Bezpieczeństwo informacjiRODOZagrożenia

Praca zdalna i praca na odległość w firmie – „Home Office”

Praca na odległośćW obliczu sytuacji kryzysowych, praca zdalna jest jednym z najbardziej korzystnych rozwiązań zarówno dla pracowników, jak i pracodawców (pomimo pojawiających się sporadycznie niepochlebnych opinii pojedynczych osób opisanych w mediach), praca zdalna wydaje się optymalnym rozwiązaniem. Obecnie sytuacja kryzysowa związana z chorobą CODIV-19 oraz propagacją wirusa SARS-COV-2 jest tego bardzo dobrym przykładem.

Jak to się referuje do wymagań związanych z bezpieczeństwem?

Pracę na odległość definiują polskie i międzynarodowe normy dotyczące bezpieczeństwa informacji (PN-ISO/IEC 27001 oraz PN-ISO/IEC 27002) w kontekście potrzeby niezbędnych regulacji.

Praca na odległość jest możliwa i przewidziana w standardach międzynarodowych. Rozporządzenie 2016/679 nakłada jednak obowiązek przeprowadzenia oceny skutków dla ochrony danych przed wprowadzeniem rozwiązań wykorzystujących nowoczesne technologie jeżeli zakres, zakres, kontekst i cele przetwarzania z dużym prawdopodobieństwem mogą spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Na ten moment (w mojej ocenie) plan mógłby wyglądać następująco:
(Nie próbujemy tu oszacować kosztów ani czasu)

Zadania dla ADO

1. Wprowadzenie zarządzenia najwyższego kierownictwa (jako pracodawcy) umożliwiającego wdrożenie rozwiązania technicznego i organizacyjnego na okoliczność art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych.
2. Najwyższe kierownictwo zgadzając się na pracę na odległość powinien wprowadzić zalecenie, aby (o ile to możliwe) nie wynosić dokumentów poza budynek firmy, jeżeli nie wynika to z zadań służbowych, a dane na przenośnych nośnikach informatycznych powinny być zabezpieczone.
3. Sfinansowanie wdrożenia środków technicznych i organizacyjnych umożliwiających pracę na odległość.

Zadania dla IT

1. Wypracowanie koncepcji rozwiązania technicznego dla pracy na odległość.
2. Utworzenie projektu rozwiązania, o którym mowa w pkt. 1.
3. Przeprowadzenie PoC (Proof of Concept).
4. Opracowanie docelowego projektu rozwiązania uwzględniającego wyniki PoC.
5. Konfiguracja elementów infrastruktury, generowanie kont i certyfikatów.
6. Opracowanie dokumentacji powykonawczej oraz procedury dla pracowników.
7. Przeszkolenie pracowników z zasad korzystania z dostępu zdalnego przed pierwszym dostępem.

Zadania dla IOD

1. Wytworzenie oceny skutków dla ochrony danych.
2. Wprowadzenie zmian w obowiązującej dokumentacji ochrony danych informacji, w tym danych osobowych.
3. W uzupełnieniu do pkt. 2 wprowadzenie procedury wnioskowania o pracę na odległość (procedurę można pominąć w sytuacjach kryzysowych, w których najwyższe kierownictwo (jako pracodawca), poprzez zarządzenie daje możliwość pracy zdalnej określonym grupom pracowników).

Potencjalne przeszkody / zagrożenia

1. Brak ochrony antywirusowej na komputerach prywatnych może zwiększyć potencjalne ryzyka dla ochrony danych oraz zasobów wewnętrznych firmy.
2. Pozostawianie komputerów bez opieki poza biurem (np. w domu) może zwiększyć ryzyka nieuprawnionego przetwarzania danych.
3. Dokumenty zawierające informacje chronione oraz nośniki danych mogą ulec zniszczeniu lub zagubieniu.

Niestety, nie każdy przedsiębiorca ma możliwość zapewnienia tego modelu pracy. Dużą część rynku wymaga obecności pracownika (np. produkcja, rynek telekomunikacyjny, usługi, urzędy). Tu niestety nie ma taryfy ulgowej w obszarze pracy na odległość.

Odnośniki zewnętrzne
https://www.gov.pl/web/rodzina/pracownik-i-przedsiebiorca-w-obliczu-koronawirusa—praktyczny-poradnik

https://www.pip.gov.pl/pl/wiadomosci/108610,praca-zdalna-przeciwdzialanie-covid-19.html