Jak zabezpečit firemní data a neomezovat při tom zaměstnance?

Jak zabezpečit data a neomezovat při tom zaměstnance?

Pro každou firmu je důležité chránit svá data a know-how. Jedině tak mohou uspět v konkurenčním prostředí. Vyvážit však musí ochranu a kontrolu firemních dat se soukromím svých zaměstnanců. Zvláště po tom, co vstoupilo v platnost nařízení GDPR o ochraně osobních údajů.

Společnosti, které chtějí mít přehled o pohybu svých citlivých dat i využívání firemní techniky k tomu mohou využít speciální software. Aby byla tato kontrola za využití moderních technologií v souladu s pravidly GDPR, musí ale dodržet několik pravidel. Protože při ochraně dokumentů a firemních dat pracují firmy také s osobními údaji svých zaměstnanců.


Chránit zákonně, korektně a transparentně

Zpracování osobních údajů musí mít především právní důvod a musí s nimi být nakládáno transparentně a korektně. “Zaměstnavatelé mají oprávněný zájem na sledování využívání firemních počítačů. Při tom ale zpracovávají osobní údaje svých zaměstnanců. V souladu se zákoníkem práce a GDPR jim tak, vedle dalších povinností, musí poskytnout informace o tomto úkonu. Mohou sledovat například to, jak zaměstnanci pracují s citlivými daty, zda
nevyužívají počítače většinu pracovní doby pro osobní účely nebo to, kudy odchází z firmy důležité dokumenty, a to aniž by ohrožovali soukromí svých zaměstnanců
,” vysvětluje JUDr. Jan Diblík z advokátní kanceláře HAVEL & PARTNERS.

Aby mohla firma osobní údaje shromažďovat, musí pro to mít konkrétní a výslovně vyjádřený účel, který uvede například ve své směrnici a informuje o něm zaměstnance.  “Například v případě využití software SODAT Protection & Analytics je tímto účelem především ochrana vlastního know-how, majetku, ale za určitých okolností i kontrola plnění pracovních povinností,” popisuje Jan Vobruba, ze společnosti SODAT, která vyvíjí software pro analýzu
a monitoring pohybu firemních dat.

Nikdo by ale zároveň neměl pracovat s více údaji, než je nezbytně nutné, proto ani při využití softwaru pro monitoring a analýzu pohybu dat nepracuje firma s údaji svých zaměstnanců zbytečně. Sbírá jen ty údaje, které jsou v dané situaci relevantní a potřebné. Omezen je samozřejmě i přístup k těmto konkrétním údajům. Ten mají jen předem vydefinovaní jedinci.

Firmy musí data o svých zaměstnancích uchovávat jen po určitou dobu

Zpracovávat a ukládat osobní údaje svých zaměstnanců by také firmy měly jen po nezbytně nutnou dobu. To znamená, že po vyhodnocení analýzy se musí data anonymizovat nebo smazat úplně. Výjimkou pak může být situace, kdy analýza dat vede nakonec například k případnému soudnímu sporu.

Zaměstnavatel má povinnost své zaměstnance o využití monitorovacích a analytických systémů, jakým je například SODAT Protection & Analytics, informovat. I oni tak mají přehled o tom, jak se s údaji o jejich činnosti pracuje.

Zaměstnance chrání například občanský zákoník. Podle zákoníku práce ale zase zaměstnanci nesmějí bez souhlasu využívat například počítače k soukromým účelům, a tak je mají majitelé za určitých okolností právo kontrolovat. Protože tak ale manipulují s osobními údaji osob, musí je o rozsahu kontroly informovat. Zároveň musí zajistit, aby zpracovávané osobní údaje byly v bezpečí před ztrátou a neoprávněným poskytnutím těchto údajů.

Takové podmínky musí respektovat i nasazení systému SODAT Protection & Analytics. Ochrana firemních dat musí být v rovnováze s ochranou zaměstnanců. Stejně jako zaměstnanec má právo na soukromí, tak i zaměstnavatel má právo na ochranu svého majetku a know-how,” komentuje Vobruba, CEO společnosti SODAT.

Jak moc zaměstnance kontrolovat?

Kontrola probíhá proto, že firma má za úkol předejít ztrátě dat i úniku know-how, jako jsou například výkresy nebo cenové nabídky. V takové situaci může kontrolovat také využití aplikací a sledovat záznamy o nečinnosti uživatele. Nesmí jít ale o intenzivní a systematickou kontrolu. “Nástroj SODAT takovou kontrolu neprovádí, zaměřuje se na prevenci ztráty důležitých dat a sledování jejich pohybu, ne například na monitoring psaní na klávesnici a podobně,” vysvětluje Vobruba.

Zásadní otázkou bezpečnosti je také užití internetu. Ideálně by zaměstnavatelé měli už předem jasně vymezit pravidla pro práci s internetem. Zaměstnavatel může například některé stránky blokovat, podle toho jakou politiku užití internetu zvolí. Nejde jen o kontrolu efektivity využití času, ale také o bezpečnost sítě.

Sledovat tak může zaměstnavatel jak stahování, tak nahrávání jednotlivých souborů, a to v případě podezření na nehospodárné využívání prostředků některým ze zaměstnanců. I zde platí, že by kontrola měla probíhat v minimální nutné míře. Pokud však pojme vážné podezření, má právo i na to sledovat, k jakým účelům využívají zaměstnanci svoje telefony, elektronickou poštu i další platformy komunikace. “I zde je ale nutné dbát na právo na
soukromí zaměstnanců, a pokud jde o soukromou poštu, byť doručenou na pracovní e-mail, nemá zaměstnavatel oprávnění k její kontrole. SODAT tak například umožňuje v případě podezření monitorovat přílohy e-mailu, ne však monitorování obsahu e-mailu. Stejně tak má zaměstnavatel právo kontrolovat pohyb dat na externích USB zařízeních, které mohou
narušit bezpečnost interního IT systému
,” dodává JUDr. Jan Diblík z advokátní kanceláře HAVEL & PARTNERS.

Firmy musí chránit sebe i své zaměstnance

Firmy mají právo na ochranu svých dokumentů i know-how, a to je opravňuje v případě závažných důvodů také ke kontrole chování zaměstnanců na počítačích. Při této kontrole však musí dbát na právo svých zaměstnanců na ochranu osobních údajů a soukromí. “Zaměstnanci musí být informováni o způsobu kontroly například ve směrnici o využití IT technologií. Ochranu dat firmám usnadňují nástroje, které dnes využívají například principy machine learningu a fungují v souladu s GDPR, tak jako naše produkty,” upozorňuje Jan
Vobruba ze společnosti SODAT.

Pokud se chcete dozvědět, jak chránit citlivá data ve Vaši organizaci, tak nám napište na info@sodat.com a rádi Vám pomůžeme.