Hétpecsét Információbiztonsági Egyesület

Legyen GDPR-kompatibilis az otthoni iroda is!

Nem kérdés, a járványhelyzet alaposan felforgatta az eddig jól megszokott munkavégzést, sokkal többen dolgoznak otthonról, mint korábban. Egy Magyarországon is tevékenykedő biztosító május eleji felmérése szerint jelenleg minden harmadik magyar munkavállaló otthonról dolgozik. E biztosító arra számít, hogy ez még legalább három hónapig így is marad.

GDPR tekintetében az otthoni irodára ugyanazok a szabályok vonatkoznak, mint a normális irodára, azonban a „háztartási” adatbiztonság alacsonyabb szintű. Ideális esetben a munka otthon is olyan számítógépen folyik, amelyet a cég biztosít, amelyet megfelelően állítottak be, használnak rajta VPN-t, a biztonsági megoldás is a helyén van. Ideális esetben a vállalatnál mindenki munkakörének megfelelően szabályozva érhet hozzá az adatokhoz. A gyakorlat azonban messze van az ideálistól.

Tudatos cégvezetésre van szükség

Eddig is fontos volt az adathordozó eszközöket érintő kockázatok menedzsmentje, de a szigorúan otthon töltött idő miatt már nem a céges mobiltelefon, vagy az USB adathordozó tömegközlekedési eszközön való elvesztése az egyik tipikus kérdés – mondja Dzsinich Gergely ügyvéd. Az például egy új kérdés, ha egy háztartási balesetben megsemmisül a laptop, azt (a korlátozott ellátási lánc mellett) hogyan cseréljük.

Szoftverszempontból döntően nem változott a home office eszköztára (email, felhő alapú tárhelyek, csoportmunka-eszközök, videókonferencia-megoldások), de ami kihívást jelentett, az a vonatkozó jogszabályi (különösen az adatvédelmi) és társasági szabályozásnak, biztonsági elvárásoknak megfelelő termékek és megoldások kiválasztása. Nagyon sok vállalat még mindig az egyszerűbben használható informatikai megoldást részesíti előnyben, nem a biztonságosabbat, így azonban megnő az adatvédelmi incidens lehetősége. „A kockázatok egyik hatékony csökkentési módszere a tudatos cégvezetés kezében van, amely képes kreatív módon megszervezni és képezve segíteni a munkavállalóit a korábbinál jóval elszigeteltebb home office körülményei között bekövetkezhető kockázatok megelőzésére”, állítja Dzsinich Gergely.

Hiányzott a kellő bizalom

A megkérdezett szakértők egyetértettek abban, hogy az otthoni, kevésbé biztonságos környezet növeli az adatszivárgás kockázatát. Persze, nem kell rögtön jelenteni az adatvédelmi hatóságnak, ha a társunk ránézett egy pillanatra a képernyőre, és meglátta, kinek, milyen levelet írunk. De ha például a családtag ugyanazt a számítógépet használja, mint amit munkára kaptunk – mert csak egy gyors levelet szeretett volna megírni –, és véletlenül egy vállalati adatokat tartalmazó csatolmányt küld ismerőseinek – az már jelentésköteles adatvédelmi incidensnek számít.

Azoknál a vállalatoknál, ahol a járvány ideje alatt próbálták ki először a távmunkát, a kellő bizalom még nem épült ki ahhoz, hogy a munkáltató ne fontolja meg komolyan, éljen-e a munkavégzés ellenőrzésének lehetőségével. A GDPR és a Munka Törvénykönyve lehetővé teszi, hogy a munkáltató ellenőrizze az otthon végzett munkát – erről azonban előzetesen és részletesen tájékoztatnia kell a munkavállalót. A gyakorlatban ez legtöbb esetben ez az ellenőrzés egy szoftveres megoldást jelent, mely a számítógépen aktív munkával töltött időszakot figyeli.

Vigyázzunk a videókonferenciás adatokra!

A GDPR tekintetében érdekes aspektusa a home office munkának a különböző online kommunikációs szolgáltatások használatakor keletkezett adatok kezelése. Nagyon sok vállalatnál egy globális kommunikációs platform segítségével tartják a kapcsolatot az otthoni irodába kényszerült kollégákkal. A képmás és az emberi hang is személyes adat, emiatt a kép- és videófelvételek adatbiztonságáról a munkáltatónak gondoskodnia kell, mint minden más személyes adat esetében.

A tömeges használat sok biztonsági hibára mutatott rá, ezért a személyes adatok védelme tekintetében ezen platformok használata kockázatos és megfontolandó. Ha egy illetéktelen belép egy videóbeszélgetésben, netán csak lehallgatja, az a GDPR alapján adatvédelmi incidensnek minősülhet, melyet a NAIH felé azonnal jelenteni kell, és ha ezt elmulasztjuk, komoly bírságot kockáztatunk.

Azonban a szakértők figyelmeztettek, a munkáltató senkit sem kötelezhet az adott online vagy közösségi platformok használatára munkavégzés céljából, hiszen adatvédelmi szempontból létezik más, a személyes adatok kezelésére tekintettel kevésbé kockázatos megoldás: a telefon. A GDPR alapján jogalapként az önkéntes hozzájárulás szükséges, azaz, ha a munkavállaló is hozzájárul, akkor alkalmazhatók az említett kommunikációs eszközök. A hozzájárulás megadásának előfeltétele, hogy előzetesen részletes és pontos tájékoztatást kell biztosítani az adatkezelés céljáról, időtartamáról és körülményeiről a munkavállaló számára. Ennek hiányában az adatkezelés bizonyosan nem felelhet meg a GDPR előírásainak.

Vass Enikő

2020. jún. 29.

Megtekintés: 154