Czy monitorowanie użytkowników komputera jest zgodne z unijnym prawem?

RODO, czyli unijne Rozporządzenie o Ochronie Danych Osobowych, nakłada na firmy dysponujące danymi osobowymi nowe obowiązki w zakresie ich gromadzenia oraz przetwarzania. Nowe regulacje dotyczą między innymi podmiotów, które korzystają z różnego rodzajów systemów informatycznych służących do monitoringu firmowych systemów IT oraz monitorowania pracowników. Jak powinien wyglądać tego typu system, żeby jego stosowanie było legalne, a więc zgodne z RODO?

Jak wykazać, że działalność firmy jest zgodna z RODO?

Jedną z nowości w przepisach jest to, że administrator danych wrażliwych musi być w stanie wykazać organowi regulacyjnemu, że jego działalność jest zgodna z RODO. W jaki sposób może to zrobić na przykład firma korzystająca z oprogramowania do monitorowania aktywności użytkowników komputerów?

Na rynku dostępne są rozwiązania, które rejestrują aktywność użytkowników komputerów czy serwerów w formie nagrań video. Pisząc bardziej obrazowo – nagrywają to, co dzieje się na ekranie. Przechwytują dodatkowo szczegółowe metadane, dzięki którym nagrania można szybko i łatwo przeszukiwać po wybranych słowach kluczowych.

„Otrzymujemy w ten sposób szczegółowy zapis aktywności użytkownika, jej kompletną historię” – tłumaczy Paweł Chudziński, ekspert ds. bezpieczeństwa systemów IT z firmy Ekran System. „Co ważne, uzyskaną w ten sposób historię można w dowolnym momencie odtworzyć” – dodaje.

Korzystając z tego typu oprogramowania firma jest przygotowana na ewentualną kontrolę. Uzyskane nagrania stanowią bowiem swego rodzaju dowód zgodności z RODO. Plik z zarejestrowaną aktywnością użytkownika pokazuje jednoznacznie, kto i w jaki sposób przetwarzał dane.

Obowiązek prowadzenia rejestrów działań związanych z przetwarzaniem danych osobowych

RODO nakłada na firmy obowiązek prowadzenia rejestrów wszelkich działań związanych z gromadzeniem i przetwarzaniem danych wrażliwych. Co musi zawierać taki rejestr? Powinien być on prowadzony w taki sposób, aby jasno z niego wynikało, kto i w jaki sposób wykorzystuje gromadzone dane.

„Dobry program do monitoringu IT powinien być wyposażony w zaawansowane opcje uwierzytelniania, które pozwolą na łatwe przyporządkowanie zarejestrowanej sesji do konkretnego użytkownika. Powinno to być możliwe nawet w przypadku używania kont współdzielonych” – wyjaśnia Paweł Chudziński.

Ekspert zwraca również uwagę na fakt, że w celu zapewnienia maksymalnej ochrony gromadzonych danych warto wybrać rozwiązanie, które oferuje uwierzytelnianie dwuskładnikowe. Zabezpieczymy w ten sposób dane przed nieuprawnionym dostępem:

  • pracowników,
  • osób z zewnątrz.

Obowiązek informowania o niewłaściwym wykorzystaniu danych wrażliwych

Zgodnie z RODO, administrator danych osobowych jest zobowiązany do poinformowania o każdym incydencie związanym z niewłaściwym wykorzystaniem gromadzonych przez niego danych. Informacja taka powinna dotrzeć zarówno do właściwych organów, jak i osoby, której dane dotyczą. Co ważne, administrator ma na to 72 godziny od momentu wykrycia zagrożenia.

Co powinna zawierać informacja o kradzieży danych czy też innych tego typu zdarzeniach? Zgodnie z unijnymi przepisami musi się w niej znaleźć:

  • szczegółowy opis zdarzenia,
  • opis środków, jakie administrator podjął, aby nie dopuścić do wystąpienia podobnej sytuacji.

W związku z powyższym wskazane jest, aby wykorzystywane przez firmę oprogramowanie służące do ochrony systemu IT posiadało funkcję alertowania w czasie rzeczywistym. „Dzięki niej osoba odpowiedzialna za bezpieczeństwo IT w firmie zostanie natychmiast poinformowana o wszelkich nieprawidłowościach” – tłumaczy Paweł Chudziński.

Po co Unia Europejska uchwaliła RODO?

RODO to akt prawny, który zastępuje europejską dyrektywę o ochronie danych z 1995 roku. Jego zapisy regulują zasady gromadzenia, przetwarzania oraz wykorzystywania danych osobowych. RODO nakłada na administratorów danych osobowych nowe obowiązki w zakresie dysponowania wrażliwymi danymi oraz wprowadza sankcje za nieprzestrzeganie tychże przepisów.

Jedne z największych zmian, w stosunku do starych przepisów, dotyczą właśnie kar. Są one surowsze niż kiedyś. Przedsiębiorca, który nie zastosuje się do nowych regulacji może zapłacić nawet 20 milionów euro grzywny lub równowartość 4% rocznego światowego obrotu.

Czym się kierowali unijni urzędnicy uchwalając nowe przepisy? Poprzez RODO Unia Europejska chciała przede wszystkim zapewnić obywatelom większą ochronę oraz dać możliwość kontrolowania procesu gromadzenia oraz przetwarzania ich danych osobowych.

Wprowadzając RODO Unia Europejska chciała również ujednolicić obowiązuję na jej terenie przepisy. Chodziło o to, aby w każdym kraju członkowskim obowiązywały takie same zasady.

Co ważne, RODO obejmuje nie tylko podmioty z UE. Do nowych regulacji muszą się również stosować firmy spoza Unii Europejskiej, których produkty bądź usługi dostępne są na terenie Wspólnoty. W ten sposób UE zwiększyła liczbę podmiotów objętych unijnymi regulacjami.

Obowiązki, jakie nałożyła na firmy Unia Europejska w związku z uchwaleniem RODO mogą się wydawać dość restrykcyjne. Zdaniem wielu specjalistów są one jednak potrzebne. Dane osobowe to bowiem temat, który wymaga kompleksowego potraktowania oraz ujednolicenia obowiązujących przepisów z zakresu ich ochrony.

Autor: Ekran System

Baner zgody na pliki cookie od Real Cookie Banner