Autori: Štěpán Štarha, Lenka Ostró, Róbert Gašparovič
Možno ste už mali možnosť prečítať si naše newslettery, týkajúce sa vyhlásenej mimoriadnej situácie alebo sumarizujúce dopady pandémie COVID-19 na zamestnávateľa. Jedným z mnohých dôsledkov tejto pandémie je masový presun práceschopného obyvateľstva na tzv. home office – prácu z domova. Akokoľvek táto téma môže byť pre niekoho samozrejmá, pre niektoré prevádzky je naopak nepredstaviteľná, reálne však zažívame bezprecedentné využívanie tohto spôsobu práce. Mnoho z Vás tak teraz rieši okrem technického zabezpečenia aj právne problémy súvisiace s prácou z domova, informovanie o zdravotnom stave zamestnancov s cieľom organizácie práce, ukladanie dát do cloudu a vytvorenie virtuálneho pracoviska. Dokonca viaceré IT spoločnosti zareagovali na novú situáciu bezplatnou ponukou softvérových riešení pre videokonferencie.
Pri riešení organizácie práce nezriedka rýchlym spôsobom (čo je úplne pochopiteľné vzhľadom k obdobnému spôsobu zavádzania núdzových opatrení na vládnej úrovni), spoločnosti zabúdajú na aspekty ochrany osobných údajov, ktoré spolu s pandémiou neprestali platiť. Aj v takejto mimoriadnej situácii je nevyhnutné dodržiavať zákony, vrátane zákonov o ochrane osobných údajov a nariadenia GDPR, pokiaľ sa nechceme po prekonaní súčasnej krízy prebudiť do ešte väčších škôd, než ktoré spôsobí priamo alebo nepriamo šíriaci sa vírus SARS-CoV-2. To potvrdil aj Európsky výbor pre ochranu osobných údajov vo svojom vyhlásení.[1]
Poďme sa spoločne pozrieť na deväť praktických odporúčaní, ako zvládať home office bezpečne.
Spracúvanie informácií o
zdravotnom stave zamestnancov predstavuje spracúvanie tzv. osobitnej kategórie
osobných údajov podľa čl. 9 GDPR. Zamestnávateľ je oprávnený takúto
informáciu spracúvať za účelom plnenia povinností vyplývajúcich z pracovného
práva a práva sociálneho zabezpečenia [Čl. 9 ods. 2 písm. b) GDPR]. Navyše
podľa ustanovení § 147 Zákonníka práce má zamestnávateľ povinnosť zabezpečiť
bezpečnosť a ochranu zdravia svojich zamestnancov. Teda je možné viesť
evidenciu zamestnancov s príznakmi COVID-19, alebo zamestnancov, ktorí po
návrate z rizikových oblastí sú v karanténe. Zamestnávateľ však nesmie
zverejňovať zoznamy týchto zamestnancov, môže len informovať o celkovom počte
zamestnancov v karanténe.
Skôr ako spoločnosť využije ponuky IT firiem, mala by zvážiť niekoľko aspektov: (i) ako je celé navrhované riešenie koncipované: kde sú servery, kam sa ukladajú informácie, kto má prístup k dátam a odkiaľ firmy zabezpečujú technickú podporu – často sú úložiská v cloude a servery po celom svete a prístup je zabezpečovaný spoločnosťami mimo EÚ. Firma, ktorá využíva takéto riešenie, je potom zodpovedná za zabezpečenie legálnosti cezhraničného prenosu osobných údajov často bez toho aby vedela, že k nemu dochádza; (ii) pripojenie do videokonferencie – malo by byť možné len po pripojení cez VPN (Virtual Private Network), obzvlášť ak majú byť súčasťou rozhovorov dôverné informácie, tým sa zaistí zabezpečenie prenosu dát šírených počas konferencie; (iii) malo by byť znemožnené nahrávať súbory do dočasne používaného programu na videokonferencie, bez toho aby ste si overili, kde presne sa údaje uchovávajú a kto k nim má prístup; (iv) to isté sa týka prípadných nahrávok videokonferencií.
Medzi základné princípy stanovené v článku. 5 GDPR patrí transparentnosť. Tento princíp vyžaduje, aby účastníci telekonferencie boli vopred informovaní, najlepšie v pozvánke k nej, že hovor sa bude nahrávať. Pokiaľ niektorý účastník chce položiť otázku, ale nechce byť pri tom nahrávaný, mal by mať možnosť otázku položiť vopred formou e-mailu alebo chatu. Taktiež je nevyhnutné na začiatku videokonferencie informovať každého účastníka o nahrávaní. Okrem toho je potrebné ustanoviť pravidlá (i) aké telekonferencie je možné nahrávať a za akým účelom, (ii) kam sa budú nahrávky ukladať, (iii) kto k nim bude mať prístup a (iv) ako dlho sa budú uchovávať.
