Založ si blog

GDPR a home office

Koronavírus COVID-19 a opatrenia Krízového štábu opatrenia spôsobili, že mnohé firmy poslali zamestnancov  domov. Aby firma neskolabovala, manažment firiem sa rozhodli, že zamestnanci budú doma pracovať. Oficiálne sa tomu hovorí homeoffice, po slovensky práca doma.  Samozrejme, mnohé firmy a ani inštitúcie na niečo také nikdy neboli pripravení. Teraz odrazu vhupli do neznámych vôd. Podľa Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, známe pod skratkou GDPR, čl. 5, ods. 1, písm. f) osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“). Je preto nutné prijať technické, personálne a organizačné opatrenia pre splnenie ustanovenia GDPR. Preto si prevádzkovatelia dali vzorne, podľa zákona, vypracovať GDPR dokumentáciu. Mnohí ju majú vypracovanú, ale len formálne. Pri tvorbe dokumentácie nebola vykonaná žiadna bezpečnostná analýza. Ak prevádzkovateľ nepozná hrozby, aké mu môžu hroziť, ako môže splniť ustanovenie čl. 5 GDPR? Zamestnávateľ nepozná, aké má zamestnanec podmienky pre home office. Zamestnanec môže pracovať na diaľku na serveri vo firme cez nezabezpečený kanál. Problém sa netýka len komunikácie so zamestnávateľom a práce na diaľku cez napr. vzdialenú plochu, vo VPN apod., ale aj fyzickej objektovej bezpečnosti (napr. fascikle s osobnými údajmi môžu byť vytopené, ukradnuté, poškodené deťmi). Zamestnávateľ dovolí zamestnancovi zobrať si notebook domov aj s osobnými údajmi a účtovníckym software, na ktorom bude zamestnanec pracovať lokálne. Zamestnanec má doma staré PC, preto dovolí dieťaťu sa hrať na modernom notebooku. Deti môžu zničiť všetky dáta alebo aj celý notebook. Alebo zamestnancovi notebook ukradnú, zabudne ho vo vlaku apod. Prípadne zamestnanec si len zoberie dáta na USB kľúči, ktorý stratí. Alebo všetko nakopíruje na domáce PC, ktoré používa celá rodina. Naviac, dáta po skončení karantény nevymaže. Rizík je veľmi veľa, nedajú sa všetky napísať. Hrozieb sú množstvá. Ak ich v danom časopriestore nepoznáme, nemôžeme ani navrhnúť / prijať opatrenia. Potom je GDPR kus papiera, ktorý nás ochráni len pred ľudskými chybami. Preto v rámci GDPR je vždy nutné najprv poznať hrozby, ktoré sa môžu vyskytnúť. Až potom je možné pristúpiť k návrhu a implementácii opatrení.  Takže, môžeme v dohľadnej dobe očakávať únik dát z informačných systémov firiem? Asi áno. Veď biznis s dátami je najlukratívnejší biznis. V SR je bezpečnostné povedomie na nízkej úrovni. Potom neobstojí najčastejšia výhovorka prevádzkovateľa, že „GDPR máme dobré, veď nám to vypracovala právnička“, hoci prevádzkovateľ si napríklad len zakúpil a vyplnil nejaké šablóny GDPR formulárov. Pri porušení GDPR končia akékoľvek žarty, nastupujú sankcie. Pozrite, aké pokuty boli udelené v Dánsku https://edpb.europa.eu/news/national-news/2020/fines-proposed-two-municipalities_en
Doplnené  18.03.2020
Zamestnankyňa, so súhlasom nadriadeného,  odniesla domov kompletnú dokumentáciu s osobnými údajmi. Pýtala sa, čo sa stane, ak by ju stratila. Z toho vyplýva, že nemajú vo firme  prijaté žiadne opatrenia pre ochranu osobných údajov a ani pre prácu z domu nebola poučená. A to ani nespomínam, že bude pracovať doma na PC, asi chránené len antivírusovým programom. Keďže sú doma aj deti, je veľmi pravdepodobné, že PC používajú aj deti na hranie, vstup na sociálne siete, phishingové webstránky, etc., etc. Riziko straty alebo úniku dát je vysoké. Samozrejme GDPR, čl. 5, ods. 1, písm. f) je porušené.

GDPR a monitoring (špehovanie) ľudí

26.03.2020

GDPR a monitoring ľudí Každá vládnuca strana má snahu monitorovať určitých ľudí, aby získané informácie mohla zneužiť vo svoj prospech. Udávanie, špehovanie, vydieranie fungujú už stáročia. Prečo by to malo byť dnes inak? V celom svete zúri pandémia COVID-19 koronavírus. Je dobré, keď sa vláda snaží znížiť jeho šírenie rôznymi opatreniami. Je pravda, že [...]

GDPR a koronavírus

13.03.2020

Koronavírus ohrozuje zdravie ľudí na celom svete, koronavírus ohrozuje aj GDPR vo firme. Poviete si, čo je to za hlúposť? Nie je to hlúposť! Koronavírus spôsobuje celosvetovú katastrofu a vlády prijímajú opatrenia, aby obmedzili jeho šírenie po krajine. Opatrenia prezentujú cez masmédia, SMS alebo e-mailami s pokynmi. Kybernetickí zločinci to využívajú a tiež posielajú [...]

GDPR a kontroly v SR

20.02.2020

Úrad na ochranu osobných údajov zverejnil na svojej stránke harmonogram kontrol pre rok 2020. Budú kontrolovať schopnosti orgánov štátnej správy zabezpečiť bezpečné a zákonné spracúvanie osobných údajov v špecifických informačných systémoch využívaných na vnútornú ochranu schengenského priestoru a druhá časť plánu kontrol bude zameraná na súlad spracúvania [...]

Polizei / Hranica / Kontroly /

Karner: Rakúsko neprijme migrantov, ktorých na hraniciach odmietne Nemecko

09.09.2024 20:41

Nemecko má podľa Viedne právo posielať ľudí späť, ak je za ich žiadosť o azyl zodpovedná iná krajina EÚ.

Vlak / Vagón /

V Malackách zrazil vlak muža. Na mieste bol mŕtvy

09.09.2024 19:24

Napriek snahe rušňovodiča sa nepodarilo zrážke zabrániť.

Jana Rovničanová

Advokátka, ktorá sa priznala v Mýtnikovi, dnes tvrdí, že je nevinná. K dohode o vine a treste ju mali dotlačiť

09.09.2024 19:00

Konateľka spoločnosti Allexis Jana Rovčaninová, ktorá bola odsúdená v rámci dohody o vine a treste v kauze Mýtnik, teraz tvrdí, že je nevinná.

Salisbury, novičok, Sergej Skripaľ

Tajné služby varujú pred Putinovým komandom 29155

09.09.2024 19:00

Nielen politické vraždy, ale aj hackerské útoky či sabotáže. To všetko má vraj na svedomí špeciálna jednotka ruskej vojenskej rozviedky GRU známa pod označením 29155.

Ľubomír Polčic

Vedieť znamená, byť o krok vpred.

Štatistiky blogu

Počet článkov: 27
Celková čítanosť: 68741x
Priemerná čítanosť článkov: 2546x

Autor blogu

Kategórie