W każdej organizacji bezpieczeństwo danych powinno być przedmiotem zainteresowania nie tylko działu IT, ale każdego, kto ma z tym styczność w swojej codziennej pracy. Dotyczy to zwłaszcza  działów HR, gdzie są przetwarzane dane osobowe pracowników, zleceniobiorców, czy pracowników tymczasowych. Niektóre wymagają szczególnej ochrony, jak np. dane o stanie zdrowia, czy o przynależności do organizacji związkowej.

Z tego względu dobrą praktyką działów HR jest wdrożenie procedur, które przygotują je na wszelkie sytuacje związane z naruszeniem bezpieczeństwa danych osobowych. Coraz częściej obserwujemy, że działy HR muszą mierzyć się z takimi kryzysami, jak zablokowanie dostępu do danych albo kradzież ich w konsekwencji ataku hakerskiego.

1. Inwentaryzacja

Atak hakerski zawsze wywołuje w dziale HR burzę, niezależnie od skali naruszeń. Problem potęguje  brak świadomości, jakie kategorie danych osobowych przetwarzane są w poszczególnych systemach czy programach kadrowych. Tego stresu można uniknąć, przygotowując wcześniej inwentaryzację danych osobowych. W jej wyniku powstanie katalog przetwarzanych danych obejmujących listę wykorzystywanych systemów i programów informatycznych, ze wskazaniem, jakie kategorie danych (imię, nazwisko, e-mail, data urodzenia, itd.) i osób (pracownicy, byli pracownicy, kandydaci do pracy) są w nich przetwarzane. Jeśli dojdzie do zablokowania np. tej części serwera, na której zapisany jest program płacowy, dział HR w razie ataku nie będzie tracić czasu na ustalenie, jakie dane były gromadzone w programie płacowym. Informacja ta będzie potrzebna do zgłoszenia naruszenia w  Urzędzie Ochrony Danych Osobowych.

2. Osoby odpowiedzialne

Kryzys wywołany atakiem hakerskim wymaga zarządzania i podziału zadań. Potrzebna jest osoba, która zbierze informacje o naruszeniu, będzie w stałym kontakcie z informatykami, dokona oceny skutków naruszenia. Na podstawie tych danych administrator danych będzie musiał podjąć decyzję, czy o naruszeniu należy zawiadomić Urząd Ochrony Danych Osobowych i osoby, których to naruszenie dotyczy. To znaczy, że będzie potrzebny również ktoś, kto przygotuje zgłoszenie i treść zawiadomienia. Trzeba pamiętać, że niekiedy zawiadomić trzeba nawet kilkaset osób – pracowników, byłych pracowników, zleceniobiorców. To duże przedsięwzięcie logistyczne, biorąc pod uwagę, że treść zawiadomienia musi być napisana zrozumiały językiem i musi odnosić się do sytuacji konkretnych grup osób, gdyż skutki naruszenia mogą być różne. Wreszcie, trzeba będzie zapewnić bieżącą pracę działu HR. Podział zadań i wyznaczenie osób odpowiedzialnych za ich wykonanie to kolejna czynność, którą można wykonać w ramach profilaktyki, by w razie ataku każdy wiedział, co do niego należy.

3. Kopie zapasowe

W sytuacji utraty danych czy utraty dostępu do nich, dysponowanie bezpieczną kopią zapasową jest kluczowe dla zapewnienia ciągłości działania. Przykładowo, gdy do naruszenia dojdzie w dniach poprzedzających wypłatę wynagrodzeń, bez dostępu do danych pracodawca nie będzie miał możliwości naliczenia płac. Z tego względu, tak ważne jest wykonywanie kopii z częstotliwością, która w razie konieczności odtworzenia danych, będzie minimalizowała straty w danych. Ważna będzie zatem komunikacja działu HR z działem IT – umożliwi to sprawne przywrócenie możliwości wykonywania normalnych zadań.

Popularne stwierdzenie mówi, że „tylko spokój może nas uratować”. Ta prosta zasada w kontekście naruszenia ochrony danych osobowych nabiera sensu wówczas, gdy Dział HR dzięki działaniom profilaktycznym jest przygotowany na niespodziewane sytuacje i wie, jak w nich postępować.

Karolina Kołakowska, adwokat w Kancelarii Brzezińska Narolski Adwokaci. Ekspert z zakresu indywidualnego i zbiorowego prawa pracy oraz ochrony danych osobowych, trener i szkoleniowiec.