Bezpečnosť osobných údajov pri práci z domu

Zákonom č. 66/2020 Z. z. bol do Zákonníka práce včlenený § 250b, ktorý ustanovuje možnosť zamestnávateľa prikázať prácu z domu (z domácnosti) zamestnanca, ak:

• ide o činnosť, u ktorej je to možné a
• ak práca na pracovisku nie je možná, nevyhnutná, prípadne je riziková z dôvodu prevencie šírenia prenosnej choroby a
• zamestnanec takýto výkon práce z domácnosti prípadne bezdôvodne odmieta (dohoda strán pritom nie je týmto ustanovením vylúčená).

Taktiež sa ustanovuje právo zamestnanca na výkon práce z domácnosti, a to za podmienky, že:

• povaha práce to umožňuje a
• nebránia tomu vážne prevádzkové dôvody (napr. potreba prítomnosti časti zamestnancov na pracovisku).

Treba poznamenať, že zavedenie home office pre viac zamestnancov (prípadne pre celú firmu) nie je také jednoduché a ide o určitý proces, ktorý so sebou prináša povinnosti pre zamestnávateľa i v oblasti ochrany osobných údajov a ich bezpečnosti. Pri práci z domu pritom hrozí vyššie riziko úniku, straty osobných údajov, či iné bezpečnostné incidenty, ktoré môžu mať dopad na ochranu osobných údajov. Zamestnávatelia by preto mali zvýšiť ochranu osobných údajov a poučiť zamestnancov o manipulácii s nimi v domácom prostredí.

Tento článok pojednáva o povinnostiach zamestnávateľa súvisiacich so zabezpečovaním ochrany osobných údajov pri práci z domu.

Bezpečnosť osobných údajov, s ktorými zamestnanci pracujú

Prevádzkovateľ je povinný so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb prijať primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku.

Uvedené platí o to viac, že pri výkone práce formou home office nemá zamestnávateľ zamestnancov až tak pod kontrolou, ako keď pracujú na pracovisku, v jeho priestoroch. Navyše, v tomto prípade majú zamestnanci pracovné prostriedky doma – počítače (notebooky), alebo služobné telefóny, poniektorí si domov odnesú aj celé spisy, rôzne dokumenty a pod. Okrem toho sa v ich domácnosti spravidla pohybujú aj ďalšie osoby – manžel / manželka, deti a pod.

Zamestnanci, ktorí majú vzdialený prístup k zamestnávateľovej infraštruktúre napr. nie sú obmedzovaní fyzickými bezpečnostnými opatreniami, ktoré môžu byť k dispozícii v priestoroch pracoviska. Preto, bez zavedenia náležitých technických opatrení rastie riziko neoprávneného prístupu, ktoré môže vyústiť až v stratu, či zničenie osobných údajov zamestnancov, či zákazníkov.

Problémom môže byť aj to, že niektorí zamestnávatelia nemajú dosť hardvéru (prenosných počítačov) a tak sa naskytá otázka, čo so zamestnancami, ktorí nemajú prenosný počítač. Možnosťou je preniesť mu stolový počítač domov alebo umožniť (povoliť) prácu z vlastného zariadenia zamestnanca. To ale predstavuje ďalšie bezpečnostné riziko.

Podvodné e-maily

Nie je ničím výnimočným, že niektoré kybernetické útoky sú zamerané na e-mailové schránky zamestnancov. Hackeri v tejto situácii rozosielajú rôzne e-mailové správy s prílohami, či odkazmi, ktoré sú schopné zavíriť počítač užívateľa. Cieľom takýchto e-mailov je umiestniť tzv. ransomware (škodlivý program, ktorý umožňuje zašifrovanie disku či úložiska) do informačného prostredia zamestnanca, či zamestnávateľa. Po zašifrovaní dát, požaduje výkupné.

V prípade, že sa zamestnancovi nepozdáva obsah nejakého emailu, či jeho príloha (napr. z textu je zrejmé, že ide o nejaký technický preklad bez zmyslu a pod.) je vhodné, aby to nahlásil odborníkom z danej oblasti – napr. kolegovi z IT oddelenia a pod., ktorý e-mail preverí.

Používanie súkromného počítača na výkon práce

Nie je vhodné, aby zamestnanec na výkon práce používal svoj súkromný počítač. Ak totiž využije vzdialený prístup k informačnému prostrediu zamestnávateľa zo svojho súkromného počítača, vystavuje toto prostredie riziku zanesenia škodlivého programu do čistého prostredia. Súkromné počítače totiž nepodliehajú takej kontrole ako tie pracovné, čo zvyšuje riziko rôznych vírusov a pod. Dôvodom je aj to, že na súkromnom počítači užívatelia a ich rodinní príslušníci často navštevujú aj stránky, ktoré si na služobnom počítači nedovolia prezerať a kde je vyššie riziko výskytu počítačových vírusov.

