RODO a praca zdalna w szkole
Zgodnie z prawem
Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”) art. ust. lit. f RODO
Administrator musi być w stanie wykazać przestrzeganie zasad ochrony danych („rozliczalność”) art. 5 ust. 2 RODO
Dokumentacja papierowa?
Tylko w uzasadnionych przypadkach
➢ Zabezpieczenie przed nieuprawnionym dostępem
➢ Bezwzględny zakaz wyrzucania dokumentów do kosza na śmieci
➢ Niszczenie wykorzystanej dokumentacji w sposób uniemożliwiający odczyt danych – korzystanie z niszczarki do dokumentów
Sprzęt wykorzystywany do pracy zdalnej służbowy komputer / laptop / tablet
➢ Dostęp tylko dla osoby upoważnionej
➢ Indywidualny login i hasło
➢ Korzystanie z VPN
➢ Wygaszacz ekranu
➢ Aktualny program antywirusowy
➢ Automatyczny backup danych
➢ Szyfrowany dysk twardy
Sprzęt wykorzystywany do pracy zdalnej prywatny: komputer / laptop / tablet
➢ Dobrowolna zgoda pracownika
➢ Przygotowanie sprzętu do użytku służbowego
➢ Utworzenie subkonta
➢ Indywidualny login i hasło
➢ Korzystanie z VPN
➢ Wygaszacz ekranu
➢ Aktualny program antywirusowy
➢ Automatyczny backup danych
➢ Szyfrowanie części dysku /plików
Sprzęt wykorzystywany do pracy zdalnej smartfon
➢ Blokada ekranu
➢ Szyfrowanie danych
➢ Korzystanie z VPN
➢ Backup danych
Sprzęt wykorzystywany do pracy zdalnej
zewnętrzne nośniki danych – pendrive, dysk twardy
➢ Sprzęt służbowy
➢ Używany zgodnie z obowiązującymi w szkole Procedurami
➢ Sprzętowe szyfrowanie pamięci
➢ Szyfrowanie pamięci za pomocą zainstalowanego programu
Organizacja pracy zdalnej
Podstawowe zasady bezpiecznej pracy zdalnej
Incydenty czyli naruszenia
Przeciwstawne priorytety
Przeciwstawne priorytety: koszt / bezpieczeństwo / wygoda
Świadomość pracowników
➢ Wdrożenie odpowiednich procedur dot. ochrony danych, w tym podczas wykonywania pracy zdalnej
➢ Zapoznanie pracowników z obowiązującymi procedurami dotyczącymi ochrony danych
➢ Poinformowanie pracowników o stosowanych zabezpieczeniach podczas pracy zdalnej
➢ Egzekwowanie od pracowników stosowania (podczas wykonywania pracy zdalnej i nie tylko) wprowadzonych przez pracodawcę procedur
➢ Szkolenia na temat bezpiecznego wykonywania pracy zdalnej
➢ Szkolenia przypominające ogólne zasady ochrony danych
➢ Ścisła współpraca z Inspektorem Ochrony Danych i Administratorem Sieci Informatycznej w zakresie bezpiecznego wykonywania pracy zdalnej
Najczęściej występujące incydenty
➢ Zgubienie lub kradzież laptopa
➢ Skasowanie danych
➢ Przesłanie danych nieuprawnionej osobie
➢ Korzystanie z poczty prywatnej
➢ Otwieranie załączników bez uprzedniej analizy,
➢ Wgranie aktualizacji niewiadomego pochodzenia
➢ Awaria urządzenia i utrata dostępu do danych
➢ Zerwanie łączności
➢ Pozostawienie niezabezpieczonych dokumentów i urządzeń
➢ Praca w domu na urządzeniach dostępnych dla rodziny i znajomych
➢ Prowadzenia rozmów w miejscach, które nie gwarantują zachowania poufności
➢ Ukrycie incydentu przed pracodawcą
Szacowanie ryzyka
➢ Proces
➢Cel procesu
➢Ryzyko nieosiągnięcia celu
➢Cele kontrolne
➢Mechanizmy kontrolne
➢Testy i weryfikacje
Szacowanie ryzyka
Ryzyko
Osoba prowadząca nie poprowadzi prelekcji
Cel kontrolny Zapewnić, ze osoba
prowadząca przybędzie na czas Zapewnić, ze osoba prowadząca będzie
przygotowana Zapewnić, ze osoba prowadząca będzie miała dobre łącze
internetowe
Test
Wizytacja – udział w prelekcji
Kontrola treści Ankieta wśród
słuchaczy
Test przyłączenia Mechanizm kontrolny
Umowa Powiadomienia
Program – główne punkty prelekcji.
Informacje o prelegencie
Łącze zapasowe Nagranie prelekcji
