Jak smluvně upravit home office (II) – ochrana osobních údajů a dat zaměstnavatele
Autor: Mgr. Petr Otevřel | Vloženo: 19. 9. 2020 16:07 | Přečteno: 2961XVýkon práce v režimu home office s sebou přináší specifické nároky také ve vztahu k ochraně osobních údajů, případně dat a citlivých informací zaměstnavatele. Tento článek obsahuje základní body, které by měli zaměstnavatelé upravit při uzavírání dohod se zaměstnancem o výkonu práce v režimu home office a navazuje na první díl, který se věnoval obecným náležitostem takových dohod.
Proč řešit v rámci úpravy home office také ochranu dat, citlivých informací nebo obchodního tajemství zaměstnavatele
Snad každý podnikatel uzavře v souvislosti se svou podnikatelskou činností nějakou dohodu o ochraně důvěrných informací, už i u nás častěji označovánu jako NDA (Non-disclosure agreement). Řada z těchto NDA obsahuje smluvní pokuty nejen pro případ, že k nějakému úniku důvěrných informací nebo obchodního tajemství skutečně dojde, ale i pro případ porušení vybraných povinností v NDA sjednaných.
Vedle rizika soudního sporu v souvislosti s NDA je samozřejmě v zájmu každého podnikatele, aby důvěrné informace a své obchodní tajemství chránil. Kromě toho je třeba si uvědomit, že k tomu, aby mohl kterýkoliv podnikatel úspěšně uplatňovat vůči třetí osobě nároky z porušení jeho obchodního tajemství, musí prokázat, že zajišťoval odpovídajícím způsobem utajení informací, které by měly tvořit obchodní tajemství (§ 504 občanského zákoníku). Neregulovaný nebo nedostatečně regulovaný výkon práce zaměstnanců v rámci home office proto s sebou nese celou řadu rizik.
Proč řešit v rámci úpravy home office také ochranu osobních údajů
Povinnost zpracovávat osobní údaje způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření, je zakotvena jako jedna ze základních zásad nařízení Evropského Parlamentu a Rady č. 2016/679 o ochraně osobních údajů, u nás známějšího pod anglickou zkratkou GDPR (dále „Nařízení“).
Ze strany dozorového úřadu (v ČR je jím Úřad pro ochranu osobních údajů, dále „ÚOOÚ“) může být správci osobních údajů uložena vysoká správní pokuta, a to nejen v případě, kdy už reálně došlo k bezpečnostnímu incidentu (např. úniku osobních údajů či jejich ztrátě), ale i tehdy, pokud správce porušil povinnosti stanovené v Nařízení. Při kontrole si nechává ÚOOÚ Povinnost provádět zabezpečení osobních údajů prostřednictvím přiměřených technických a organizačních opatření se do výkonu práce zaměstnanců v režimu home office promítá zásadním způsobem.
Vnitřní dokumentace k ochraně osobních údajů a dat zaměstnavatele
Ochrana osobních údajů a dat je v celé řadě firem natolik komplexní, že se tyto firmy neobejdou bez svazku vnitřních předpisů (ty by si také zasloužily samostatný článek). Ten nejobecnější z nich, vnitřní předpis určený (téměř) všem zaměstnancům je vhodné koncipovat obecněji tak, aby upravoval nejen nakládání s osobními údaji, ale také oblast důvěrných dat a obchodního tajemství. Vnitřní předpis by měl obsahovat zejména následující:
- Vymezení účelu vnitřního předpisu a definice základních pojmů,
- Klasifikace dat (tedy nejen osobních údajů),
- Obecnou povinnost mlčenlivosti a povinnosti předcházet hrozbě jejich ztráty,
- Úpravu přístupových práv, pravidel pro tvorbu přístupových hesel a povinnost užívat vícefaktorové ověření,
- Pravidla pro zabezpečení mobilních zařízení, např. povinnost užívat Touch ID/Face ID,
- Pravidla Clear Desk Policy,
- Pravidla pro užívání e-mailové komunikace,
- Povinnost neinstalovat softwarové aplikace bez výslovného souhlasu zaměstnavatele,
- Pravidla pro případ, že zaměstnanci mohou používat vlastní zařízení (tzv. BYOD – bring your own device),
- Jasně specifikovaný zákaz užívat pro přístup k internetu nezabezpečené sítě, např. veřejnou WiFi,
- Poučení o metodách sociálního inženýrství (toto by mělo být rozvedeno formou školení),
- Základní povinnosti v případě bezpečnostního incidentu, tedy porušení zabezpečení osobních údajů nebo dat – samostatný vnitřní předpis by měl upravit pravidla pro kategorizaci bezpečnostních incidentů a jejich případném ohlašování dozorovému úřadu (ÚOOÚ) ve smyslu čl. 33 Nařízení,
- Poučení o následcích porušení povinností upravených vnitřním předpisem ze strany zaměstnance, jako pracovněprávních, tak trestněprávních,
- Poučení o vzniku možných škod na straně třetích osob a hmotné škodě v podobě správních pokut v důsledku porušení povinností ze strany zaměstnance.
