7 kwietnia bieżącego roku wejdzie w życie nowelizacja Kodeksu Pracy, która wdraży przepisy dotyczące pracy zdalnej. Działy HR już pracują nad zmianami regulaminów pracy zdalnej oraz nad ekwiwalentem i ryczałtem za pracę zdalną, jednak warto przy okazji zmiany przepisów zwrócić uwagę na bezpieczeństwo informacji w tym ochronę danych osobowych, na które czyhają inne ryzyka, niż w przypadku pracy stacjonarnej.
Pracodawca w przypadku pracy stacjonarnej w całości odpowiada za bezpieczeństwo i organizuje przestrzeń pracy wraz ze zastosowaniem odpowiednich środków bezpieczeństwa co bardzo ułatwia zarządzanie i minimalizowanie wykrytych ryzyk. W przypadku pracy zdalnej pracodawca musi pogodzić się z brakiem możliwości pełnej kontroli i wpływu na bezpieczeństwo informacji, co nie oznacza, że jest bezsilny. Istnieje szereg możliwości zarówno proceduralnych jak i technicznych, które pozwolą na zabezpieczenie zasobów firmowych. Do głównych ryzyk związanych z pracą zdalną należy utrata danych oraz ujawnienie informacji, które może wydarzyć się w następstwie wielu sytuacji np. przez zgubienie laptopa. Jeśli wydarzy się incydent w firmie, pracodawca musi liczyć się z szeregiem konsekwencji takich jak uszczerbek w konkurencyjności jeśli wycieknie tajemnica przedsiębiorstwa, kary nałożone przez UODO w przypadku wycieku danych, ale również utrata reputacji wśród klientów i zaufania wśród kontrahentów.
Pracodawca ma obowiązek wdrożyć procedury związane z pracą zdalną, ale również zapoznać z nią pracowników wraz z podpisaniem oświadczenia, że pracownicy się z nią zapoznali. W ramach potrzeby, a tak naprawdę z dobrych praktyk wynika, że powinno się przeprowadzić instruktaż i szkolenie pracowników w zakresie procedury. Procedurę należy cyklicznie oraz przy każdej zmianie np. prawnej czy organizacyjnej przeglądać i w razie potrzeby ją uaktualniać. Ponadto procedury bardzo często przybierają bardzo formalny i prawny wydźwięk, dlatego warto utworzyć krótkie podsumowania, przypomnienia wysyłane pracownikom, które są napisane już w prostym i zrozumiałym języku.
Pracownik odpowiadać może za swoje błędy zarówno celowe jak i za niedbalstwo czy ignorancję wyłącznie dyscyplinarnie zgodnie z ustanowionym regulaminem pracy, bądź innymi wewnętrznymi regulacjami, jednak zgodnie z rozporządzeniem RODO to Administrator, czyli najczęściej przedsiębiorca ma obowiązek przyjąć odpowiednie środki organizacyjne i techniczne, aby zabezpieczyć dane i to na nim spoczywa odpowiedzialność za bezpieczeństwo danych, również podczas pracy zdalnej.
Należy się najpierw zastanowić jakie istnieją ryzyka i na co narażone są dane, dlatego warto prześledzić scenariusze i możliwości co się z danymi dzieje. Po pierwsze, pracownik wynosi dane, co oznacza, że przełożony czy pracodawca powinien być świadomy co i kiedy zostaje wynoszone poza obszar bezpieczny. Następnie powinniśmy zabezpieczyć dane na czas transportu ich do miejsca wykonywania pracy zdalnej, np. poprzez szyfrowanie nośników i urządzeń mobilnych, które podczas kradzieży czy zgubienia nie będą narażone na wyciek. Praca zdalna powinna być wykonywana w ustalonym miejscu, a laptop powinien być możliwie technicznie zabezpieczony np. poprzez blokadę portów usb i możliwość korzystania wyłącznie z autoryzowanych nośników tak, aby nikt nie zgrał informacji na nieznany nośnik oraz żeby pracownik nie podłączył zainfekowanego, prywatnego urządzenia. Właściwym podejściem jest również ustalenie zasad takich jak te, że praca ma być wykonywana na służbowym laptopie (nie zawsze jest to możliwie, jednak warto dążyć do tego modelu) oraz na służbowych kontach, aby uniknąć sytuacji, gdzie pracownik wykorzystuje np. swoją prywatną skrzynkę mailową do pełnienia obowiązków służbowych.
