Maribor, Ljubljana, Koper, 17. 3. 2020 

Zadeva: Obvestilo glede varstva osebnih podatkov pri delu od doma

Pozdravljeni,

zaradi epidemije COVID-19 so mnoge organizacije zaprle svoja vrata in so napotile zaposlene na delo od doma.

Zato smo pripravili kratka navodila glede varstva osebnih podatkov. Svetujemo vam, da pripravljene napotke upoštevate in jih, glede na naravo vašega dela, posredujete svojim zaposlenim.

1.    Ustrezna navodila zaposlenim

Po odločitvi za delo od doma, je pomembno, da zaposlenim podate jasna navodila. Pojasnite, kaj se od njih pričakujete, katero delo morajo opravljati ter tudi kateri del v dnevu se od njih pričakuje dosegljivost (preko elektronske pošte ali preko telefona). V primeru, da zaposlenim niste zagotovili službenega telefona, morate od njih pridobiti soglasje za uporabo zasebne telefonske številke. V (praviloma redkem) primeru, da zaposleni privolitve ne poda, se lahko z njim sporazumevate preko (službenega) elektronskega naslova ter navadne pošte, lahko pa jim zagotovite služben telefon (lahko povsem osnoven telefon).

Pomembno je poudariti, da morate kljub izrednim razmeram zagotavljati enak nivo varstva osebnih podatkov ter da trenutno stanje ne nudi nikakršnih olajševalnih okoliščin, če niso predvidene v zakonodaji.

Glede na to, da uvedba dela od doma prinaša določene spremembe v utečenem delovnem procesu vam svetujemo, da določite kontaktno osebo, na katero se lahko zaposleni obrnejo v primeru vprašanj glede izvajanja dela na domu.

2.    Informacijska varnost in varstvo osebnih podatkov

Zaposlene opozorite naj bodo še posebej pozorni, na ustrezno ravnanje, saj so lahko službeni (in osebni) podatki pri delu od doma izpostavljeni dodatnim tveganjem.

Zaposleni naj bodo pri pošiljanju elektronskega sporočila več posameznikom hkrati pozorni. Naj pomislijo ali je dopustno, da se prejemniki vidijo med sabo. Pri pošiljanju izven organizacije bo praviloma odgovor ne, zato prejemnike elektronskega sporočila navedite v skp oziroma bcc. S tem ukrepom boste preprečili, da bi se prejemniki seznanili z osebnimi podatki drugih prejemnikov (tudi elektronski naslovi so lahko osebni podatki).

V primeru pošiljanja zdravstvenih ali drugih občutljiv podatkov ali pa tudi seznamov z zelo veliko osebnimi podatki (npr več kot 1000 oseb) je nujno šifriranje datoteke. Slednje lahko izvedete npr. z brezplačnim programom 7 ZIP.

V navodilih zaposlenim tudi opredelite, katere osebne podatke (dokumente, obrazce, kartoteke idr.) zaposleni lahko (fizično) odnesejo domov. Opozorite zaposlene, da jih pravila varstva osebnih podatkov enako zavezujejo tudi pri delu od doma. Z osebnimi podatki posameznikov se ne smejo seznaniti nepooblaščene osebe (niti družinski člani).

Pri uporabi domačega računalnika za službo vaš račun usterzno zaščitite z geslom, tako da imate samo vi dostop do službenih podatkov. Računalnik naj bo ustrezno varnostno zaščiten.

Svetujemo vam tudi, da zaposlene opozorite na nevarnost uporabe javnih nezaščitenih brezžičnih omrežij (WiFi). Ko napravo povežemo na brezžično omrežje, ki ni varovano z geslom, oziroma je to dostopno večim uporabnikom (v kavarnah, hotelih, javnih prostorih ipd.), napravo in podatke izpostavimo tveganjem zlorabe.

Upravljavec osebnih podatkov, katerega zaposleni do osebnih podatkov dostopajo na daljavo (na primer preko oblačnih storitev), mora vsekakor razmisliti o dodatnih varnostnih ukrepih, kot je na primer šifriranje pomnilnikov prenosnih računalnikov, dvostopenjska identifikacija ob prijavi v sistem ter časovna omejitev ob prijavi napačno vnesenih gesel. V kolikor sistem to omogoča, zaposlenim omejite dostop do osebnih podatkov na tiste, ki jih za svoje delo, nujno potrebujejo.

Zaposlene je potrebno opozoriti na to, da se po končanem delu odjavijo iz sistemov ter da zaklenejo računalnik. Izredno pomembna je tudi uporaba varnih gesel.

3.    Informacijski pooblaščenec opozarja na škodljivo priponko

Informacijski pooblaščenec opozarja na sporočila, ki želijo prejemnika »s pomembno informacijo o COVID-19« premamiti, da odpre zlonamerno priponko. Namen zlonamernega programa, skritega v priponki, je kraja informacij ali prikrit oddaljen dostop do naprave. Celotno opozorilo Informacijskega pooblaščenca je dostopno na povezavi: https://www.ip-rs.si/novice/izkoriscanje-covid-19-v-kibernetskih-napadih-1169/.

4.    Nadzor delodajalca nad delom zaposlenega

Ko govorimo o opravljanju dela od doma kmalu naletimo na problematiko nadzora delavca pri izrabi delovnega časa in delovnih sredstev. Na eni strani ima delodajalca pravico, da preverja ali delavec izpolnjuje svoje obveznosti iz delovnega razmerja. Na drugi strani pa zaposleni pri opravljanju svojega dela ter pri uporabi delovnih sredstev, upravičeno pričakuje določeno stopnjo zasebnosti.

 

Ko govorimo o delu od doma je bistveno, da zaposlenim natančno pojasnimo, katero delo pričakujemo, da bodo od doma opravljali, pri tem pa jim moramo zagotoviti tudi določeno zasebnost. Ukrepi, kot so spremljanje elektronske pošte zaposlenega, bleženje uporabe računalnikov ter telefonov (npr. klicev ali lokacije) lahko pomeni nedovoljen posegajo v zasebnost posameznika.

 

V primeru kakršnihkoli vprašanj, smo vam na voljo. V času nastale situacije ekipa DATAINFO.SI nudi vse storitve pooblaščene osebe za varstvo podatkov. Dostopni smo na telefonski številki: 02 620 43 00 ali preko elektronske pošte na naslovu: dpo@datainfo.si.

 

Ostanite zdravi,

 

Ekipa DATAINFO.SI