Jak chránit důvěrné informace zaměstnanců: Pravidla a řešení

Vaše společnost shromažďuje mnoho citlivých informací o zaměstnancích, včetně rodných čísel, lékařských záznamů, dat narození a každodenních aktivit na pracovních počítačích. Ochrana těchto dat není pouze otázkou etiky a důvěry; porušení zabezpečení údajů bude mít významné právní a finanční dopady.

Jak tedy zajišťujete důvěrné informace zaměstnanců? Měli byste začít tím, že identifikujete celý rozsah citlivých údajů, od těch samozřejmých, jako jsou osobní identifikační údaje, až po často přehlížená, jako jsou analýzy monitorování zaměstnanců. Poté vytvoříte svůj bezpečnostní systém. To znamená prosazování přísných limitů přístupu, šifrování dat a transformaci vaší pracovní síly z potenciální zranitelnosti na vaši první obrannou linii prostřednictvím důsledného školení.

Cesta k robustní ochraně dat je systematická. Pojďme se podívat na základní kategorie informací, za které odpovídáte, právní rámec, který vyžaduje ochranu těchto dat, a praktická řešení, která vám pomohou je zabezpečit.

Před budováním jakékoli obrany musíte nejprve zmapovat území. Co přesně jsou důvěrné informace zaměstnanců? Obvykle to považujeme za osobní údaje, například číslo sociálního zabezpečení nebo podrobnosti o bankovním účtu. Citlivé informace však v praxi tyto limity značně překračují.

Přemýšlejte nad rámec personálního spisu. Vytváříte citlivá data v celém zaměstnání, od náborového hovoru až po závěrečný výstupní pohovor. Tato data lze kategorizovat do:

Osobní údaje (PII)

Jedná se o jedny z nejcitlivějších údajů, které mohou identifikovat jednotlivce. Pokud je kompromitován, může vést ke krádeži identity a dalším vážným následkům. Je to nesmlouvavý seznam, který musí chránit:

• Čísla sociálního zabezpečení
• Adresa domova a osobní kontaktní údaje
• Datum narození
• Údaje o bankovním účtu pro zpracování mezd
• Rodinný stav a závislé informace

Evidence zaměstnání

Na první pohled se tyto záznamy nemusí zdát tak významné, ale jejich důvěrnost je klíčem k zachování férovosti a důvěry. Záznamy o zaměstnání jsou:

• Žádosti o zaměstnání a životopisy
• Poznámky k rozhovoru
• Pracovní smlouvy
• Recenze výkonu, disciplinární zápisy a formální varování.
• Výpovědní záznamy a rezignační dopisy.

Finanční údaje

Pro většinu zaměstnanců je to možná nejcitlivější téma. Tyto informace je třeba střežit s mimořádnou opatrností, aby se předešlo vnitřním konfliktům a externímu zacílení.

• Plat
• Podrobnosti o mzdě
• Bonusy
• Motivační plat
• Formuláře pro přihlášení k benefitům (zdravotní, zubní, životní pojištění)
• Podrobnosti o účtu důchodového plánu a příspěvky

Zdravotní a lékařské informace

Tato kategorie se řídí sítí přísných předpisů, které se mohou v různých zemích lišit a zahrnují:

• Zanechte osvědčení a zdravotní dokumentaci
• Záznamy o přiměřeném ubytování
• Soubory žádostí o odškodnění zaměstnanců
• Výsledky testů na drogy a zprávy o fyzických zkouškách
• Za nepřítomnosti odevzdané poznámky lékaře

Kritickým osvědčeným postupem, který je často ze zákona vyžadován, je ukládat tyto záznamy do samostatné, bezpečné lékařské dokumentace, zcela odděleně od obecné osobní složky.

Záznamy vyšetřování

Vyšetřování obtěžování, diskriminace nebo jiného pochybení vytváří vysoce citlivá data. Pokud budou kompromitována, mohou tato data zničit nejen vyšetřování, ale také kulturu pracoviště a vést k právním důsledkům. Záznamy z vyšetřování jsou:

• Písemná prohlášení o stížnostech
• Poznámky a shrnutí výslechů svědků
• Shromážděné důkazy (e-maily, zprávy)
• Závěrečné vyšetřovací zprávy a závěry

Údaje o monitorování zaměstnanců

Data shromážděná monitorovacím softwarem jsou podrobným digitálním profilem vašeho zaměstnance. Zacházejte s těmito údaji se stejnou vážností jako s osobním spisem.

• Protokoly úhozů a historie používání webových stránek
• Snímky obrazovky a úrovně aktivity
• Údaje o poloze GPS z firemních vozidel nebo zařízení
• Metadata e-mailu a komunikace

Mnoho z výše uvedených typů důvěrných informací zaměstnanců je chráněno zvláštními zákony nebo předpisy. Rozsah ochrany se však v jednotlivých jurisdikcích a v jednotlivých zemích liší. Například ve Spojených státech musí zaměstnavatelé dodržovat americký zákon o zdravotním postižení (ADA), který vyžaduje, aby zdravotní informace zaměstnanců byly důvěrné a uchovávané odděleně od obecných personálních složek.

Další pozoruhodné předpisy jsou:

• Zákon o rodinné a zdravotní dovolené (FMLA). Podle ní musí být lékařské potvrzení a podrobnosti týkající se dovolené zaměstnance utajeny.
• Zákon o nediskriminaci genetických informací (GINA). Chrání genetické informace zaměstnanců a rodinnou anamnézu.
• Zákon Fair Credit Reporting Act (FCRA). Když zaměstnavatelé provádějí prověrky rozhodnutí o zaměstnání, toto nařízení jim ukládá přísné povinnosti.

Některé státy navíc přijaly komplexní zákony na ochranu soukromí. Jedním z příkladů je kalifornský zákon na ochranu soukromí spotřebitelů (CCPA/CPRA), který poskytuje další práva a ochranu údajům zaměstnanců v těchto regionech.

V Evropě je hlavním nařízením o ochraně osobních údajů obecné nařízení o ochraně osobních údajů (GDPR). Každá organizace v EU, která zpracovává osobní údaje (včetně důvěrných údajů zaměstnanců), musí dodržovat několik klíčových zásad: zákonný základ pro zpracování, minimalizaci údajů, ochranu údajů a respekt k právům jednotlivců.

Pokud vaši zaměstnanci pokrývají více jurisdikcí, musíte zvážit předpisy na ochranu soukromí v každé z těchto jurisdikcí. Univerzální přístup je recept na selhání dodržování předpisů. Konzultace s právním odborníkem, který se specializuje na zákony o zaměstnanosti a ochraně osobních údajů v každé zemi, kde působíte, je moudrou volbou, která vám pomůže vyhnout se potenciálním právním problémům.

Jak tedy chráníte důvěrná data zaměstnanců? Navrhujeme pět pilířů, na kterých můžete vybudovat solidní systém ochrany dat.

Ochrana dat začíná závazkem. Komplexní politika zabezpečení dat slouží jako ústava vaší organizace pro nakládání s informacemi.

Co dělat:

• Vytvořte jasný a komplexní dokument. Musí přesně definovat důvěrné informace, zmapovat jasné postupy zpracování a nastínit skutečné důsledky porušení.
• Zajistěte podepsané smlouvy. Tím se zásady nakládání s údaji stanou osobními. Podepsání zásad změní obecné pravidlo v osobní závazek každého zaměstnance, za který bude odpovědný.

Databáze bez kontroly přístupu je jako dům s otevřenými všemi dveřmi. V solidním systému ochrany dat by nikdo neměl mít přístup k datům, pokud to jeho práce nevyžaduje.

Co dělat:

• Implementujte řízení přístupu na základě rolí. Vytvořte si podúčty ve svých HR systémech, softwaru pro monitorování zaměstnanců a dalších systémech pro ukládání dat, aby manažeři a personální pracovníci viděli pouze ty informace, které nezbytně potřebují. Marketingový tým nemá ve složce mezd žádnou práci, stejně jako účetnictví nepotřebuje plán vývoje produktu.
• Nezanedbávejte fyzický svět. Pro každý zamčený digitální soubor by měla existovat odpovídající uzamčená kartotéka. Ovládejte tlačítka pečlivě. Nejsofistikovanější šifrování je k ničemu, pokud někdo může jednoduše odejít s papírovou složkou.
• Uchovávejte přístupové protokoly pro systémy ukládání dat. Vědět, kdo k čemu a kdy přistupoval, vytváří neocenitelný audit trail.

Vždy byste měli chránit důvěrné informace zaměstnanců, bez ohledu na to, jak jsou uloženy a používány, zda jsou na serveru, zasílané e-mailem nebo leží ve složce na stole manažera.

Co dělat:

• Šifrujte všechna citlivá data. Šifrování považujte za výchozí stav pro všechny důvěrné informace zaměstnanců, a to jak v klidu na vašich zařízeních, tak při přenosu po vaší síti.
• Použijte vícefaktorové ověřování. Hesla již sama o sobě nepředstavují úplnou ochranu. Vícefaktorové ověřování vyžaduje druhý doklad totožnosti a přidává další vrstvu zabezpečení. Je to bezplatný a účinný způsob, jak snížit potenciální rizika.
• Prosazovat zásady čistého pracovního stolu. Ač se to může zdát překvapivé, přeplněný pracovní prostor nebo odemčený počítač představují vynikající příležitost pro únik dat. Jednoduché pravidlo – zabezpečení všech dokumentů a odhlášení před odchodem – vytváří vaši první obrannou linii a může výrazně snížit bezpečnostní hrozby.
• Nakreslete tvrdou čáru na osobní zařízení. Pohodlí používání osobního telefonu nebo notebooku pro práci je trojský kůň. Zakázat to. Nemůžete kontrolovat, jaké potenciálně nezabezpečené aplikace si zaměstnanec do zařízení nainstaluje nebo komu je půjčí.

Technologie dokáže mnoho věcí, ale nemůže nahradit lidský úsudek. Váš tým je buď váš nejsilnější štít, nebo váš nejslabší článek. Trénink je to, co dělá rozdíl.

Co dělat:

• Udělejte z tréninku vyprávění, ne přednášku. Zakopněte kulové skluzy. Pomocí skutečných příběhů naučte zaměstnance, jak odhalit chytrý phishingový e-mail nebo odolat manipulativnímu hovoru sociálního inženýrství. Spojte body mezi jejich činy a bezpečností společnosti.
• Opakovat, posilovat, připomínat. Školení o bezpečnosti by nemělo být jednorázovou akcí. Mělo by se jednat o sérii pravidelných sezení (například čtvrtletních nebo ročních). Bdělost mizí bez posílení.
• Demokratizovat odpovědnost. Rámujte ochranu dat jako kolektivní poslání, sdílenou povinnost, a pak uspějete.

Data mají životnost. Ignorovat jeho závěrečnou fázi – bezpečnou likvidaci – je jako pečlivě zamknout dokument do trezoru a pak vyhodit klíč z okna.

Co dělat:

• Zničte papír účelně. Nevyhazujte pouze dokumenty do recyklace. Nakrájejte je a rozsekejte. V oblastech, kde se manipuluje s citlivým papírováním, udělejte odpadkové koše stejně běžné jako odpadkové koše.
• Delete data for good. Dragging a file to your computer's trash bin does not erase it. It just hides it. Use digital "shredding" software that overwrites the information, making it truly unrecoverable.
• Ovládněte umění redakce. Pokud dokument, který se chystáte sdílet, obsahuje důvěrné informace o zaměstnancích, které nesmí být vidět, redigujte tyto informace. Pro fyzické kopie můžete použít černý fix, pro elektronické dokumenty - specializované nástroje pro redigování poháněné umělou inteligencí.

Hrozby se neustále vyvíjejí. I přes vaše nejlepší úsilí k incidentům dojde. Robustní strategie ochrany dat může tyto incidenty minimalizovat a navrhnout akční plán v případě narušení.

Nejprve pravidelně kontrolujte své kontroly. Z pravidla, které se neuplatní, se rychle stane pravidlo, na kterém nezáleží. Konzistence v odpovědnosti je to, co odděluje politický dokument od provozní reality.

Second, create a breach response plan. It is not a matter of if the breach will happen; it is a matter of when. A breach response plan is a clear set of actionable steps that will make employees act in the right moment instead of panicking.

Váš plán musí zahrnovat, jak zamezit poškození, posoudit dopad, splnit zákonné oznamovací povinnosti a především opravit zranitelnost. Když se počítá každá vteřina, tento plán je vaším kompasem.

Ochrana důvěrných informací o zaměstnancích je trvalý závazek. Vyžaduje zavedení komplexních bezpečnostních opatření pro všechny citlivé informace, včetně těch nad rámec obvyklých osobních identifikovatelných údajů, a vytvoření rozsáhlého plánu reakce na porušení. Když to uděláte, nejen že zaškrtnete políčko shody – vytváříte bezpečnější a bezpečnější pracoviště pro všechny.