Zamestnanci si často potrebujú vymieňať objemné súbory dát. Za účelom zabezpečenia dát, nielen osobných, ale aj obchodných dôverných informácií, musí byť nastavený spôsob, ako súbory vymieňať a vyvarovať sa vymieňania formou bezodplatných úložísk, ktoré nie sú dostatočne zabezpečené. Odporúčané sú spoločné disky, popr. cloudové riešenia s obmedzeným prístupom (s nutnosťou prihlásenia sa svojím loginom a heslom). Samotné zaslanie pravidiel e-mailom by bolo postačujúce za predpokladu, že máme 100% istotu, že takéto pravidlá budú zamestnanci dodržiavať, čo sa zvyčajne nedeje. Predísť neoprávnenému vymieňaniu možno len tak, že zamestnanec sa na stránky úložísk nedostane, tj. vybrané webové stránky budú na tzv. blackliste.
Práca môže vyžadovať prácu s fyzickými dokumentmi. Zamestnanci by mali minimalizovať premiestňovanie papierových dokumentov. V prípade ak je nevyhnutné si domov nejaké dokumenty odniesť, zamestnanec musí s dokumentmi obsahujúcimi osobné údaje nakladať obozretne, aby nedošlo k ich strate v MHD alebo si z nich dieťa neurobilo leporelo. Je vždy na zváženie, či nie je bezpečnejšie prácu rýchlo urobiť na pracovisku, a vyhnúť sa tak riziku straty dokumentov a tým porušenie článku. 32 GDPR.
Zamestnávateľ má legitímny dôvod kontroly zamestnanca na home office, vrátane prideleného agentúrneho zamestnanca. Okrem kontroly prostredníctvom telefónu môže využívať rôzne softvéry, ktoré sledujú čas, aký zamestnanec strávi pri počítači, alebo chattery, ktoré evidujú, ako dlho je používateľ už neaktívny. Za účelom naplnenia princípu transparentnosti zamestnávateľ musí zamestnancov o rozsahu, spôsobe a dobe trvania kontroly vopred informovať. Nie je možné nainštalovať zamestnancom do počítača softvér, ktorý monitoruje čas strávený pri počítači, bez toho aby o tom vedeli – naopak zamestnancom musí byť úplne zrejmé, akým spôsobom je ich pracovná doba evidovaná, keď to nie je obvyklý príchod a odchod z pracoviska. Súčasne je potrebné sa vyhnúť unáhleným záverom pri použití týchto automatických metód – pokiaľ povaha práce zamestnanca nespočíva v permanentnej práci s počítačom, ale môže napríklad študovaťpísomné podklady, potom neaktivita chatu, resp. vypnutý laptop, nemôže byť podkladom pre automatickú výčitku, že daný zamestnanecnepracuje (na rozdiel napríklad od pracovníka call centra, kde je takáto súvislosť naopak zrejmá). Tiež je odporúčané stanoviť, kto bude oprávnený na kontrolu zamestnancov (poverený zamestnanec) a aké opatrenia môže voči ostatným zamestnancom prijať. Bez dostatočného informovania zamestnancov nemožno informáciu o neplnení pracovných úloh použiť ani na účely nápravných opatrení voči zamestnancovi (napr. výčitka).
Bohužiaľ ani mimoriadna situácia nevedie k zníženiu phishingových útokov. Naopak, s poklesom ekonomických aktivít a vzhľadom na možné zníženie množstva pracovných e-mailov zamestnanci skôr kliknú na lákavý odkaz v e-maile alebo sa prihlásia cez falošný portál. Zamestnávatelia by mali apelovať u zamestnancov na zvýšenú obozretnosť a zvýšiť ochranu formou firewallov, aby znížili množstvo phishingových e-mailov, ktoré sa dostanú až k zamestnancovi. Pokiaľ má spoločnosť zavedený systém e-learningu, môže byť toto obdobie s nižším vyťažením využité práve na vzdelávanie vrátane počítačovej bezpečnosti.
Strata šanónov alebo neoprávnený prístup k osobným údajom v prípade vydareného phishingu môže naplniť definíciu porušenia ochrany osobných údajov podľa čl. 33 GDPR. V takomto prípade je zamestnávateľ povinný informovať Úrad na ochranu osobných údajov v lehote 72 hodín od zistenia incidentu, alebo od okamihu, kedy k nemu došlo. Oplatí sa pripomenúť všetkým zamestnancom pravidlá bezpečného nakladania s (nielen osobnými) údajmi, pretože rozptýlená práca mimo objekty zamestnávateľa a obvyklý zabezpečený sieťový perimeter zvyšuje riziko samotného incidentu, a tiež i jeho neskoršie odhalenie. Zamestnanci by sa súčasne nemali báť informovať zamestnávateľa o možnom incidente a ten by incident mal konzultovať so zodpovednou osobou alebo právnikom.
Stanovenie pravidiel bez sankcií býva neúčinné. Odporúčaným riešením je stanoviť pravidlá pre prácu z domova buď vo forme pracovného poriadku podľa ustanovenia § 84 Zákonníka práce alebo iného interného predpisu, ktorý stanovuje aj prípadné sankcie za nedodržanie. Pracovný poriadok musí byť šitý na mieru Vašej organizácii a Vašim zamestnancom, napr. v prípade operátorov nezabudnite v internom predpise uviesť, že pri vybavovaní hovorov by mali byť v samostatnej miestnosti bez rodinných príslušníkov, vytlačené dokumenty by mali byť zanesené späť do firmy pre bezpečnú likvidáciu, ihneď ako to bude možné, uzamykanie obrazovky počítača by malo byť samozrejmosťou aj doma.