W przeszłości koszmarem działu kadr mogło być manko w kasie z wynagrodzeniami do wypłaty albo zaginione akta osobowe. Dzisiaj, czarnych scenariuszy, na które powinien być przygotowany każdy dział HR jest zdecydowanie więcej i niektóre z nich mają bezpośredni związek z ochroną danych osobowych. Jednym z nich jest atak hakerski na serwery, na których zainstalowane są programy kadrowe.
Wejście w życie RODO zmobilizowało wielu pracodawców do inwestycji w systemy zabezpieczeń i rozwiązania IT, których zadaniem jest zapewnić właściwy poziom ochrony danych osobowych. O ile w świadomości administratorów dość mocno utrwalona jest konieczność zapewnienia środków ochrony, o tyle zdecydowanie rzadziej są oni gotowi na sytuację, w której środki ochrony okazały się niewystarczające i faktycznie doszło do naruszenia bezpieczeństwa danych osobowych.
Dane za okup
Realnym ryzykiem, praktycznie niezależnie od skali, czy rodzaju działalności, stają się ataki typu ransomware. Złośliwe oprogramowanie szyfruje dane zapisane na serwerach i uniemożliwia do nich dostęp, wymuszając zapłatę okupu za ich ponowne udostępnienie. W skrajnym przypadku przywrócenie danych bez klucza, który umożliwiłby odczyt danych może okazać się zupełnie niemożliwe.
Z perspektywy działu HR brak dostępu do programu kadrowego przez kilka dni może mieć daleko idące skutki. Przykładowo, nie działa program do potwierdzenia obecności pracowników, nie można rejestrować czasu pracy, nie można wystawiać świadectw pracy i zaświadczeń o zatrudnieniu, nie ma jak naliczyć, a czasem nawet, jak wypłacić wynagrodzenia, nie można zmieniać ani aktualizować danych. Oparcie zarządzania zasobami ludzkimi na rozwiązaniach informatycznych ułatwia i przyspiesza wiele procesów, ale w razie ataku może skutkować całkowitym paraliżem większości, czy nawet wszystkich zadań działu HR. Dodatkowo, w grę wchodzi zupełnie uzasadniony niepokój, czy strach pracowników związany z możliwym naruszeniem poufności ich danych.
Jak się zabezpieczyć przed atakiem hakerskim?
Ryzyka ataku hakerskiego nie można całkowicie wyeliminować, ale można przygotować się na takie zdarzenie i przynajmniej częściowo uniknąć negatywnych skutków.
Przede wszystkim, trzeba zinwentaryzować rodzaje danych osobowych przechowywanych na serwerach. Zgłoszenie naruszenia danych osobowych do UODO wymaga wskazania kategorii danych objętych naruszeniem. Wcześniejsza inwentaryzacja pozwoli uniknąć nerwowego zastanawiania się, jakie dane osobowe tak naprawdę są objęte atakiem. Trzeba też wiedzieć, czyje dane osobowe są przechowywane na zaatakowanym serwerze – czy tylko aktualnych, czy też byłych pracowników, czy zleceniobiorców lub pracowników tymczasowych. Może się okazać, że wszystkie te osoby trzeba będzie zawiadomić o naruszeniu i jego potencjalnych skutkach. Inwestycja w bezpieczne i często wykonywane kopie zapasowe, przechowywane oddzielnie od głównych serwerów, to dzisiaj konieczność. Od tego, jak szybko zostaną uruchomione kopie zapasowe i jak są aktualne, może zależeć przywrócenie sprawności działania firmy. Poza tym, niezależnie od tego, czy został wyznaczony w zakładzie inspektor ochrony danych osobowych czy nie, warto wcześniej rozdzielić zadania pomiędzy członków zespołu HR. Na zgłoszenie incydentu do UODO są tylko 72 godziny, więc szkoda tracić ten czas na ustalanie kto i za co jest odpowiedzialny. Dobrze skonstruowana procedura wskaże, kto przygotowuje zgłoszenie do UODO, kto szykuje zawiadomienia o naruszeniu, kto pozostaje w komunikacji z pracownikami, kto współpracuje z inspektorem ochrony danych osobowych i działem IT.
Przygotowując instrukcję na wypadek naruszenia bezpieczeństwa danych osobowych warto pamiętać, że jej celem jest nie tylko ustalenie przyczyn naruszenia i powiadomienie UODO, ale też minimalizacja skutków naruszenia. W tym zakresie przywrócenie sprawności i ciągłości działania powinno być jednym z priorytetów.
Karolina Kołakowska, adwokat w Kancelarii Brzezińska Narolski Adwokaci, ekspert z zakresu indywidualnego i zbiorowego prawa pracy oraz ochrony danych osobowych, trener i szkoleniowiec.
