Środki bezpieczeństwa, gdy stronę internetową pracodawcy prowadzą pracownicy …
Coraz częstszą praktyką jest tworzenie przez pracodawców stron internetowych, na które treści wprowadzać będą pracownicy. Rozwiązania takie stosowane są np. w szkołach. Niejednokrotnie wprowadzane treści mogą zawierać dane osobowe. Sprawdź, jakie zabezpieczenia dotyczące przetwarzania danych osobowych należy wprowadzić, gdy pracownicy wykonują tego typu czynności poza zakładem pracy.
Czy na pewno przetwarzane będą dane osobowe?
W pierwszej kolejności należy ustalić, czy prowadząc stronę internetową, pracownicy przetwarzają jakiekolwiek dane osobowe, a jeśli tak, to czy te dane nie są powszechnie dostępne. Z reguły informacje dostępne na stronie internetowej mają bowiem charakter informacyjny, nie wiążący się równocześnie z ujawnianiem danych osobowych, które nie byłyby przeznaczone do publicznej wiadomości. Same dane osobowe (np. pracowników) są zawarte w innych, niezwiązanych ze stroną internetową bazach danych.
Powinieneś wybrać odpowiednie zabezpieczenia
Dlatego też na sprawę warto spojrzeć pod kątem potencjalnego ataku hakerskiego lub innej formy inwazji, w związku z którą nastąpiłby wyciek przetwarzanych danych osobowych. Jeżeli administrator danych osobowych dojdzie do wniosku, że zdalne prowadzenie strony internetowej może wiązać się z wyciekiem jakichkolwiek przetwarzanych przez niego danych, wówczas powinien on rozważyć wprowadzenie odpowiednich zabezpieczeń.
Zgodnie z art. 32 RODO, uwzględniając:
- stan wiedzy technicznej,
- koszt wdrażania,
- charakter, zakres, kontekst i cele przetwarzania oraz
- ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
należy wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym np. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania lub zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
Zabezpieczenia w przypadku pracy w domu
Jeżeli ADO planuje przygotowanie jednego laptopa (z zabezpieczeniami, na którym nie będzie żadnych danych osobowych), który pracownicy będą mogli zabierać do domu celem wprowadzania z niego treści na stronę internetową, to jest to dobre, bezpieczne i niedrogie rozwiązanie zapewniające bezpieczeństwo przetwarzanych danym osobowym. Szkolenie z podstaw bezpieczeństwa również zwiększa prawdopodobieństwo właściwego posługiwania się narzędziami pracy.
W przypadku wykonywania opisywanych czynności na komputerach domowych pracowników warto mieć świadomość ryzyka ewentualnego ataku z zewnątrz, w wyniku którego osoba trzecia dostanie się na konto osoby edytującej stronę internetową. Tym samym, jeżeli pracownicy przenoszą pracę do domu, trzeba przede wszystkim uważać:
- na jakich danych się pracuje oraz
- na to, jakich loginów i haseł się używa.
W skrajnych bowiem przypadkach praca na niezabezpieczonym domowym komputerze może doprowadzić do naruszenia przepisów.
Pracownik szkoły chce wprowadzić na stronie internetowej informację o ilości dzieci, które miały problemy z integracją w grupie i którym tę integrację wychowawcy ułatwili. Pracownik nie zamierza ujawniać tożsamości tych dzieci, jednak ich nazwiska i zaobserwowane problemy zamieścił na stronie internetowej jako plik niewidoczny dla osób trzecich (celem dokonania obliczeń i analiz i zamieszczenia danych liczbowych). Osoba postronna włamuje się na konto pracownika i ujawnia w Internecie zgromadzone w tym roboczym pliku informacje. Mamy wówczas do czynienia z wyciekiem wrażliwych danych osobowych.
Praca na domowym, niezabezpieczonym komputerze, doprowadziła do tego, że osoba postronna przejęła login i hasło użytkownika. Ten sam login i hasło obowiązywało w ramach wewnętrznych systemów zakładu pracy, przez co osoba postronna dostała się do baz danych osobowych takich jak lista kontrahentów czy też dane kadrowe.
Dlatego też, podczas używania domowych, nieobjętych systemem administratora danych osobowych, komputerów warto ograniczyć pracę na danych osobowych do niezbędnego minimum oraz unikać powtarzalnych haseł i loginów w ramach różnych systemów.
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Prawo jazdy w aktach osobowych pracownika – czy to zgodne z RODO
- Standardy ochrony małoletnich – czy możliwa weryfikacja w KRK i Rejestrze Sprawców Przestępstw na Tle Seksualnym w trakcie zatrudnienia
- Co po kontroli RODO – jak przebiega postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
- Regulamin zamiast umowy powierzenia przetwarzania danych? Sprawdź, czy to możliwe
- Aplikacje webowe – jak przeprowadzić analizę ryzyka i zabezpieczyć dane
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
