A “home office” során felmerülő Foglalkozásbiztonsági és adatvédelmi kockázatok kezelése – 2. rész
A 2. rész az adatvédelemről szól. Amennyiben kérdése merül fel, vegye fel a kapcsolatot Kovács Zoltán Balázzsal.
Hogyan biztosítsa az adatok védelmét otthoni környezetben? Milyen szabályzatokat kell alkalmazni az adatok és az eszközök biztonsága érdekében? Mit jelent az adatvédelmi incidens?
Az adatok biztonsága vonatkozásában is lényeges, hogy a munkáltatók megfeleljenek az elszámoltathatóság elvének és így képesek legyenek a megfelelés igazolására (ennek része megfelelő belső szabályzatok alkalmazása). A munkáltató szemszögéből alapvetően fontos, hogy megfelelő biztonsági és szervezeti intézkedéseket építsen ki, így többek között rendelkezzen adatbiztonsági szabályzattal, (adatvédelmi) incidens szabályzattal és IT eszköz használati szabályzattal. Az IT biztonság azt jelenti, hogy ha egy munkavállaló elektronikus eszközt használ munkavégzés céljából, akkor az eszköz biztonságos hálózathoz legyen csatlakoztatva, erős jelszóval védettnek kell lennie és megfelelő software-rel és beállításokkal kell azt használni, beleértve a vírusirtó software-t, a tűzfalat, spam szűrőt, gyermekzárat, stb. Az adatok fizikai biztonságát is biztosítani kell. Ez jelentheti például a munkavállaló otthoni bejárati ajtajának megfelelő biztonságát, riasztó rendszert, kaputelefont és a bizalmas dokumentumok tárolására szolgáló tűzálló széfet.
Mi az adatvédelmi incidens? A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az adatvédelmi incidens számos kérdést felvet (az incidens értékelése, az adatvédelmi hatóság tájékoztatása, az érintett személyek tájékoztatása, az adatvédelmi incidens nyilvántartásba vétele, a szükséges biztonsági intézkedések megtétele). Ha biztonsági incidens történik, jelenteni kell azt a munkáltatói szervezeten belüli adatvédelmi felelős részére.
Az IT eszközök használatára vonatkozó szabályzat elkészítésekor fontos az alábbi kérdésekről való rendelkezés:
- megengedett-e az eszköz magáncélú használata? Ha igen, lényeges a munka vonatkozású és a magánjellegű információk elkülönítése,
- az eszközhasználat ellenőrzésének munkáltató általi célja,
- az ellenőrzés menete: ki végzi, mi a célja és az oka, fokozatosság elve, munkavállaló jelenléte, jegyzőkönyv felvétele,
- biztonsági mentés (back-up) készítés menete,
- érintett (munkavállaló) ellenőrzéssel kapcsolatos jogai,
- eljárás a munkavállaló munkaviszonyának megszűnése esetén (eljárás az eszközök visszaadása tekintetében).
A munkahelyre való visszatéréskor a munkáltatók különböző módszereket alkalmaznak annak érdekében, hogy megpróbálják megelőzni a fertőzés terjedését. A leginkább elterjedt módszer a kérdőívek kitöltetése és a testhőmérséklet mérése. Fontos, hogy ezen módszerek alkalmazása előtt és közben is megfeleljen a munkáltató az adatvédelmi előírásoknak. A magyar iskolákhoz hasonlóan, ahol a testhőmérséklet mérése október 1-je óta kötelező, a testhőmérséklet adatrögzítés nélküli általános mérése feltehetően a magánszektorban is arányos intézkedésnek minősül, tekintettel a pandémia jelenlegi állására.
A munkáltatóknak érdemes áttekinteniük a belső szabályzataikat abból a szempontból, hogy megfelelnek-e a fent írtaknak.