Uzņēmumā ir notikusi datu noplūde, jo darbinieks uz galda atstājis dokumentus ar konfidenciālu informāciju? Kā praktiski pasargāt uzņēmumam sevi no šādu situāciju atkārtošanās?

Jau gadus piecus draudzīgi sadzīvojam ar datu aizsardzības regulu, liekas, ka esam iemācījušies rīkoties droši un saprātīgi ar informāciju, bet laiku pa laikam tomēr dzirdam gadījumus, kas izraisījuši nozīmīgākas vai mazāk nozīmīgas sekas. Informācija noplūdusi, jo kāds garāmejot to ieraudzījis, e-pasts nosūtīts ne tam darbiniekam, kam domāts un tamlīdzīgi. Laikam vispirms jāmēģina atgādināt, kas tad ir datu apstrāde. Atbilstoši Datu aizsardzības regulas 4. panta 2. punktam apstrāde ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana. Līdz ar to termins "apstrāde" ir ļoti plašs un aptver visas darbības, kuras tiek veiktas ar datiem. Personas datu aizsardzības principi tiek piemēroti datu apstrādei. Ja nav datu apstrādes, netiek piemēroti arī datu aizsardzības noteikumi.

Nav tā, ka visa informācija, ar kuru strādājam ir absolūti slepena, un šis nav stāsts par sevišķo lietvedību vai dokumentiem ar ierobežotu pieejamību. Taču, veicot darba pienākumus, personāla speciālistiem, grāmatvežiem, finansistiem, klientu menedžeriem un citiem speciālistiem nākas saskarties ar informāciju un datiem, kas izmantojama tikai un vienīgi darba vajadzībām. Tāpat mēdzam gatavot dažādus dokumentu projektus, kas līdz apspriešanai vai tālākai virzībai nav domāti atklātībai. Var diskutēt vai tas ir labais stils, taču bez šī principa visticamāk netiktu uzsāktas pārmaiņas, reorganizācijas un citas darbības. Un, kā mēdz teikt, ja reorganizācijas rezultātā visi ir apmierināti, tā nav reorganizācija.

Kādas tad ir izplatītākās kļūdas darbā ir informāciju? Pirmajā vietā noteikti joprojām ir gadījumos, kad pārsvarā strādāts tiek papīra vidē. Darbinieki, kuri strādā, kā pašiem liekas “ugunsdzēšanas režīmā”, visus savus steidzamos darba dokumentus tur uz galda tuvumā, pārredzamā teritorijā. Šeit ir ārkārtīgi liela iespēja nejauši garāmejot ko ieraudzīt, izlasīt, aplūkot, vai kā citādi apstrādāt informāciju, kas nav domāta konkrētai personai. Un sekas var būt dažādas, sākot ar nevainīgiem jautājumiem, un beidzot ar informācijas nopludināšanu. Katrs dokuments un arī informācija ir domāti kādam konkrētam mērķim, un informācijas aizsargāšana ir viens no svarīgākajiem uzdevumiem. Vai ir iespējams nekārtīgu darbinieku padarīt par kārtīgu un iemācīt dokumentus lieki neturēt uz galda? Visticamāk varbūt grūti, bet neiespējami nē.

Datu aizsardzības speciālistiem mīļš termins ir “tīrā galda” princips, kad uz tā atrodas tikai tas dokuments, ar kuru strādājam, tiekoties ar kolēģi, vai atstājot darba vietu, galdu atstājot tukšu. To vieglāk ieviest ir atvērto biroju ofisos, jo nereti šādos birojos darbinieki nav piesaistīti konkrētai darba vietai un kopējai kārtībai pieseko visi. Uzņēmumos ar atsevišķu kabinetu kultūru darba vietās, kur pārsvarā strādā ar papīra dokumentiem, salīdzinoši bieži redzami dokumentu kalni uz galdiem. Varam mācīt darbiniekus, atgādināt, bet ne vienmēr tas sniedz vēlamo efektu .

