Highway

42_arineo_homeoffice.jpg
Forrás: ITB
Csökkentsük az kockázatokat

Legyen GDPR-kompatibilis az otthoni iroda is!

GDPR szempontjából az jelenti a legnagyobb kihívást, hogy az otthoni iroda olyan szinten legyen biztonságos, mint a céges, irodai környezet. A népszerű videókonferencia-hívások is növelik az adatszivárgás kockázatát, főleg, ha a kényelmes megoldásokat választjuk a biztonságos helyett.

Nem kérdés, a járványhelyzet alaposan felforgatta az eddig jól megszokott munkavégzést, sokkal többen dolgoznak otthonról, mint korábban. Egy Magyarországon is tevékenykedő biztosító május eleji felmérése szerint jelenleg minden harmadik magyar munkavállaló otthonról dolgozik. E biztosító arra számít, hogy ez még legalább három hónapig így is marad.

GDPR tekintetében az otthoni irodára ugyanazok a szabályok vonatkoznak, mint a normális irodára, azonban a „háztartási” adatbiztonság alacsonyabb szintű. Ideális esetben a munka otthon is olyan számítógépen folyik, amelyet a cég biztosít, amelyet megfelelően állítottak be, használnak rajta VPN-t, a biztonsági megoldás is a helyén van. Ideális esetben a vállalatnál mindenki munkakörének megfelelően szabályozva érhet hozzá az adatokhoz. A gyakorlat azonban messze van az ideálistól.

 

Tudatos cégvezetésre van szükség

Dzsinich Gergely, Dr. Dzsinich Ügyvédi Iroda
Dzsinich Gergely, Dr. Dzsinich Ügyvédi Iroda
Eddig is fontos volt az adathordozó eszközöket érintő kockázatok menedzsmentje, de a szigorúan otthon töltött idő miatt már nem a céges mobiltelefon, vagy az USB adathordozó tömegközlekedési eszközön való elvesztése az egyik tipikus kérdés – mondja Dzsinich Gergely ügyvéd. Az például egy új kérdés, ha egy háztartási balesetben megsemmisül a laptop, azt (a korlátozott ellátási lánc mellett) hogyan cseréljük.

Szoftverszempontból döntően nem változott a home office eszköztára (email, felhő alapú tárhelyek, csoportmunka-eszközök, videókonferencia-megoldások), de ami kihívást jelentett, az a vonatkozó jogszabályi (különösen az adatvédelmi) és társasági szabályozásnak, biztonsági elvárásoknak megfelelő termékek és megoldások kiválasztása. Nagyon sok vállalat még mindig az egyszerűbben használható informatikai megoldást részesíti előnyben, nem a biztonságosabbat, így azonban megnő az adatvédelmi incidens lehetősége. „A kockázatok egyik hatékony csökkentési módszere a tudatos cégvezetés kezében van, amely képes kreatív módon megszervezni és képezve segíteni a munkavállalóit a korábbinál jóval elszigeteltebb home office körülményei között bekövetkezhető kockázatok megelőzésére”, állítja Dzsinich Gergely.

 

Hiányzott a kellő bizalom

A megkérdezett szakértők egyetértettek abban, hogy az otthoni, kevésbé biztonságos környezet növeli az adatszivárgás kockázatát. Persze, nem kell rögtön jelenteni az adatvédelmi hatóságnak, ha a társunk ránézett egy pillanatra a képernyőre, és meglátta, kinek, milyen levelet írunk. De ha például a családtag ugyanazt a számítógépet használja, mint amit munkára kaptunk – mert csak egy gyors levelet szeretett volna megírni –, és véletlenül egy vállalati adatokat tartalmazó csatolmányt küld ismerőseinek – az már jelentésköteles adatvédelmi incidensnek számít.

Azoknál a vállalatoknál, ahol a járvány ideje alatt próbálták ki először a távmunkát, a kellő bizalom még nem épült ki ahhoz, hogy a munkáltató ne fontolja meg komolyan, éljen-e a munkavégzés ellenőrzésének lehetőségével. A GDPR és a Munka Törvénykönyve lehetővé teszi, hogy a munkáltató ellenőrizze az otthon végzett munkát – erről azonban előzetesen és részletesen tájékoztatnia kell a munkavállalót. A gyakorlatban ez legtöbb esetben ez az ellenőrzés egy szoftveres megoldást jelent, mely a számítógépen aktív munkával töltött időszakot figyeli.

Egészségügyi adatok a munkahelyen

Az egészségügyi adatok szenzitív adatnak minősülnek, azokat a GDPR szerint különösen védenünk kell – mondja Komor Ildikó, a Hennelné dr. Komor Ildikó Ügyvédi Iroda munkatársa. A járványhelyzetben a kormány a közérdekre hivatkozva könnyítést adott az egészségügyi adatok kezelésére vonatkozóan, az arányossági követelmények betartásával. A rendelkezés szerint csupán a járvánnyal kapcsolatos egészségügyi adatok kezelése lett könnyebb, továbbra is az a kiindulópont, hogy az egyéb orvosi adatokat a GDPR előírásainak megfelelően körültekintően kell kezelnünk. A munkáltató is jogosult a munkavállaló egészségügyi adatait felvenni, – például munkakezdés elején lázat mérni –, de a NAIH állásfoglalása szerint javasolt az üzemorvos jelenléte.

Vigyázzunk a videókonferenciás adatokra!

Komor Ildikó, Hennelné dr. Komor Ildikó Ügyvédi Iroda
Komor Ildikó, Hennelné dr. Komor Ildikó Ügyvédi Iroda
A GDPR tekintetében érdekes aspektusa a home office munkának a különböző online kommunikációs szolgáltatások használatakor keletkezett adatok kezelése. Nagyon sok vállalatnál egy globális kommunikációs platform segítségével tartják a kapcsolatot az otthoni irodába kényszerült kollégákkal. A képmás és az emberi hang is személyes adat, emiatt a kép- és videófelvételek adatbiztonságáról a munkáltatónak gondoskodnia kell, mint minden más személyes adat esetében.

A tömeges használat sok biztonsági hibára mutatott rá, ezért a személyes adatok védelme tekintetében ezen platformok használata kockázatos és megfontolandó. Ha egy illetéktelen belép egy videóbeszélgetésben, netán csak lehallgatja, az a GDPR alapján adatvédelmi incidensnek minősülhet, melyet a NAIH felé azonnal jelenteni kell, és ha ezt elmulasztjuk, komoly bírságot kockáztatunk.

Azonban a szakértők figyelmeztettek, a munkáltató senkit sem kötelezhet az adott online vagy közösségi platformok használatára munkavégzés céljából, hiszen adatvédelmi szempontból létezik más, a személyes adatok kezelésére tekintettel kevésbé kockázatos megoldás: a telefon. A GDPR alapján jogalapként az önkéntes hozzájárulás szükséges, azaz, ha a munkavállaló is hozzájárul, akkor alkalmazhatók az említett kommunikációs eszközök. A hozzájárulás megadásának előfeltétele, hogy előzetesen részletes és pontos tájékoztatást kell biztosítani az adatkezelés céljáról, időtartamáról és körülményeiről a munkavállaló számára. Ennek hiányában az adatkezelés bizonyosan nem felelhet meg a GDPR előírásainak.