Warto zadbać o umiejętności i świadomość pracowników w takich zakresach jak np. stosowanie silnych haseł i wielopoziomowego uwierzytelniania, znajomość zagrożeń wynikających z korzystania z publicznych sieci i unikanie ich stosowania. Ponadto o czym często zapominamy, pracownik powinien dokładnie wiedzieć do kogo zgłaszać usterki i problemy techniczne oraz, że powinien robić to niezwłocznie po wykryciu nieprawidłowości bądź zauważenia podejrzanego działania. Zgłoszenie powinno być dokonane zgodnie z ustanowioną i wdrożoną procedurą zgłaszania incydentów z którą pracownik został zaznajomiony.
Pracodawca powinien zastanowić się również w jaki sposób może wpłynąć na to aby pracownik korzystający ze swojej sieci domowej nie narażał firmy – wsparcie informatyka przy sprawdzeniu ustawień i aktualizacji domowego sprzętu np. routera może okazać się bardzo skuteczne, ale również pomocne dla osób nietechnicznych, dla których instrukcja mówiąca np. że router ma nie mieć domyślnego hasła jest niczym magia. Pracodawca oprócz nakładania obowiązków w tym zakazów i nakazów związanych z bezpieczeństwem pracy zdalnej powinien skupić swoją uwagę na tym, aby pracownicy czuli wsparcie działu IT i mieli możliwość sprawnego kontaktu. Bardzo często pracownicy zgłaszają problem bądź podejrzenie wystąpienia incydentu, a w odpowiedzi otrzymują wyłącznie krótkie hasła „już jest ok”. Mimo że informatycy są powszechnie znani z dość specyficznego typu charakteru to dobrze jest mieć w zespole osobę, która oprócz krótkiego „ok” wyjaśni po krótce pracownikowi co się zadziało, albo na co ma zwrócić uwagę w przyszłości i da poczucie pracownikowi nietechnicznemu, że jego zgłoszenia są jak najbardziej pożądane, a nie są traktowane jak „zawracanie gitary”.
W przypadku konieczności zastosowania publicznej sieci lepiej, aby pracownicy podłączyli się do sieci za pomocą hot spota z telefonu służbowego, a jeśli jest to niemożliwe to przynajmniej, aby skorzystali z VPN. Oczywiście, aby tak się stało pracownicy muszą być świadomi oraz posiadać umiejętności korzystania z tych rozwiązań. Ponadto warto wyposażyć laptopy w filtry prywatyzujące- mimo że pracownik większość czasu pracy zdalnej odbywa w domu, może wydarzyć się przypadek np. spotkanie biznesowe w miejscu publicznym, na które nasz pracownik będzie gotowy zawczasu.
Spory problem stanowią w dzisiejszych czasach dokumenty papierowe. Po pierwsze, pracownik można je zgubić praktycznie bez możliwości ich zabezpieczenia przed wglądem innych osób -nośniki możemy zaszyfrować, ale np. pani księgowa, raczej nie będzie dźwigać sejfu z dokumentami. Po drugie można w łatwy sposób je zniszczyć np. poprzez zalanie czy pogryzienie przez psa. Dlatego właśnie raczej większość pracodawców zabrania wynoszenia dokumentów papierowych zwłaszcza w oryginałach. W przypadku braku możliwości zmiany formy dokumentu z papierowej na elektroniczną np. na skany, należy wykonać ich kopię, a oryginały pozostawić bezpieczne w firmie, choć jednak rekomendowane będzie wykonywanie takiej pracy stacjonarnie.
Najnowsze komentarze