Pri práci z domu musia firmy myslieť na zvýšenú ochranu dát
- Autor:
- Roman Mališka
- Zverejnené:
- 4. 11. 2020
- Hodnotenie:
- Už ste hlasovali.
V dôsledku druhej vlny pandémie koronavírusu stále viac firiem opätovne zatvára svoje kancelárie a priestory a tisícky pracovníkov zostáva pracovať z domu, v režime tzv. home office. Zamestnávatelia musia novým podmienkam výkonu práce prispôsobiť aj vysoké štandardy na ochranu údajov. Nedostatočná ochrana by totiž okrem iného mohla viesť k finančným aj reputačným škodám na strane danej spoločnosti.
Práca z domu môže pre firmy znamenať zvýšené riziká v oblasti bezpečnosti, najmä v organizáciách, ktoré doteraz neboli na takýto výkon práce pripravené.
„Prevádzkovatelia a sprostredkovatelia osobných údajov musia zabezpečiť zavedenie vhodných technických a organizačných bezpečnostných opatrení a prípadné porušenia ochrany údajov oznamovať podľa platných právnych predpisov,“ hovorí právnička spoločnosti CMS Martina Šímová, ktorá sa zaoberá ochranou osobných údajov.
Podľa Šímovej by firmy mali dôkladne preskúmať všetky opatrenia a rozhodnutia prijaté v čase prechodu na nový režim výkonu práce.
„Spoločnosti by nemali ani zabúdať na informovanie zamestnancov o ich povinnostiach týkajúcich sa ochrany údajov a bezpečnosti informácií. Zvážiť by mali aj vypracovanie alebo úpravu plánu pre prípad výskytu porušenia bezpečnosti.“
Riziká nedostatočnej ochrany dát
Ak majú firmy väčší počet zamestnancov, ktorí pracujú z domu a využívajú pri tom firemné zariadenia a pripojenie do firemných sietí, mali by myslieť na riziká vo viacerých oblastiach:
• Hackerské útoky – nedostatočne zabezpečené firemné siete môžu čeliť phishingovým podvodom, vírusom, útokom v podobe malware alebo ransomware, a to z dôvodu, že zamestnanecké zariadenia využívané na prácu z domu môžu byť zraniteľnejšie.
• Bezpečnosť infraštruktúry – nesprávne zriadený prístup zamestnancov do firemných sietí a zariadení, napríklad cez virtuálnu privátnu sieť alebo duálne overenie, má vplyv na bezpečnosť infraštruktúry.
• Osobné údaje – zvýšené nebezpečenstvo porušenia ochrany údajov vzniká pri ich prenose z kancelárie domov, napríklad keď zamestnanci používajú externé médiá na uchovávanie dát, údaje zasielajú z firemného e-mailu na svoje osobné e-mailové účty alebo tlačia citlivé pracovné materiály na nezabezpečenej osobnej tlačiarni.
• Domáce siete – v prípade využívania domácich sietí zamestnancov existuje nedostatočná kontrola a pravdepodobnosť slabších protokolov týchto sietí.
• Softvér - je potrebné, aby zamestnanci pracujúci z domu nevyužívali iný ako zamestnávateľom schválený softvér, ani neznáme platformy.
• Strata a krádež zariadenia – pri práci mimo kancelárie vzniká zvýšené riziko straty alebo krádeže firemných zariadení s citlivými údajmi.
• Vzdialené pracovné systémy – firmy zavádzajú nové systémy bez dostatočnej ochrany a vzniká riziko porušenia ochrany citlivých údajov zo strany dodávateľov takýchto systémov.
Ako chrániť dáta pred únikom
Vzhľadom na tieto riziká by firmy mali:
• zabezpečiť pre používateľské účty silné heslá,
• zaistiť šifrovanie údajov na zariadeniach v čase, keď nie sú využívané,
• pomocou softvéru na správu mobilných zariadení nastaviť možnosť vzdialeného uzamknutia zariadenia alebo vymazania potrebných údajov,
• zaistiť, aby zamestnanci vedeli, ako hlásiť problémy, ako udržiavať softvér a zariadenia v aktualizovanom stave a ako používať aktualizácie,
• skontrolovať, či je virtuálna súkromná sieť dostatočne chránená,
• zakázať používanie vlastných externých médií na zálohovanie dát,
• podľa potreby používať antivírusové nástroje.
V prípade, že spoločnosť zavádza nové systémy a nástroje na prácu na diaľku, mala by venovať zvýšenú pozornosť zachovaniu vysokých bezpečnostných štandardov.
„Firmy by mali neustále prehodnocovať bezpečnostné opatrenia a v prípade potreby ich aktualizovať tak, aby zohľadňovali nové pracovné prostredie a súvisiace riziká,“ dopĺňa Martina Šímová.
Porušenie ochrany údajov
Ak už k porušeniu ochrany údajov príde, firma by mala mať vypracovaný plán reakcie na takúto situáciu, vrátane oznámenia porušenia ochrany osobných údajov dozornému orgánu a dotknutým osobám.
Podľa európskeho nariadenia GDPR platia pre firmy, ktoré sú v pozícii prevádzkovateľa osobných údajov, tieto povinnosti:
• oznámiť porušenie ochrany údajov príslušnému dozornému orgánu, ktorým je na Slovensku Úrad na ochranu osobných údajov Slovenskej republiky, a to bez zbytočného odkladu, najneskôr však do 72 hodín po tom, ako sa o porušení dozvedela (okrem prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody dotknutých osôb),
• oznámiť bez zbytočného odkladu porušenie ochrany údajov dotknutým osobám, pre práva a slobody ktorých porušenie ochrany pravdepodobne predstavuje vysoké riziko.
„Ak je firma sprostredkovateľom osobných údajov, musí o porušení ochrany údajov bez zbytočného odkladu informovať prevádzkovateľa a pomôcť mu s dodržiavaním jeho povinností,“ uzatvára Martina Šímová.
(Zdroj: Tlačová správa CMS)