Vedle shora uvedeného vnitřního předpisu určeného zaměstnancům, popř. externím spolupracovníkům s přístupem k datům by samozřejmě měla být formou vnitřního předpisu zpracována dokumentace, která je určena „dovnitř“ firmy a obsahuje kategorizaci dat, kategorizaci rizik a úpravu navazujících technických i organizačních opatření přijatých na ochranu dat a osobních údajů.
Typická vnitřní opatření jsou např. fyzická bezpečnost před neoprávněným vstupem do provozovny nebo také k serverům, síťová bezpečnost, šifrování, nasazení dvoufázového ověřování, aplikace a kontrola uživatelských rolí a řízeného přístupu k vybraným datům a osobním údajům, ale také uzavření smluv o zpracování osobních údajů s externími zpracovateli v souladu s čl. 28 Nařízení, provedení procesu DPIA dle čl. 35 Nařízení (tzv. posouzení vlivu na ochranu osobních údajů) a další opatření, např. procesy pro vyhodnocování a řešení bezpečnostních incidentů.
Lze shrnout, že každá firma, která v rámci výkonu své podnikatelské činnosti nakládá s důvěrnými informacemi, obchodním tajemstvím nebo ve větším rozsahu nakládá s osobními údaji, by měla provést analýzu rizik, na základě které vytvoří seznam rizik při nakládání s daty a osobními údaji, provede jejich kategorizaci dle závažnosti případných následků toho, když riziková skutečnost nastane, případně dle pravděpodobnosti takových rizik.
A teď konečně zase k home office
Pokud má firma (zaměstnavatel) vnitřní předpisy upravující nakládání s daty a osobními údaji, musí zaměstnavatel v dohodě se zaměstnancem pokrýt pouze specifika práce v režimu home office. Zaměstnavatel má při využívání home office omezenou kontrolu nad nakládáním s daty a nezajišťuje fyzickou bezpečnost pracoviště. To jej však nezbavuje odpovědnosti za případné bezpečnostní incidenty. Zaměstnavatel proto musí zaměstnance poučit o příslušných rizicích a na základě vyhodnocení těchto rizik jim uložit jim konkrétní povinnosti – závazné pokyny zaměstnavatele.
Ideální prostředek je vnitřní předpis, na který může zaměstnavatel jednoduše odkázat v dohodě o výkonu práce v režimu home office, kterou bude uzavírat s příslušným zaměstnancem. Vnitřní předpis by měl upravovat mimo jiné i následující oblasti:
- Opatření spojená s převozem písemné dokumentace, mobilních zařízení a datových nosičů – Mezi tato opatření patří povinnost přenášet dokumenty pouze v uzavřených složkách a zavazadlech, nenechávat je bez dozoru a nevystavovat se riziku jejich odcizení nebo ztráty.
- Fyzická bezpečnost pracoviště zaměstnance – Povinnost zaměstnance neumožnit přístup k dokumentům a zařízením (notebook, mobil aj.) nepovolaným osobám, povinnost přiměřeně zabezpečit prostory.
- Pravidla pro užívání zařízení zaměstnavatele (notebook, mobil aj.) – Pokud není aplikován BYOD, měl by zaměstnavatel stanovit povinnost užívat ke zpracování dat a osobních údajů výlučně zařízení zaměstnavatele včetně povinnosti nezpřístupňovat třetím osobám (výslovně zmínit rodinné příslušníky) přístupové údaje ani jim jinak neumožnit užívat zařízení pro jakékoliv účely; samozřejmostí jsou pravidla ohledně automatického odhlašování zařízení po uplynutí určité (krátké) doby, užívání spořičů obrazovky a další opatření, která by však měla být součástí shora zmíněného obecného vnitřního předpisu.
- Síťová bezpečnost – Ideální je povinnost užívat šifrované VPN připojení; není-li taková možnost k dispozici, měl by zaměstnavatel alespoň stanovit povinnost užívat bezpečné heslo routeru zaměstnance včetně jeho pravidelných bezpečnostních updatů vč. práva zaměstnance požádat zaměstnavatele o pomoc při nastavení routeru.
