V dnešní době už bychom asi těžko našli školu nebo obec či jakoukoliv firmu, kde by se nevyužívaly digitální komunikační kanály. Patří sem e-mailové schránky, webové stránky obcí a škol, elektronické úřední desky, informační systémy (Bakaláři, Edookit, Edupage, elektronická spisová služba), telefon a SMS, sociální sítě (Facebook, Instagram, školní Whatsapp skupiny), videohovory a online výuka či online přednášky – například prostřednictvím Teams, Meet, Zoom.
Prakticky běžné je dnes i používání internetových účtů, pomocí nichž získává uživatel přístup k různým službám a produktům. Jedná se například o místo na disku pro ukládání dokumentů, e-mailovou schránku, kalendář, nástroje pro vytváření dokumentů nebo pro online komunikaci atd.
Tyto digitální komunikační kanály přijímají a předávají informace, zpracovávají agendy v elektronické podobě, shromažďují, třídí a ukládají data, zkrátka zpracovávají osobní údaje.
Není pochyb o tom, že jejich využívání usnadňuje práci, nicméně je třeba pamatovat na to, že se uživatel se ocitá ve virtuálním prostoru. V prostoru, který na rozdíl od klasické papírové korespondence a listinných dokumentů uložených v uzamčených skříních může být pro běžného zaměstnance ne až tak dobře uchopitelný a mnohdy ani ne moc srozumitelný. Navíc v dnešní době, kdy se téma kyberbezpečnosti skloňuje ve všech pádech a nezřídka se objeví zpráva o úniku či odcizení dat.
IT zaměstnanec by měl mít povědomí o nařízení EP, případně své kroky konzultovat s pověřencem
Je proto více než vhodné, aby nastavení těchto komunikačních a technických prostředků zajistil odborník v oblasti informačních technologií. Může se jednat o kmenového zaměstnance nebo externího spolupracovníka. V každém případě je třeba, aby měl povědomí o obecném nařízení Evropského parlamentu a rady (EU) 679/2016, případně své kroky konzultoval s pověřencem pro ochranu osobních údajů. Pokud se jedná o externího spolupracovníka, je třeba, aby byl vázán povinností mlčenlivosti, i když se v tomto případě jedná pouze o osobu s nahodilým přístupem k osobním údajům. Také uvnitř organizace je nutné nastavit jasná pravidla používání těchto digitálních prostředků.
Rizika a úskalí při používání digitálních komunikačních kanálů
Nejčastějším rizikem je používání osobních účtů a zařízení pro pracovní účely. Riziko spočívá v zabezpečení, kdy není jasné, jak vysoká je míra ochrany dat.
Rizikovým faktorem jsou dále nedostatečně silná hesla a sdílené přístupy více uživatelů pod stejným uživatelským jménem a heslem.
Úskalím je rovněž nešifrovaná komunikace – posílání osobních údajů přílohou přes běžný e-mail, bez šifrování, kdy v případě zaslání omylem na chybnou adresu dojde k úniku těchto osobních údajů.
Další v řadě rizik při práci s digitálními komunikačními kanály jsou kybernetické útoky jako phishing, kdy se útočník snaží z uživatele vylákat přihlašovací údaje a hesla, nebo malware, kdy se do zařízení dostane virus prostřednictvím odkazu na škodlivou webovou stránku nebo přílohy e-mailu.
Rizika ale přináší i zveřejnění citlivých informací na sociálních sítích, ať už o sobě samém, či o druhé osobě. Takto zveřejněné informace totiž již nelze nikdy úplně vymazat.
Toto, a navíc mnohdy i absence školení v oblasti kybernetické bezpečnosti a povědomí o fungování, rizicích a úskalích digitálních komunikačních kanálů, ohrožuje osobní údaje a data uživatelů.
Bezpečné používání digitálních komunikačních kanálů
Základem bezpečného používání digitálních komunikačních kanálů jsou oficiální komunikační kanály – obecní e-mailové domény (ne domény zdarma) a ověřené školní systémy. S tím souvisí i používání pracovních, dobře zabezpečených profilů, nikoliv soukromých.
Pokud více zaměstnanců sdílí jedno zařízení (počítač, notebook, tablet…), je třeba, aby k němu měl každý uživatel svůj vlastní přístup. Samozřejmostí jsou také dostatečně silná hesla, odhlašování ze zařízení v době nepřítomnosti, ale i odhlašování z e-mailu nebo internetového účtu.
Stejně tak je kvůli bezpečnosti důležité, aby uživatelé pracovali pouze na zabezpečené WiFi síti, tedy nikoliv na tzv. free Wifi síti.
U e-mailu a přihlašování do cloudového úložiště je na místě dvoufaktorové ověřování s pomocí uživatelského jména, hesla + např. SMS kódu.
Při výběru poskytovatele domény a hostingových služeb je nutné postupovat v souladu s nařízením Evropského parlamentu a rady (GDPR), dále je nezbytné, aby s poskytovatelem byla uzavřena zpracovatelská smlouva.
Je vhodné, aby systém a fungování digitálních komunikačních kanálů nastavil IT specialista, navíc proškolený v oblasti ochrany osobních údajů, ideálně ve spolupráci s pověřencem pro ochranu osobních údajů.
Samozřejmostí by mělo být také zavedení směrnic a pravidel, s nimiž se seznámí všichni zaměstnanci a uživatelé digitálních komunikačních kanálů, včetně toho, že absolvují pravidelná školení v oblasti kyberbezpečnosti.
Účinnou obranou proti ransomwaru a kybernetickým útokům jsou aktualizace systémů a záloha dat.
K bezpečnému používání digitálních komunikačních kanálů patří také zodpovědný přístup k využívání sociálních sítí, tedy se k nim umožní přístup jen oprávněným osobám a nastaví se pravidla, která zakazují sdílení zvláštní kategorie osobních údajů.
Při rozvázání pracovního poměru nebo ukončení mandátu je třeba zablokovat původnímu uživateli přístup k jeho digitálním komunikačním kanálům.
Digitální a komunikační kanály mají svá úskalí a rizika, která mohou mít za následek ztrátu či pozměnění dat, ale při správném nastavení a školení uživatelů jsou pomocníkem, bez kterého si v dnešní době lze jen těžko představit práci ve škole, na obci či v jakékoliv jiné instituci.
Kateřina Mitlöhnerová
Autorka je pověřenkyní pro ochranu osobních údajů