V souvislosti s propuknutím pandemie koronavirus (COVID-19) bylo mnoho zaměstnavatelů donuceno omezit nebo pozastavit své provozovny.
Jedním z řešení mimořádné situace jak odvrátit zcela ochromení provozu a zachovat kontinuitu podnikání bylo zavést pro své zaměstnance výkon práce z domácnosti zaměstnance (dále jen "práce z domova").
Práce z domu ve své podstatě definuje dočasné nebo příležitostné vykonávání závislé práce zaměstnancem pro zaměstnavatele z bydliště zaměstnance.
Zaměstnanec takovou práci standardně provádí prostřednictvím zřízeného dálkového přístupů do informačních systémů a síťových úložišť nebo schváleným vynášením různých dokumentů z pracoviště do domu, a opačně. Všechny způsoby přenosu informací a osobních údajů přinášejí množství bezpečnostních rizik, se kterými se musíte vypořádat.
Pokud je předmětem práce z domu přenos nebo přístup k osobním údajům subjektu údajů, tak nejprve musíte přijmout vhodná technická a organizační opatření ve smyslu čl. 32 odst. 1 GDPR nařízení tak, aby se předešlo jakýmkoli bezpečnostním incidentům spojeným se ztrátou, zničením, poškozením nebo neoprávněným přístupem. Tato pravidla je třeba zdokumentovat v interních směrnicích v oblasti ochrany osobních údajů.
TECHNICKÁ OPATŘENÍ
Při vypracování nesmíte zapomenout:
- Vytvořit seznam osob (zaměstnanců), kteří jsou oprávněni vykonávat práci z domu.
- Schválit seznam papírových dokumentů a médií, které mohou jednotlivý zaměstnanci vynášet mimo pracoviště.
- Definovat pravidla a nástroje pro práci na dálku (VPN, šifrování a přístupy do informačních systémů).
- Technické zařízení pro práci z domova (notebook, PC, tablet atd ..) zajistit aktivní ochranou (minimálně firewallem, antivirovým a antispamovým programem) a nastavením uživatelských práv. Obdobná bezpečnost a pravidla musí být aplikovány i při používání soukromých zařízení pokud byly povoleny na práci zaměstnavatelem.
- Zajistit zálohování.
- Definovat pravidla a nástroje pro monitorování práce na dálku a logování přístupů.
ORGANIZAČNÍ OPATŘENÍ
Pokud zaměstnanec vykonává svou práci z domova měl by být poučen o zásadách zpracování osobních údajů, které se na něj při této práci aplikují. Za ideální formu v tomto období lze považovat interní školení prostřednictvím některé z mnoha digitálních platforem (např. Skype nebo Microsoft Teams).
Na co se při školení zaměstnanců zaměřit:
- Za jakých podmínek, a které dokumenty a přenosné média mohou vynášet z prostor společnosti.
- Jak bezpečně přenášet data v papírové a elektronické podobě mimo prostory společnosti.
- Jak mají dodržovat politiku "čistého stolu" a "čisté obrazovky", tak aby se s osobními údaji a informacemi nemohli seznamovat další spolubydlící v bydlišti zaměstnance.
- Jak a komu se mají hlásit vzniklé incidenty při zpracování osobních údajů.
- Jak mají postupovat při ztrátě nebo odcizení dokumentů, přenosných médií a zařízení.
- Jaké mají své povinnosti při zpracování osobních údajů.
- Co nesmí provádět.
V případě podpory při vypracování bezpečnostních opatření nás neváhejte kontaktovat.
