Zabudnuté heslo?
Prihlásenie

Pri práci z domu musia firmy myslieť na zvýšenú ochranu dát

Pri práci z domu musia firmy myslieť na zvýšenú ochranu dát
Autor:
Roman Mališka
Zverejnené:
4. 11. 2020
Hodnotenie:
Už ste hlasovali.

V dôsledku druhej vlny pandémie koronavírusu stále viac firiem opätovne zatvára svoje kancelárie a priestory a tisícky pracovníkov zostáva pracovať z domu, v režime tzv. home office. Zamestnávatelia musia novým podmienkam výkonu práce prispôsobiť aj vysoké štandardy na ochranu údajov. Nedostatočná ochrana by totiž okrem iného mohla viesť k finančným aj reputačným škodám na strane danej spoločnosti.

Práca z domu môže pre firmy znamenať zvýšené riziká v oblasti bezpečnosti, najmä v organizáciách, ktoré doteraz neboli na takýto výkon práce pripravené.

„Prevádzkovatelia a sprostredkovatelia osobných údajov musia zabezpečiť zavedenie vhodných technických a organizačných bezpečnostných opatrení a prípadné porušenia ochrany údajov oznamovať podľa platných právnych predpisov,“ hovorí právnička spoločnosti CMS Martina Šímová, ktorá sa zaoberá ochranou osobných údajov.

Podľa Šímovej by firmy mali dôkladne preskúmať všetky opatrenia a rozhodnutia prijaté v čase prechodu na nový režim výkonu práce.

„Spoločnosti by nemali ani zabúdať na informovanie zamestnancov o ich povinnostiach týkajúcich sa ochrany údajov a bezpečnosti informácií. Zvážiť by mali aj vypracovanie alebo úpravu plánu pre prípad výskytu porušenia bezpečnosti.“

Riziká nedostatočnej ochrany dát

 

Ak majú firmy väčší počet zamestnancov, ktorí pracujú z domu a využívajú pri tom firemné zariadenia a pripojenie do firemných sietí, mali by myslieť na riziká vo viacerých oblastiach:

• Hackerské útoky – nedostatočne zabezpečené firemné siete môžu čeliť phishingovým podvodom, vírusom, útokom v podobe malware alebo ransomware, a to z dôvodu, že zamestnanecké zariadenia využívané na prácu z domu môžu byť zraniteľnejšie.

• Bezpečnosť infraštruktúry – nesprávne zriadený prístup zamestnancov do firemných sietí a zariadení, napríklad cez virtuálnu privátnu sieť alebo duálne overenie, má vplyv na bezpečnosť infraštruktúry.

• Osobné údaje – zvýšené nebezpečenstvo porušenia ochrany údajov vzniká pri ich prenose z kancelárie domov, napríklad keď zamestnanci používajú externé médiá na uchovávanie dát, údaje zasielajú z firemného e-mailu na svoje osobné e-mailové účty alebo tlačia citlivé pracovné materiály na nezabezpečenej osobnej tlačiarni.

• Domáce siete – v prípade využívania domácich sietí zamestnancov existuje nedostatočná kontrola a pravdepodobnosť slabších protokolov týchto sietí.

• Softvér - je potrebné, aby zamestnanci pracujúci z domu nevyužívali iný ako zamestnávateľom schválený softvér, ani neznáme platformy.

• Strata a krádež zariadenia – pri práci mimo kancelárie vzniká zvýšené riziko straty alebo krádeže firemných zariadení s citlivými údajmi.

• Vzdialené pracovné systémy – firmy zavádzajú nové systémy bez dostatočnej ochrany a vzniká riziko porušenia ochrany citlivých údajov zo strany dodávateľov takýchto systémov.

Ako chrániť dáta pred únikom

 

Vzhľadom na tieto riziká by firmy mali:

• zabezpečiť pre používateľské účty silné heslá,

• zaistiť šifrovanie údajov na zariadeniach v čase, keď nie sú využívané,

• pomocou softvéru na správu mobilných zariadení nastaviť možnosť vzdialeného uzamknutia zariadenia alebo vymazania potrebných údajov,

• zaistiť, aby zamestnanci vedeli, ako hlásiť problémy, ako udržiavať softvér a zariadenia v aktualizovanom stave a ako používať aktualizácie,

• skontrolovať, či je virtuálna súkromná sieť dostatočne chránená,

• zakázať používanie vlastných externých médií na zálohovanie dát,

• podľa potreby používať antivírusové nástroje.

V prípade, že spoločnosť zavádza nové systémy a nástroje na prácu na diaľku, mala by venovať zvýšenú pozornosť zachovaniu vysokých bezpečnostných štandardov.

„Firmy by mali neustále prehodnocovať bezpečnostné opatrenia a v prípade potreby ich aktualizovať tak, aby zohľadňovali nové pracovné prostredie a súvisiace riziká,“ dopĺňa Martina Šímová.

Porušenie ochrany údajov

 

Ak už k porušeniu ochrany údajov príde, firma by mala mať vypracovaný plán reakcie na takúto situáciu, vrátane oznámenia porušenia ochrany osobných údajov dozornému orgánu a dotknutým osobám.

Podľa európskeho nariadenia GDPR platia pre firmy, ktoré sú v pozícii prevádzkovateľa osobných údajov, tieto povinnosti:

• oznámiť porušenie ochrany údajov príslušnému dozornému orgánu, ktorým je na Slovensku Úrad na ochranu osobných údajov Slovenskej republiky, a to bez zbytočného odkladu, najneskôr však do 72 hodín po tom, ako sa o porušení dozvedela (okrem prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody dotknutých osôb),

• oznámiť bez zbytočného odkladu porušenie ochrany údajov dotknutým osobám, pre práva a slobody ktorých porušenie ochrany pravdepodobne predstavuje vysoké riziko.

„Ak je firma sprostredkovateľom osobných údajov, musí o porušení ochrany údajov bez zbytočného odkladu informovať prevádzkovateľa a pomôcť mu s dodržiavaním jeho povinností,“ uzatvára Martina Šímová.

Ilustračné foto (Zdroj: Pixabay).

(Zdroj: Tlačová správa CMS)