- Pravidla pro užívání datových nosičů (flash disk apod.) – Pokud není stanoven výslovný zákaz užívání takových nosičů, měl by zaměstnavatel stanovit povinnost užívat pouze datové nosiče zaměstnavatele, které by měly být šifrovány a chráněny heslem. Zaměstnavatel by neměl nikdy umožnit užívání vlastních datových nosičů zaměstnance, o kterých nemá žádný přehled.
- Užívání cloudového prostoru zaměstnavatele – V mnoha případech může být namístě povinnost zaměstnance pracovat s dokumenty výlučně na cloudovém uložišti a tam je ukládat, doplněná o zákaz stahování dokumentace na pevný disk počítače nebo na jiné externí nosiče.
- Zákaz užívání bezplatných cloudových uložišť třetích stran – I když jde o nejjednodušší způsob sdílení objemných dat, zaměstnavatel nemá kontrolu nad zabezpečením takových uložišť; bude-li na tom zákazník trvat (řada firem běžně užívá Google Drive nebo Dropbox), měl by mít zaměstnanec povinnost vyžádat si výslovný souhlas zákazníka s takovou formou sdílení dat a současně výslovný souhlas zaměstnavatele.
- Videokonference – Bude-li zaměstnanec v souvislosti s výkonem práce komunikovat formou videokonferencí, měla by být stanovena pravidla týkající se zejména případného nahrávání videohovorů, včetně povinnosti informovat všechny zúčastněné, stanovit účel a dobu uložení záznamu atd.
- Kontrola zaměstnance – I v případě home office má zaměstnavatel právo kontrolovat zaměstnance, uplatňovat toto právo lze jednak softwarovými prostředky a logováním činnosti zaměstnance, o čemž jej musí zaměstnavatel předem informovat. Vedle toho by bylo vhodné už s ohledem na BOZP (viz první díl tohoto článku) sjednat právo zaměstnavatele na kontrolu v bydlišti zaměstnance, které by však mělo být přiměřené (např. 1x za 3 měsíce, pouze v pracovních dnech, kdy zaměstnanec nečerpá dovolenou, v době mezi 9:00 – 16:00 a po předchozím ohlášení). Účelem kontroly je jednak ověřit podmínky pro výkon práce z pohledu BOZP, ale také podmínky vztahující se k zabezpečení dat a osobních údajů (fyzická bezpečnost, router, užívání zařízení zaměstnance).
- Bezpečnostní incident – Zejména povinnost zaměstnance neprodleně po zjištění bezpečnostního incidentu o něm informovat zaměstnavatele, aby ten mohl přijmout opatření (např. resetovat přihlašovací údaje zaměstnance a zahájit proces vedoucí k posouzení rizik a případné ohlašovací a oznamovací povinnosti ve smyslu čl. 33 a 34 Nařízení).
Některá ze shora uvedených opatření se mohou zdát zbytečná až úsměvná, bohužel v praxi často dochází k bezpečnostním incidentům z banálních příčin. Pokud bezpečnostní incident nastane, je velice významné, zda zaměstnavatel přijal technická opatření (např. šifrování disků na počítačích zaměstnanců, nastavení VPN připojení, řádné nastavení počítačů zaměstnanců) a organizační opatření v podobě školení a shora zmíněných organizačních předpisů. Pokud zaměstnavatel není schopen doložit, že na základě analýzy rizik a přijal dostatečná technická a organizační opatření, je už toto samo o sobě o závažné porušení Nařízení (viz čl. 5 odst. 2), za které může dozorový úřad (ÚOOÚ) uložit vysoké správní pokuty. Ty budou ještě výraznější, když k bezpečnostnímu incidentu dojde.
Závěr
Pokud zaměstnanci v rámci home office zpracovávají osobní údaje, vyplývá povinnost přijmout technická a organizační opatření přímo z Nařízení. Vedle toho řada větších firem vyžaduje po svých dodavatelích bezpečnostní audity a garance toho, že aplikují příslušná technická a organizační opatření, ať už v souvislosti s osobními údaji, nebo v rámci obecné datové bezpečnosti. Na trhu existuje už řada poskytovatelů, kteří takové audity provádí vzdáleně. Jedním z nich je Cybervadis (https://cybervadis.com). V rámci auditů tohoto poskytovatele už naše advokátní kancelář úspěšně pomáhala s nastavením procesů a tvorbou vnitřních předpisů některých našich klientů.
Autor: Mgr. Petr Otevřel, otevrel@lawyer.cz
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem a problematikou ochrany osobních údajů.