2020-04-15

Praca zdalna na danych osobowych w czasach epidemii

Od niedawna w związku z trudną sytuacją epidemiologiczną oglądamy w telewizji nową reklamę jednego z dostawców Internetu, pytającego nas retorycznie, czy dom musi teraz pomieścić jednocześnie biuro, szkołę i inne aktywności naszego dotychczasowego, codziennego życia. W praktyce wiemy już, że dom musi pomieścić wszystko a zwiększenie ilości dostępnego Internetu w prezencie od dostawcy, wydaje się marketingowo trafiać w nasze potrzeby.

No dobrze, ale jedną kwestią jest to, czy nasz domowy Internet uciągnie nagłe przeciążenie, a drugie, co zrobić, aby nagle nie okazało się, że poufne informacje, zawierające dane osobowe naszych klientów lub tajemnicę przedsiębiorcy przestały być chronione.

CO NA TO PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH

Z pomocą stara się przyjść Prezes Urzędu Ochrony Danych Osobowych w komunikacie pod tytułem "Ochrona danych osobowych podczas pracy zdalnej” wydanym na okoliczność epidemii https://uodo.gov.pl/pl/138/1459, opublikowanym 17 marca 2020 r. na stronach urzędu. Komunikat zawiera dość ogólne porady, z których część stosować można i bez epidemii, w związku z upowszechniającą się praktyką pracy zdalnej wśród tzw. białych kołnierzyków, a nawet trzeba stosować również w ramach pracy w samym biurze, np. w kwestii potrzeby każdorazowej weryfikacji adresata nadawanej wiadomości e-mail celem wykluczenia omyłkowej wysyłki do osoby nieupoważnionej – w końcu pewne minimum staranności obowiązuje nas bez względu na sytuację i warunki. Z komunikatu wynika nadto, że urządzenia i oprogramowanie przekazane przez pracodawcę do pracy zdalnej służą do wykonywania obowiązków służbowych, nie powinniśmy niczego instalować samodzielnie, a to co już mamy, powinno być zaktualizowane i zabezpieczone systemem antywirusowym.

ZASADY OBOWIĄZUJĄCE W ORGANIZACJI PRZYSŁOWIOWYM GWOŹDZIEM DO TRUMNY

Komunikat zakłada więc optymistycznie, że wszyscy otrzymaliśmy, najlepiej jeszcze przed epidemią, służbowe urządzenia przenośne, należycie skonfigurowane i zabezpieczone, a martwić się możemy najwyżej o jakość i zabezpieczenie naszego Internetu, jeśli i tego nie zapewnił nam zapobiegliwy pracodawca. Nie ma tu więc niczego nowego, nie ma też rozwiązań na braki sprzętowe u pracodawcy, które kryzys może jedynie pogłębić, ale jedno zdanie powinno jednak dać pracodawcom do myślenia. Jeśli bowiem podsumować zalecenia Prezesa, to zakładają one, że powinniśmy zawsze stosować się do zasad obowiązujących w organizacji. I tu pojawia się kwestia, która sama w sobie będzie albo przeszkodą w zapewnieniu bezpieczeństwa przetwarzania podczas epidemii albo pomocą. 

Pomijam sytuację karygodną, gdy pracodawca nigdy nie przewidział żadnych zasad. Sporo jednak przedsiębiorców opracowało, spisało i wdrożyło już zasady pracy na danych osobowych na skutek wejścia w życie w dniu 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych). Problem w tym, że zasady te zostały często z różnych przyczyn opracowane jako dość restrykcyjne. Czasami właśnie na skutek strachu przed kontrolą Prezesa Urzędu Ochrony Danych Osobowych. Niektórzy więc wprost zakazywali pracy zdalnej pracownikom biurowym albo dopuszczali ją jedynie w marginalnym, ściśle kontrolowanym zakresie albo wyłącznie przy wykorzystaniu infrastruktury pracodawcy (czyż nie to sugeruje właśnie Prezes Urzędu Ochrony Danych Osobowych). Obecnie jednak mamy do czynienia z sytuacją wyjątkową, w której nie pojedynczy pracownik, ale cała załoga styka się z trudnościami, takimi jak przeciążenie Internetu, w konsekwencji brak możliwości bezprzewodowego połączenia z siecią pracodawcy, brak lub przeciążenie Virtual Private Network, wysyłka danych w formie maili na zasadzie bieżących potrzeb, zaprzestanie archiwizacji danych w miejscach, do których zwykle zobowiązują regulaminy organizacji, braki sprzętowe. Rozpoczyna się zatem ratowanie sytuacji poprzez korzystanie z komputerów prywatnych i sieci domowych. Tego oczywiście większość regulaminów organizacji nie przewidziała zwykle ze względu na znikomy wpływ pracodawcy na ich zabezpieczenie, ale również z racji tego, że na komputerach prywatnych mamy licencje dostawcy oprogramowania typu home, a więc pracując na nich na potrzeby firmy wchodzi w grę potencjalne naruszenie warunków licencji, a za to przecież żaden pracodawca odpowiadać nie chce.

