Koronavírus COVID-19 a opatrenia Krízového štábu opatrenia spôsobili, že mnohé firmy poslali zamestnancov domov. Aby firma neskolabovala, manažment firiem sa rozhodli, že zamestnanci budú doma pracovať. Oficiálne sa tomu hovorí homeoffice, po slovensky práca doma. Samozrejme, mnohé firmy a ani inštitúcie na niečo také nikdy neboli pripravení. Teraz odrazu vhupli do neznámych vôd. Podľa Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, známe pod skratkou GDPR, čl. 5, ods. 1, písm. f) osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“). Je preto nutné prijať technické, personálne a organizačné opatrenia pre splnenie ustanovenia GDPR. Preto si prevádzkovatelia dali vzorne, podľa zákona, vypracovať GDPR dokumentáciu. Mnohí ju majú vypracovanú, ale len formálne. Pri tvorbe dokumentácie nebola vykonaná žiadna bezpečnostná analýza. Ak prevádzkovateľ nepozná hrozby, aké mu môžu hroziť, ako môže splniť ustanovenie čl. 5 GDPR? Zamestnávateľ nepozná, aké má zamestnanec podmienky pre home office. Zamestnanec môže pracovať na diaľku na serveri vo firme cez nezabezpečený kanál. Problém sa netýka len komunikácie so zamestnávateľom a práce na diaľku cez napr. vzdialenú plochu, vo VPN apod., ale aj fyzickej objektovej bezpečnosti (napr. fascikle s osobnými údajmi môžu byť vytopené, ukradnuté, poškodené deťmi). Zamestnávateľ dovolí zamestnancovi zobrať si notebook domov aj s osobnými údajmi a účtovníckym software, na ktorom bude zamestnanec pracovať lokálne. Zamestnanec má doma staré PC, preto dovolí dieťaťu sa hrať na modernom notebooku. Deti môžu zničiť všetky dáta alebo aj celý notebook. Alebo zamestnancovi notebook ukradnú, zabudne ho vo vlaku apod. Prípadne zamestnanec si len zoberie dáta na USB kľúči, ktorý stratí. Alebo všetko nakopíruje na domáce PC, ktoré používa celá rodina. Naviac, dáta po skončení karantény nevymaže. Rizík je veľmi veľa, nedajú sa všetky napísať. Hrozieb sú množstvá. Ak ich v danom časopriestore nepoznáme, nemôžeme ani navrhnúť / prijať opatrenia. Potom je GDPR kus papiera, ktorý nás ochráni len pred ľudskými chybami. Preto v rámci GDPR je vždy nutné najprv poznať hrozby, ktoré sa môžu vyskytnúť. Až potom je možné pristúpiť k návrhu a implementácii opatrení. Takže, môžeme v dohľadnej dobe očakávať únik dát z informačných systémov firiem? Asi áno. Veď biznis s dátami je najlukratívnejší biznis. V SR je bezpečnostné povedomie na nízkej úrovni. Potom neobstojí najčastejšia výhovorka prevádzkovateľa, že „GDPR máme dobré, veď nám to vypracovala právnička“, hoci prevádzkovateľ si napríklad len zakúpil a vyplnil nejaké šablóny GDPR formulárov. Pri porušení GDPR končia akékoľvek žarty, nastupujú sankcie. Pozrite, aké pokuty boli udelené v Dánsku https://edpb.europa.eu/news/national-news/2020/fines-proposed-two-municipalities_en
Doplnené 18.03.2020
Zamestnankyňa, so súhlasom nadriadeného, odniesla domov kompletnú dokumentáciu s osobnými údajmi. Pýtala sa, čo sa stane, ak by ju stratila. Z toho vyplýva, že nemajú vo firme prijaté žiadne opatrenia pre ochranu osobných údajov a ani pre prácu z domu nebola poučená. A to ani nespomínam, že bude pracovať doma na PC, asi chránené len antivírusovým programom. Keďže sú doma aj deti, je veľmi pravdepodobné, že PC používajú aj deti na hranie, vstup na sociálne siete, phishingové webstránky, etc., etc. Riziko straty alebo úniku dát je vysoké. Samozrejme GDPR, čl. 5, ods. 1, písm. f) je porušené.
Celá debata | RSS tejto debaty