółki, podczas jednego z naszych spotkań eksperckich.

Jak najlepiej podejść do zapewnienia świadomości pracowników?

Świadomość pracowników jest kluczem: brak wiedzy, jak zachować się w danej sytuacji, może nie tylko zwolnić pracownika z odpowiedzialności, ale przede wszystkim – stanowić jedną z zasadniczych podatności. W jaki sposób to rozwiązać?

Po pierwsze, należy określić, czego oczekujemy od pracownika na danym stanowisku. Nie chodzi tutaj o ogólny stopień znajomości przepisów, ale przede wszystkim o odpowiedź, jaka jest rola danego pracownika w ramach systemu ochrony danych. Dobrze przygotowane procedury powalają łatwo ustalić zakresy odpowiedzialności poszczególnych osób.

Przykład: Każda osoba upoważniona do przetwarzania danych powinna kierować się zasadami wiedzy koniecznej do wykonywanych obowiązków, zabezpieczać dane po odejściu od stanowiska, unikać zwiększania ryzyka dla danych (np. poprzez zapisywanie haseł na karteczkach, czy pozostawianie wydruków w drukarce), a także wiedzieć, jak postępować w razie wykrycia zagrożeń lub wpływu żądania realizacji praw z RODO. Więcej: „Jak stworzyć użyteczną dokumentację ochrony danych?”.

Po drugie, należy formalnie przedstawić pracownikowi jego obowiązki związane z ochroną danych. Najlepiej, jeśli będzie to udostępnienie polityk i procedur, do których stosowania pracownik jest zobowiązany. Dokumenty powinny opisywać sposób postępowania krok po kroku – samo powtórzenie treści przepisów może nie być wystarczające. Wymogi powinny być dostosowane do kompetencji i kwalifikacji pracownika.

Po trzecie, należy odpowiednio przeszkolić pracownika. Znajomość procedur jest wymogiem minimalnym, natomiast nie miejmy złudzeń: wielu przejrzy te dokumenty jedynie pobieżnie. Ochrona danych nie jest suchą wiedzą – to przede wszystkim umiejętności. Z tego powodu, najlepiej zorganizować szkolenie dostosowane do danej kategorii pracowników lub udostępnić szkolenie elektroniczne, gdzie wiedza zostanie sprawdzona testem końcowym. Więcej: „Ochrona danych osobowych w miejscu pracy – jak edukować pracowników?”.

Po czwarte, bezpieczeństwa nie osiąga się jednorazowo. Ze względu na zmiany w organizacji, technologii, prawie, a także składzie osobowym zespołu pracowników, efekty jednego szkolenia spadają z upływem czasu. Do budowania świadomości najlepiej podejść jako do procesu ciągłego: organizować szkolenia wstępne dla nowych pracowników, prowadzić regularne akcje uświadamiające (np. w formie wiadomości e-mail, ulotek, plakatów), a także dokonywać przeglądu funkcjonujących procesów.

Po piąte, pracownicy potrzebują narzędzi do osiągnięcia stawianych im wymogów. Przykładowo, realizacja terminów usunięcia danych czy żądań w zakresie usunięcia danych często wymaga zapewnienia odpowiednich funkcjonalności systemów informatycznych. Wskazuje to na konieczność weryfikacji – najlepiej w toku audytu – jak przyjęte rozwiązania funkcjonują w praktyce i co jest źródłem niedociągnięć.

Rozliczalność to także… mniejsza odpowiedzialność

Jeśli organizacja sama spełni wymogi RODO, odpowiednio informując, szkoląc i wyposażając pracownika, to ewentualną odpowiedzialność za wystąpienie naruszenia poniesie sam pracownik – najczęściej w formie sankcji dyscyplinarnych. Podstawowym testem w tym zakresie jest, czy:

  • Organizacja wdrożyła prawidłowe rozwiązania.
  • Pracownik był formalnie zobowiązany do ich realizacji.
  • Pracownik miał odpowiedni poziom świadomości.
  • Pracownik miał narzędzia umożliwiające ich realizację.

Podobnie jest między samymi pracownikami – każdy odpowiada za wypełnienie swoich własnych obowiązków i wystarczy, jeśli jest w stanie wykazać, że działał zgodnie z instrukcjami.

Przykład: Administrator formalnie przyjął i opublikował politykę czystego biurka, zobowiązując pracowników do zamykania dokumentów na klucz w szafkach przy każdorazowym opuszczaniu stanowiska. Przedstawiciel handlowy zapomniał tego zrobić i przemieszczając się po salonie sprzedaży, pozostawił segregator z podpisanymi umowami na biurku. Do utraty danych doszło przez zaniedbanie pracownika. Więcej: „Konsekwencje nieprzestrzegania procedur ochrony danych osobowych”.

Rozliczalność najprościej zapewnić w formie pisemnej – narzędziami w tym zakresie są w szczególności polityki i procedury, upoważnienia do przetwarzania danych, zaświadczenia i certyfikaty z odbytych szkoleń, oświadczenia pracownika o zapoznaniu się z przepisami i dokumentacją w zakresie ochrony danych, zobowiązanie do zachowania poufności. Poczucie realnej odpowiedzialności jest podstawą, ale równie ważny jest jego wydźwięk: efektem nie powinna być skłonność do unikania obowiązków czy przenoszenia ich na współpracowników, ale traktowanie bezpieczeństwa jak wspólnego dobra.

Co zrobić, aby pracownicy współdziałali, traktując bezpieczeństwo jako wspólną wartość?

Do zapewnienia bezpieczeństwa potrzebna jest nie tylko świadomość, ale i zaangażowanie pracowników. Jeśli jeden z nich zobaczy niezabezpieczone dane, otwarte drzwi lub inne zagrożenie – powinien reagować nie tylko z poczucia obowiązku, ale przede wszystkim ze względu na to, że dobro organizacji i jej klientów to także dobro jej pracownika. Utrata reputacji lub konieczność zapłaty wysokich odszkodowań czy kar finansowych, mogłaby przecież odbić się na całym zespole pracowników.

SoRODO

Wskazówka: Warto w sposób klarowny przedstawić powyższą zależność – najlepiej w formie, która zapadnie w pamięć. Na przykład – po godzinach pracy oznaczając czyste biurka zielonymi karteczkami, zaś czerwonymi te, gdzie pozostały dokumenty. Za pierwszym razem można nie wyciągać konsekwencji personalnych, a zamiast tego wysłać do wszystkich wiadomość, że powtórzenie się sytuacji może być źródłem zupełnie niepotrzebnych naruszeń i odpowiedzialności, których skutki odczują wszyscy.

Zamiast podsumowania – kolejna wskazówka

Pracownik stanowi jeden z kluczowych elementów systemu ochrony danych – jest podobnie jak z organizmem, gdzie dysfunkcja pojedynczego organu może mieć katastrofalny wpływ na funkcjonowanie całego organizmu. Dlatego uświadomienie pracowników jest niezbędne, aby pieniądze wydane na przygotowanie klauzul, dokumentacji, a także zabezpieczeń technicznych i organizacyjnych, nie poszły na marne z powodu braku wykorzystania przez naszych pracowników tych narzędzi w praktyce, a może nawet zwykłej ludzkiej nonszalancji właściwej czasom sprzed stosowania RODO.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Adw. dr Paweł Mielniczek
03 września 2019

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się