Ak ale zamestnávateľ nemá dosť technických prostriedkov pre všetkých zamestnancov a niektorí zamestnanci pracujú zo svojho súkromného počítača, je vhodné, aby do súkromného počítač neukladali žiadne dokumenty / informácie z agendy zamestnávateľa a aby pracovali výhradne v informačnom prostredí zamestnávateľa cez vzdialený prístup. A v tomto prípade treba veľmi dbať na heslovú politiku, aby heslo k súkromnému počítaču nebolo totožné s heslom k pripojeniu sa do informačného prostredia zamestnávateľa.

Heslová politika

Odporúča sa, aby zamestnávateľ zaviedol tzv. heslovú politiku. Medzi typické pravidlá patria napr. požiadavky na minimálnu silu hesla (počet znakov, použitie veľkých/malých písmen, čísel atď.) ako aj požiadaviek na pravidelnú zmenu hesla (napr. 1 x za 3 mesiace a pod.). Heslová politika môže obsahovať i black list (čiernu listinu) nepovolených hesiel.

Určite sa neodporúča, aby zamestnanci používali rovnaké heslá na pracovnom a na súkromnom počítači. A to najmä, ak sa zamestnanec vie k informačnému prostrediu zamestnávateľa prihlásiť prostredníctvom vzdialeného prístupu. Taktiež sa neodporúča, aby si zamestnanci ukladali heslá do pamäte v rámci prihlasovania, alebo aby mali heslá napísané na rôznych poznámkových lístkoch v blízkosti počítača.

Fyzická bezpečnosť počítačov

Zamestnanec nesmie umožniť iným osobám vo svojej domácnosti používať pracovný počítač. Tiež je povinný dbať na to, aby:

• nenechal pracovný počítač bez dozoru voľne dostupný v domácnosti a v iných neuzamknutých miestnostiach alebo na iných miestach,
• pri každom odchode od počítača uzamkol obrazovku,
• po skončení pracovnej zmeny vypol počítač, alebo sa z neho odhlásil.

Ďalšie odporúčania

Odporúča sa, aby si zamestnanci nemohli svojvoľne do pracovných počítačov inštalovať počítačové programy, či už z pamäťových médií alebo z internetu. V osobitných prípadoch si môžu určení zamestnanci inštalovať vybrané programy samostatne, ale po predchádzajúcej dohode s kolegom z IT oddelenia. Zároveň by pri práci nemali používať verejné wifi siete.

Tiež je vhodné, aby bol zamestnávateľ zo strany zamestnancov informovaný o tom, aká informačná technika a dokumenty boli vynesené z pracoviska a ktorú majú zamestnanci u seba doma. Je to dôležité z toho hľadiska, aby v prípade úmrtia zamestnanca, vedel zamestnávateľ kontaktovať blízku osobu a zabezpečiť návrat týchto vecí späť.

Rovnako by mali byť zamestnanci informovaní o postupoch oznamovania bezpečnostných incidentov zodpovednej osobe alebo inému poverenému zamestnancovi.

Bezpečnosť osobných údajov – odporúčania pre zamestnávateľa

Podľa čl. 24 ods. 1 nariadenia: „S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.“

Podľa článku 32 ods. 1 nariadenia: „Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

a) pseudonymizáciu a šifrovanie osobných údajov;

b) schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

c) schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.“

Z citovaných ustanovení nariadenia vyplýva povinnosť prevádzkovateľa posúdiť bezpečnostné riziká a primerane tomu zvoliť technické, ale aj organizačné opatrenia.

Opatrenia na elimináciu rizík pre práva dotknutých osôb sú vymenované v prílohe č. 1 vyhlášky Úradu na ochranu osobných údajov č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov (ďalej len „vyhláška“). Medzi týmito opatreniami sú aj technické opatrenia, ktorými môžu byť s ohľadom na výkon práce z domova (home office) napr.:

• technické opatrenia realizované prostriedkami fyzickej povahy, kam patria napr. vhodné umiestnenie zobrazovacích jednotiek – čiže zamestnanec by mal doma pracovať tak, aby ostatní členovia domácnosti nevideli do monitora, prípadne by si mal dokumenty uchovávať v uzamykateľnej zásuvke / skrinke...,
• prijatie ochrany pred neoprávneným prístupom (napr. šifrovanie, pravidlá prístupu tretích strán k informačnému systému (najmä softvérom), ak k takému prístupu dochádza),
• sieťová bezpečnosť,
• zálohovanie – odporúča sa také zálohovanie, aby v prípade bezpečnostného incidentu bolo možné vrátiť sa k predchádzajúcim verziám súborov (napr. inkrementálne zálohy).

