В ситуацията на извънредно положение много компании предприеха мерки за ограничаване на социалните контакти, включително преминавайки към home office организация на редица процеси, а в някои случаи и на цялостната дейност. Това заяви адвокат Емел Бекирова, Адвокатско дружество "Станков, Тодоров, Хинков и Спасов".

Това решение постави нови предизвикателства пред бизнеса. Home office-ът е сравнително рядко използван модел на работа у нас и голяма част от компаниите не бяха подготвени да предоставят на своите служители достъп от разстояние. Те трябваше да пригодят работата си към новите условия за дни, което постави на дневен ред въпроса сигурността на използваните методи за съхранение и пренос на информация.

От началото на извънредното положение няколко банкови структури се обърнаха към своите клиенти с предупреждение за опити за злоупотреби с цел получаване на данни. Затова не трябва да забравяме, че извънредността на ситуацията не изключва задълженията на компаниите по отношение на Общия регламент за защита на личните данни. Нещо повече, трябва да бъдем още по-бдителни към всяко нерегламентирано и нетрадиционно поведение на софтуера или връзката, която използваме, коментира адвокат Бекирова. 

Home office организацията на работа не е обвързана с допълнителни изисквания по отношение на спазването на разпоредби на GDPR, но изисква специфични мерки за защита, за да се гарантира съблюдаването на общоприложимите разпоредби. Работодателите трябва да изострят вниманието си към спазването на правилата за съхранение и обмен на информация. Организацията на работния процес от вкъщи предполага адекватно транспониране и адаптиране на вече известните задължения към новата среда и новите канали и форми на комуникация. А каналите за комуникация и достъп до информация трябва да осигурят същото ниво на защита на данните, както при работа в офис, заяви адвокат Бекирова. 

Техническа и организационна обезпеченост на работата от разстояние

Съгласно изискванията на GDPR всяка компания следва да е приела политики, чрез които регулира достъпа до данни. Това означава да се определени нивата на достъп, като служителите на различни нива, както и служители с различни трудови функции, да имат достъп до различна по вид и количество информация. Водещо при определянето на нивата на достъп е изискването всеки служител да има достъп само до данните, които са му необходими за изпълнение на неговите функции.

Работодателят трябва да предвиди и механизми за защита на данните чрез въвеждането на изисквания за достъп - достъпът до сървър и достъпът до служебни акаунти следва да се извършва чрез индивидуални профили и пароли за всеки служител, като е добре да са предвидени и мерки за периодична смяна на паролите.

При дистанционна работа със служебни документи се препоръчва осигуряване на възможност за работа, без да е необходимо изтегляне на документи и информация на личното устройство на служителите. Това означава да се работи в служебни софтуери, сървъри или облачни хранилища. На пазара са разпространени няколко вида софтуер, осигуряващи висока степен на защита на връзката и позволяващи работата от разстояние реално да се извършва на служебното устройство в съответната офисна среда. Обикновено това се постига чрез различни нива на криптиране на информацията. Традиционно се препоръчва връзката да става чрез VPN (виртуална частна мрежа), но с оглед настоящите условия би могло да се осигури защита и чрез използването на рутер с VPN функционалност или различни платформи, които предоставят възможност за работа чрез терминали.

Най-лесно може да се осигури използването на терминални платформи, които позволяват работата от вкъщи от лично или служебно устройство да се извършва директно в служебен акаунт на служебно устройство, дори последното да е в офиса. Това елиминира възможността свален файл да остане на лично устройство, осигурява допълнителна защита на връзката чрез криптиране на информацията, позволява проследимост на работата и по-лесно идентифициране на нетипичен трафик или поведение.

Протоколи и правила за работа от разстояние

В Закона за защита на личните данни няма изисквания за приемане на допълнителни политики и правила при home office. В същото време обаче с цел по-голяма яснота и спазване на вече приетите механизми за защита и контрол е полезно работодателите да изготвят за своите служители точен протокол на работа в условия на дистанционен достъп.

Кратък наръчник, който да даде яснота как служителите да се свързват с нужните им бази данни, как и къде да съхраняват информацията, какви мерки да вземат за защита, как да разпознаят опити за пробиви в системите и към кого да се обърнат при проблем или съмнение за кибератака би намалил потенциалните рискове.

Ангажимент на работодателя е осигуряването на необходимия хардуер и/или софтуер за работа от вкъщи. Най-често при home office се постига съгласие служителят да ползва лично устройство за служебни нужди, като това не премахва ангажимента за защита на това устройство и адаптирането на достъпа до информация към изискванията на компанията.

На първо място това е свързано с използването и поддържането на лицензирани антивирусни програми на домашните устройства и инсталирането на необходимия софтуер за дистанционен достъп до информация и бази данни. Най-честите опити за пробиви в системите са чрез начините за връзка и затова не бива да има компромиси в използваните програми и защити.

Устройството, на което служителят работи от вкъщи, е препоръчително да бъде защитено с парола. Тъй като често домашният лаптоп/компютър се използва от цялото семейство, служебният акаунт трябва да е отделен от достъпа за лични нужди, а след приключване на работата всички софтуерни продукти и достъпни файлове да бъдат затваряни. Минимално необходима мярка за защита е и при всяко освобождаване на устройството (за да направите кафе, да изпушите цигара) компютърът да бъде заключван, работният софтуер да бъде затварян или по друг начин да се препречи възможността за неволно грешно насочване на определена информация.

Документи и информация не е разумно да бъдат съхранявани на лично устройство, а само в защитените сървъри на компанията. В случай че все пак това се налага, веднага след приключване на работата информацията следва да бъде изтрита, включително от кошчето.

При обмен на информация между служители е добре също да се използват единствено защитени връзки и служебните канали за комуникация. Препращането на документи и информация на лични имейли следва да се възприема като строго забранено. Традиционните платформи, които използваме за ежедневна комуникация, също нямат необходимата защита, за да бъдат използвани за обмен на служебна информация.

Извънредността на ситуацията изправя работодатели и служители пред един общ проблем и трябва със съвместни усилия да се намерят начини за преодоляването му. Работата от разстояние изисква по-голяма дисциплинираност от служителите и по-тясна връзка с цел обмяна на информация между отделните нива в една структура. Извънредното положение не само не отменя спазването на Общия регламент за защита на личните данни, но и изисква спазването на специфични мерки при работа от разстояние, заявява в заключение адвокат Бекирова.