Środki bezpieczeństwa, gdy stronę internetową pracodawcy prowadzą pracownicy …

Dodano: 22 marca 2019
Internet w strategii marketingowej

Coraz częstszą praktyką jest tworzenie przez pracodawców stron internetowych, na które treści wprowadzać będą pracownicy. Rozwiązania takie stosowane są np. w szkołach. Niejednokrotnie wprowadzane treści mogą zawierać dane osobowe. Sprawdź, jakie zabezpieczenia dotyczące przetwarzania danych osobowych należy wprowadzić, gdy pracownicy wykonują tego typu czynności poza zakładem pracy.

Czy na pewno przetwarzane będą dane osobowe?

W pierwszej kolejności należy ustalić, czy prowadząc stronę internetową, pracownicy przetwarzają jakiekolwiek dane osobowe, a jeśli tak, to czy te dane nie są powszechnie dostępne. Z reguły informacje dostępne na stronie internetowej mają bowiem charakter informacyjny, nie wiążący się równocześnie z ujawnianiem danych osobowych, które nie byłyby przeznaczone do publicznej wiadomości. Same dane osobowe (np. pracowników) są zawarte w innych, niezwiązanych ze stroną internetową bazach danych.

Powinieneś wybrać odpowiednie zabezpieczenia

Dlatego też na sprawę warto spojrzeć pod kątem potencjalnego ataku hakerskiego lub innej formy inwazji, w związku z którą nastąpiłby wyciek przetwarzanych danych osobowych. Jeżeli administrator danych osobowych dojdzie do wniosku, że zdalne prowadzenie strony internetowej może wiązać się z wyciekiem jakichkolwiek przetwarzanych przez niego danych, wówczas powinien on rozważyć wprowadzenie odpowiednich zabezpieczeń.

Zgodnie z art. 32 RODO, uwzględniając:

  • stan wiedzy technicznej,
  • koszt wdrażania,
  • charakter, zakres, kontekst i cele przetwarzania oraz
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,

należy wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym np. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania lub zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

Zabezpieczenia w przypadku pracy w domu

Jeżeli ADO planuje przygotowanie jednego laptopa (z zabezpieczeniami, na którym nie będzie żadnych danych osobowych), który pracownicy będą mogli zabierać do domu celem wprowadzania z niego treści na stronę internetową, to jest to dobre, bezpieczne i niedrogie rozwiązanie zapewniające bezpieczeństwo przetwarzanych danym osobowym. Szkolenie z podstaw bezpieczeństwa również zwiększa prawdopodobieństwo właściwego posługiwania się narzędziami pracy.

W przypadku wykonywania opisywanych czynności na komputerach domowych pracowników warto mieć świadomość ryzyka ewentualnego ataku z zewnątrz, w wyniku którego osoba trzecia dostanie się na konto osoby edytującej stronę internetową. Tym samym, jeżeli pracownicy przenoszą pracę do domu, trzeba przede wszystkim uważać:

  • na jakich danych się pracuje oraz
  • na to, jakich loginów i haseł się używa.

W skrajnych bowiem przypadkach praca na niezabezpieczonym domowym komputerze może doprowadzić do naruszenia przepisów.

Przykład

Pracownik szkoły chce wprowadzić na stronie internetowej informację o ilości dzieci, które miały problemy z integracją w grupie i którym tę integrację wychowawcy ułatwili. Pracownik nie zamierza ujawniać tożsamości tych dzieci, jednak ich nazwiska i zaobserwowane problemy zamieścił na stronie internetowej jako plik niewidoczny dla osób trzecich (celem dokonania obliczeń i analiz i zamieszczenia danych liczbowych). Osoba postronna włamuje się na konto pracownika i ujawnia w Internecie zgromadzone w tym roboczym pliku informacje. Mamy wówczas do czynienia z wyciekiem wrażliwych danych osobowych.

Przykład

Praca na domowym, niezabezpieczonym komputerze, doprowadziła do tego, że osoba postronna przejęła login i hasło użytkownika. Ten sam login i hasło obowiązywało w ramach wewnętrznych systemów zakładu pracy, przez co osoba postronna dostała się do baz danych osobowych takich jak lista kontrahentów czy też dane kadrowe.

Dlatego też, podczas używania domowych, nieobjętych systemem administratora danych osobowych, komputerów warto ograniczyć pracę na danych osobowych do niezbędnego minimum oraz unikać powtarzalnych haseł i loginów w ramach różnych systemów.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel