Wytyczne – jak zabezpieczyć firmę przed kopiowaniem danych przez pracowników

Odpowiednie zabezpieczenie danych osobowych jest nie tylko koniecznością wynikającą z przepisów RODO, ale także kwestią bezpieczeństwa przedsiębiorstwa. Coraz więcej administratorów danych zaczyna zdawać sobie sprawę z tego, że zabezpieczenia mające chronić dane osobowe, chronią również informacje istotne z punktu widzenia działalności prowadzonej przez daną firmę, np. bazy klientów. Co więcej, administratorzy danych mają też świadomość, że zabezpieczenie tych informacji nie dotyczy tylko zewnętrznych zagrożeń, jak np. ataki czy włamania do systemu, ale także zagrożeń wewnętrznych, takich jak np. celowe działanie pracowników.

Oczywiście, w celu przeciwdziałania tego rodzaju zachowaniom pracowników wdrażane są zazwyczaj rozwiązania organizacyjne polegające na odpowiednim upoważnieniu pracowników do przetwarzania danych osobowych czy też zobowiązanie tych pracowników do zachowania w tajemnicy danych, do których mają dostęp w trakcie wykonywania obowiązków służbowych. Jednak często bazy danych, z jakich korzystają pracownicy, są na tyle wartościowe, że groźba konsekwencji dyscyplinarnych za ich ujawnianie czy przekazanie podmiotom trzecim jest niewystarczająca, by powstrzymać pracowników przed takim działaniem. W tej sytuacji administratorzy danych muszą rozważyć wprowadzenie takich rozwiązań, które uniemożliwią pracownikom kopiowanie takich baz danych, a jednocześnie nie sparaliżują działania firmy. W tym celu administratorzy danych mogą wdrożyć szereg rozwiązań.

W pierwszej kolejności administratorzy danych mogą wdrożyć odpowiednie zabezpieczenia fizyczne, które uniemożliwią lub w znaczącym stopniu ograniczą pracownikom możliwość kopiowania danych. Przede wszystkim można wprowadzić zakaz wynoszenia dokumentów oraz nośników danych poza wyznaczony obszar przetwarzania danych, z wyjątkiem sytuacji, kiedy będzie to konieczne z uwagi na czynności służbowe. Dodatkowo można wprowadzić zakaz przebywania na obszarze przetwarzania danych poza godzinami pracy; tu znowu z wyjątkiem sytuacji, kiedy wynika to z określonych czynności służbowych i odbywa się za zgodą i wiedzą przełożonego. Można też, a czasem nawet trzeba, wprowadzić ograniczenia w dostępie do pomieszczeń, w których przetwarzane są określone rodzaje danych osobowych. Jeżeli dana osoba nie wykonuje czynności z użyciem określonych danych, to w ogóle nie powinna mieć wstępu do pomieszczeń, w których takie dane się przetwarza. Tak jest np. w przypadku akt osobowych pracowników – dostęp do nich powinny mieć wyłącznie osoby zajmujące się kadrami, a dokumenty te powinny być przechowywane w sposób, który uniemożliwia dostęp do nich innym pracownikom.
 

WAŻNE!

Przeprowadzając inwentaryzację danych, warto okreś­lić te rodzaje dokumentów, które są dla firmy szczególnie istotne ze względu na rodzaj danych osobowych, które są tam przetwarzane, np. dane osobowe szczególnych kategorii albo ze względu na ich wartość biznesową.

Następnie należy ustalić (najlepiej w polityce bezpieczeństwa) zasady dostępu pracowników do tych danych (Kto? W jakim zakresie? Pod czyim nadzorem?).

 

Kolejnym krokiem do zabezpieczenia informacji w firmie jest wdrożenie odpowiednich rozwiązań informatycznych. Poziom tych zabezpieczeń powinien być dostosowany do wagi danych, które mają być zabezpieczone (ich rodzaju i wartości dla przedsiębiorstwa). Warto wprowadzić takie rozwiania, jak np. blokady portów USB, które uniemożliwią użytkownikom korzystanie z własnych pendrivów, a tym samym po prostu zablokują możliwość ich fizycznego użycia. Powinien być wprowadzony zakaz używania prywatnych pendrivów, jak również zakaz instalowania własnego oprogramowania, natomiast żeby mieć pewność, że nie będzie on łamany, wskazane jest wdrożenie fizycznej blokady portów USB. Warto również rozważyć blokady niektórych stron WWW. Może to wpłynąć nie tylko na zwiększenie efektywności pracowników, ale może przyczynić się do zmniejszenia ataków złośliwego oprogramowania.

Kolejnym rozwiązaniem, które może wdrożyć administrator danych, jest używanie odpowiedniego systemu informatycznego. Obecnie na rynku dostępny jest szereg programów dla przedsiębiorców do zarządzania czasem pracy pracowników, obsługi zamówień, gromadzenia i przetwarzania danych klientów. Oprogramowania te są dostosowane do potrzeb danej branży. Możliwy jest także zakup dedykowanych rozwiązań. Jednak bez względu na to, jakie oprogramowanie wybierze administrator danych, warto zadbać o to, żeby w wybranym systemie znalazły się odpowiednie funkcje. Przede wszystkim system powinien zapewnić dostęp do bazy danych po wprowadzaniu indywidualnego identyfikatora i hasła. Istotny jest także dostęp do informacji o tym, kiedy dany użytkownik logował się do systemu i jakie operacje w nim wykonywał.

WAŻNE!

Przeprowadzając szkolenie pracowników z zasad ochrony danych osobowych, należy zwrócić ich uwagę na konieczność zachowania w tajemnicy hasła dostępu do systemu informatycznego, na którym pracują, oraz uczulić ich na fakt, że ujawnienie takiego hasła innym osobom może prowadzić do sytuacji, w której ktoś, posługując się ich identyfikatorem i hasłem, zaloguje się do sytemu i wykona operacje, które zostaną uznane za wykonane przez nich.

Przykładowo, jeśli któryś z pracowników posłuży się danymi do logowania innego pracownika i skopiuje bazę danych, to obciąży to tego pracownika, którego dane zostaną w tym celu wykorzystane. Oczywiście, gdyby taka sytuacja rzeczywiście się zdarzyła, to w toku czynności wyjaśniających pracownik może wykazywać, że to nie on wykonał kopię danych. Nie zmienia to jednak faktu, że w pierwszej kolejności to on będzie obciążany odpowiedzialnością za taką sytuację.

 

Ponadto należy wskazać, że obecnie na rynku dostępne są także rozwiązania technologiczne umożliwiające śledzenie działań pracowników na pulpitach ich komputerów, możliwy jest również monitoring poczty służbowej pracowników. Taki nadzór pozwala na śledzenie czynności wykonywanych przez pracowników. Wdrożenie takich rozwiązań może przyczynić się nie tylko do wzrostu efektywności wykonywania zadań przez pracowników, ale też w poważnym stopniu ograniczy możliwość kopiowania danych. Dopuszczalny jest także monitoring służbowej poczty pracowników, z tym że wdrażanie i wykorzystywanie tego rodzaju rozwiązań musi odbywać się z poszanowaniem prywatności pracowników.

WAŻNE!

Wdrażając monitoring komputerów czy też służbowej poczty pracowników, należy pamiętać o przepisach Kodeksu pracy i wynikających z niego obowiązkach pracodawcy (w szczególności art. 223 § 1 i 3), zgodnie z którymi pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej) lub inne formy monitoringu, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właś­ciwego użytkowania udostępnionych pracownikowi narzędzi pracy.

Dodatkowo przepisy art. 222 Kodeksu pracy obligują pracodawcę do informowania pracowników o wprowadzeniu monitoringu w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem.

 

Niezależnie od wdrożonych rozwiązań mających na celu zabezpieczenie firmy przed kopiowaniem danych przez pracowników, zawsze należy przeprowadzić odpowiednie szkolenie z zakresu ochrony danych osobowych w celu wskazania pracownikom ich obowiązków wynikających z wdrożonej polityki bezpieczeństwa, jak również konieczności zachowania w tajemnicy danych, do których mają dostęp oraz zabezpieczeń, które zostały wdrożone u danego administratora danych.