Menu

Máte svoje podniková data v bezpečí?

Zaměstnavatel jako správce osobních údajů není v lehké situaci. Musí chránit své know-how a obchodní tajemství, patřičně zabezpečovat osobní údaje zákazníků, ale také respektovat soukromí zaměstnanců. Najít mezi jednotlivými zájmy kompromis není snadné a blížící se nařízení GDPR přináší další výzvy. Jak udržet podniková data v bezpečí a zároveň zachovat soukromí zaměstnanců?

O tom, jak je pro zaměstnavatele důležité správně uchopit problematiku ochrany osobních údajů zaměstnanců na pracovišti i mimo něj, jsme psali zde. Tentokrát se zaměříme na doporučení pracovní skupiny WP29 k několika metodám, které dnes zaměstnavatelé využívají ke sledování aktivit zaměstnanců.

Prevence úniku dat pomocí DLP aplikací

DLP nástroje (z anglického data loss prevention) především zabraňují neoprávněným či nechtěným únikům dat. Za tímto účelem sledují výměnu informací mezi vnitropodnikovou sítí a vnějším světem. Monitorují například odchozí e-maily – aplikace zkoumá jejich obsah a v případě rizikového nálezu vyselektuje konkrétní e-mail k bližšímu prošetření.

Zavedení takové ochrany nenarazí na problémy pouze za podmínky, že zaměstnanci budou dopředu informováni, podle jakých pravidel bude systém e-maily klasifikovat jako riziko pro zabezpečení dat. V případech, kdy e-mail naplní znaky potenciální hrozby, se doporučuje zaměstnance na tuto skutečnost ještě před odesláním upozornit, aby ho mohl dotyčný upravit. Tak zamezíte tomu, aby byli zaměstnanci vystaveni skrytému a automatizovanému zpracovávání jejich údajů, a to například i v rámci osobní komunikace. V opačném případě by na pracovišti přišli o jakýkoliv soukromý virtuální prostor, na který mají nárok.

TLS/SSL dešifrování musí mít jasné mantinely

Další metodou, se kterou se v rámci firemních IT zabezpečovacích systémů setkáváme, je využívání TLS/SSL certifikátů. Jedná se o komplexní zabezpečení podnikové sítě, v jehož rámci lze sledovat veškerou aktivitu zaměstnance. Ač se v některých případech bude užití této metody opírat o zaměstnavatelův oprávněný zájem na ochranu majetku, nelze k němu přistupovat vždy. Je nutné dodržovat předem vytyčené mantinely.

Podle doporučení WP29 by takový systém neměl být nastaven tak, aby docházelo k neustálému zaznamenávání zaměstnancovy aktivity a následnému ukládání záznamů, které umožňuje zpětnou kontrolu. Případné automatizované zablokování „podezřelé“ činnosti tímto nástrojem by mělo být na žádost přezkoumatelné a odstranitelné. Veškeré informace by měly být shromažďovány pouze v nezbytném rozsahu, a to výhradně ve vztahu k pracovním záležitostem zaměstnance.

Je třeba zdůraznit, že takto důsledný monitorovací postup je možné používat jen v rámci podnikové sítě zaměstnavatele, rozšířit ho i na vnější on-line prostředí a sledovat zaměstnance na internetu, byť během jeho pracovní doby, je nepřípustné. Zaměstnanci by proto měli mít vždy k dispozici určitý nemonitorovaný přístup (například k tomu účelu vytvořenou síť Wi-Fi), který budou moci využívat pro soukromé účely.

Podle judikatury evropských soudů má totiž zaměstnanec právo na soukromí i při používání k práci určených počítačů či jiné výpočetní techniky, která patří zaměstnavateli. Samozřejmostí je pak opět důsledné informování, jaký druh komunikace je takto sledován, za jakým účelem, které údaje jsou vyhodnocovány a na základě jakých pravidel. Zaměstnanci by měli rovněž vědět, kde případně mohou proti těmto postupům uplatnit svou stížnost.

Přednost má subsidiarita

Nejen ve spojitosti s oběma výše uvedenými metodami užití sledovacích technologií na pracovišti akcentuje GDPR kromě zásady přiměřenosti také zásadu subsidiarity. Tu je třeba vykládat v duchu tzv. prevention over detection principu tak, že k neustálému sledování zaměstnancovy aktivity na síti je vhodné přistoupit až tehdy, kdy není možné použít jiný postup, například zablokovat problematické internetové stránky.

To může být výhodnější varianta i pro zaměstnavatele, který jednak ušetří za zařízení na detekci zneužití komunikačních služeb, jednak se nebude muset strachovat, zda jsou jeho sledovací aplikace vzhledem k aktuálnímu vývoji na poli ochrany osobních údajů vhodně nastaveny.

BYOD aneb přines si své vlastní zařízení

Tzv. BYOD přístup (zkratka z angl. bring your own device) umožňuje zaměstnancům využívat na pracovišti jejich vlastní zařízení, například notebooky. Zvyšuje tak jejich mobilitu, produktivitu a celkově to pro ně může být v mnoha ohledech atraktivnější a pohodlnější. Zároveň se ale z pohledu zaměstnavatele kvůli vzdálenému přístupu k firemním datům z cizího zařízení jedná o výzvu pro firemní informační bezpečnost. Je třeba počítat s tím, že zmíněný notebook bude zaměstnanec využívat i pro osobní účely. A po zaměstnavateli zároveň nelze požadovat, aby zcela rezignoval na zabezpečení citlivých informací ve své síti a snažil se zabránit jejich neoprávněným únikům a zneužití.

Aby se předešlo zbytečným zásahům do soukromí, je třeba jakýkoliv bezpečnostní software nastavit tak, aby dokázal rozlišit, kdy je přístroj používán k pracovním a kdy k soukromým účelům. Konfigurace nastavení zabezpečovacího softwaru by tak u zmíněného notebooku měla rozlišovat mezi různými disky pro ukládání souborů či mezi různými uživatelskými profily – pracovním a soukromým. „Zevnitř“ se zaměstnavatel může pojistit umožněním přístupu k firemním datům pouze z předem nahlášených zařízení, v dohodnuté době nebo po vyplnění kontrolní otázky či hesla (pro případ ztráty zařízení). Samozřejmostí by pak měl být interní předpis, který veškerá pravidla BYOD politiky zaměstnancům srozumitelně vysvětluje.

Hlavně přiměřeně

Než jakoukoliv sledovací technologii začnete používat, zvažte, zda je to vzhledem k vašim obavám a zájmům nezbytné a přiměřené. Nechte situaci posoudit nezaujatého odborníka. Vyhněte se trvalému a systematickému monitorování aktivity zaměstnanců. Snažte se upřednostnit prevenci před detekcí soustavně narušující soukromí. Zaměstnance předem o všem informujte, sdělte jim důvody sledování, kdy k němu dochází, co je sledováno a jak se můžou bránit.

Někteří podnikatelé a organizace by zároveň neměli zapomínat na institut posouzení vlivu na ochranu osobních údajů (DPIA – data protection impact assessment), který GDPR také zakotvuje. Jedná se o preventivní ochranné opatření, kterému bude muset vyhovět správce v závislosti na využívané technologii, počtu zpracovávaných osobních údajů, jejich typu, ale i například vzhledem k závažnosti rizik, která u konkrétního zpracovávání subjektům údajů hrozí. Na to, kdo přesně bude muset tento proces před samotným zpracováváním podstoupit, a na požadavky na jeho obsah se podíváme v některém z příštích článků.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018