WORK FROM ANYWHERE, ANYTIME, ON ANY DEVICE

Czy zatem należy dojść do konkluzji, że pracownik nie może korzystać z prywatnego komputera w wyjątkowej, czasowo ograniczonej sytuacji, uzasadnionej np. brakiem środków pracodawcy na dokupienie sprzętu czy oprogramowania cloudowego czy zawsze zachowanie najwyższych standardów jest koniecznością? Obecne czasy zmuszają nas do masowego wdrożenia modelu “work from anywhere, anytime, on any device”, bo inaczej przestaniemy pracować w ogóle. Jednak to, że pracujemy na jakichkolwiek urządzeniach nie oznacza, że pracować mamy byle jak. Ustawy ani rozporządzenia nie powiedzą nam jak skonfigurować bezpieczną sieć, jak wdrożyć zastępcze archiwizowanie, jak ominąć hackerów – innymi słowy jak zamienić dom w biuro. Ale to właśnie one przewidziały instytucje, które w miarę możliwości mogą wypracować właściwe rozwiązania, przy czym właściwe nie oznacza takie same, jak w biurze.

PLAN AWARYJNY

Chyba więc czas na poważnie potraktować tę całą dokumentację, którą przedsiębiorcy implementowali u siebie, miejmy nadzieję wraz z wejściem w życie ogólnego rozporządzenia o ochronie danych, nie jako zasłonę dymną na wypadek kontroli wdrażającej rzekomo maksymalne bezpieczeństwo, które z realiami przedsiębiorstwa nie ma wiele wspólnego, a już na pewno w czasach kryzysyzowych, ale jako dokumentację elastyczną mającą wspomóc przedsiębiorcę m.in. w takich sytuacjach jak obecna. Dokumentacja musi zatem przewidywać plany awaryjne, np. na wypadek epidemii, ale i osoby, które te plany mają wdrożyć, takie jak inspektor ochrony danych czy w odpowiednim zakresie inspektor bezpieczeństwa i higieny pracy, którzy na bieżąco powinni śledzić komunikaty Głównego Inspektora Sanitarnego celem dostosowania się do zmieniającej sytuacji. To oni w związku z tym powinni mieć nadane szczególne uprawnienia w ramach zaistniałej sytuacji. Plan awaryjny jest po to, aby gdy się wszystko wali, zminimalizować zagrożenie. Plan nie oznacza narzucenia wyśrubowanych kryteriów, których nie będziemy w stanie spełnić, ale umożliwić zapewnienie koniecznego bezpieczeństwa w koniecznym, oznaczonym (nawet jeśli następnie przedłużanym) czasie.

Plan awaryjny można zrobić na 2 sposoby:

1. starać się z góry przewidzieć wszystkie możliwie najbardziej czarne scenariusze, konfrontując je z realiami firmy i wdrożyć do niego odpowiednie procedury; lub
2. w związku z tym, że życie lubi zaskakiwać, co dobitnie przypomniała nam epidemia koronawirusa, powołać odpowiednie osoby i nadać im odpowiednie uprawnienia do wdrażania tych procedur, w tym uchylania istniejących procedur być może zbyt ambitnych na czas epidemii, które pomogą zapewnić konieczny komfort i bezpieczeństwo pracy.

Osobom zaś, na których barkach spocznie zadanie wdrożenia planu awaryjnego, z pomocą przyjdzie nielubiane i niedoceniane przez przedsiębiorców narzędzie w postaci prowadzenia oceny skutków dla danych osobowych, przewidziane w art. 35 ogólnego rozporządzenia o ochronie danych. Oczywiście nie każdy musi robić taką ocenę, ale każdy może ją wykorzystać. Nie powinien być to jednorazowy dokument stanowiący kolejną zasłonę dymną na wypadek kontroli, lecz realny raport zarządczy na potrzeby wewnętrzne, robiony cyklicznie w formie uproszczonej aktualizacji o zmieniającej się sytuacji, napotkanych problemach, pomysłach na ich rozwiązanie i efektach przyjęcia danego rozwiązania. 

Jednym z zagrożeń prawidłowego przetwarzania danych osobowych jest utrata nam nimi kontroli. 

Brak planu to brak kontroli.