Organizačné opatrenia môžu (podľa prílohy č. 1 k vyhláške) spočívať napr.:

• poučení oprávnených osôb s bezpečnostnými pravidlami,
• stanovení postupov pri porušení ochrany osobných údajov,
• kontrole prijatých opatrení.

Určite je vhodné zabezpečiť pracovné počítače antivírusovým riešením, dbať na pravidelné aktualizácie operačných systémov, antivírusových programov, mať disky zabezpečené šifrovaním a pod.

Posúdenie by nemalo byť jednorazovou záležitosťou, ale pravidelným procesom vyhodnocovania interných a externých okolností, ktoré môžu mať vplyv na spracúvanie osobných údajov. V prípade zmeny rizika alebo procesu spracúvania osobných údajov je totiž nevyhnutné zrevidovať a prípadne prijať nové bezpečnostné opatrenia.

Taktiež si treba uvedomiť, že v prípade úmrtia zamestnanca je potrebné zabezpečiť, aby sa zverené pracovné prostriedky (počítač, dokumentácia a pod.) vrátili čo najskôr k zamestnávateľovi (prevádzkovateľovi). V prípade smrti zamestnanca totiž nastáva situácia, kedy zamestnávateľ nemá tieto prostriedky k dispozícii a nevie ani ovplyvniť prípadnú manipuláciu s nimi. Odporúčam preto zamestnávateľov, aby v tomto čase a najmä ak väčšina zamestnancov pracuje z domu, označovali vynesené pracovné prostriedky (počítač, dokumentácia a pod.) nálepkou „majetok...“ a informovali zamestnancov o tom, že v prípade ich úmrtia sú ich blízke osoby povinné zabezpečiť odovzdanie týchto vecí bez zbytočného odkladu zamestnávateľovi. Tiež odporúčam, aby si zamestnávateľ pre tento prípad viedol zoznam kontaktných osôb pre tieto prípady a v prípade úmrtia zamestnanca kontaktoval blízku osobu zomrelého s cieľom zabezpečiť návrat pracovných prostriedkov (počítač, dokumentácia a pod.) do rúk zamestnávateľa.

Za bezpečnostný incident možno považovať napr. nepovolený prístup k informačnému systému, hackerský prienik do informačného systému a pod.

Porušenie zabezpečenia ochrany osobných údajov je vlastne druhom bezpečnostného incidentu.

Prevádzkovateľ je povinný zaviesť mechanizmy s cieľom identifikovať a vyhodnotiť bezpečnostný incident, najmä je povinný:

• zdokumentovať každé porušenie ochrany osobných údajov,
• oznámiť Úradu na ochranu osobných údajov SR tie bezpečnostné incidenty, kde je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb, a to v lehote podľa nariadenia GDPR. Toto oznámenie musí učiniť v lehote do 72 hodín, odkedy sa o tejto skutočnosti dozvedel. Momentom „dozvedenia sa“ je výsledok posúdenia porušenia ochrany osobných údajov a jeho rizika pre dotknuté osoby.

Samotné nariadenie GDPR neustanovuje formu oznámenia. Úrad ale na svojom webovom sídle informuje, že porušenie ochrany osobných údajov možno úradu oznámiť prostredníctvom:

a) on-line vytvoreného formuláru: https://dataprotection.gov.sk/uoou/dp/dp-breach,

b) písomne / e-mailom https://dataprotection.gov.sk/DBformular.pdf emailom na oznamenieGDPR@pdp.gov.sk alebo poštou na adresu: Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava

c) osobne v podateľni úradu.“

Záver

Pri práci z domu hrozí viac než inokedy, že sa k osobným údajom môžu dostať aj iné osoby. V týchto prípadoch hrozí aj vyššie riziko vzniku bezpečnostného incidentu, lebo bezpečnosť domácej siete zamestnávateľ nevie ovplyvniť.

Aj napriek tomu musí zamestnávateľ prijať také opatrenia, ktoré rešpektujú zásadu dôvernosti a ochranu osobných údajom pred neoprávneným prístupom. Tieto opatrenia musí zamestnávateľ náležite zdokumentovať a informovať o nich osoby, ktoré s osobnými údajmi pracujú, manipulujú.

Zdroj: Dane a účtovníctvo v praxi 05/2020.