Viens no efektīvākajiem līdzekļiem ir pāriet uz simtprocentīgu darbu e-vidē, bez papīra dokumentiem. Un darbinieku datoru ekrāniem uzlikt aizsargājošu paroli, lai gadījumā, ja darbinieks izgājis, viņa datorā neviens pat gribēdams neko neieraudzītu.

 Ja tas nav iespējams tīri cilvēcisku apsvērumu dēļ, varbūt ierobežot ieeju telpā, kurā ir dokumenti, ieviešot elektronisko atslēgu un tikšanām un sarunām paredzot citu telpu bez dokumentiem. Atceros kāda uzņēmuma stāstu par apkopēju, kas bija visinformētākais cilvēks uzņēmumā ar kuru visi gribēja parunāties -  katru vakaru, tīrot vadītāju telpas, viņa rūpīgi izpētīja visus dokumentus, kas bija uz atstāti uz galdiem un bija visinformētākā persona uzņēmumā. 

Bieža kļūda darbiniekiem, kuriem liekas, ka vieglāk ar dokumentu strādāt papīra formā, ir to izdrukāt, un aizmirst nekavējoties paņemt. Vajadzēja atbildēt uz tālruņa zvanu, vai kāds ienāca, un dokuments tiek paņemts, kad to jau pamanījuši un apskatījuši citi kolēģi, kas arī ko printējuši.

Vēl viens informācijas noplūdes sabiedrotais ir steiga. Dokumenta projekts vai dokuments tiek nosūtīts ne tam adresātam, ir vairāki darbinieki ar vienādiem vārdiem, un, steidzoties var gadīties nepieļaujama kļūme.

Visos iepriekšminētajos gadījumos mums ir jārunā ar saviem darbiniekiem jāskaidro sekas un, iespējams jāievieš sankcijas. Tīrā galda principu var noteikt darba kārtības noteikumos un sekot tam līdzi gan iekšējo auditu ietvaros, gan ikdienā.

Otrs, manuprāt zelta risinājums, ir jau pieminētais darbs tikai un vienīgi e-vidē. Dokumenti tiek radīti, saskaņoti, virzīti un parakstīti elektroniski. Katram darbiniekam ir savs lietotāja vārds un parole, kas ļauj katram noteikt atbildības lauku un pieejas tiesības sistēmām. Ievērojot datu aizsardzības noteikumus, iespējams izsekot katra dokumenta skatītāju, saskaņotāju, utml. 

Atbilstoši datu aizsardzības noteikumiem, katrs uzņēmums ir izstrādājis savu datu apstrādes vai privātuma politiku. Darbinieki un klienti ir piekrituši savu datu apstrādei konkrētam mērķiem vai mērķiem. Darbinieki ir iepazīstināti ar informāciju, kas izmantojama tikai un vienīgi darba vajadzībām. Darbinieki lieto drošas paroles, lai piekļūtu darba informācijai, un to darbības ir pārredzamas vai auditējamas. Izbeidzot darba attiecības ar darba devēju, darbiniekam tiek slēgtas pieejas uzņēmuma sistēmām, viņa dati tiek dzēsti no uzņēmuma kontaktiem. Gadījumi, kad jau  bijušais darbinieks pēc darba attiecību izbeigšanas joprojām var tikt uzņēmuma sistēmās nav pieļaujami. Tāpat iesaku ilgstoši prombūtnē esošiem darbiniekiem slēgt pieeju uzņēmuma sistēmām uz prombūtnes laiku.

Kā izsekot datu aizsardzības speciālistam ai atbildīgajam par IT jomu paroļu un pieejas sistēmām slēgšanai un to nenokavēt? Visbiežāk, izbeidzot darba attiecības, darbiniekam ir jāiesniedz “apgaitas” lapa, kurā atbildīgie parakstās, ka ir saņemtās materiālās vērtības un informācija, darba faili, utml.  Šajā apgaitas lapā jāiekļauj arī atbildīgais par pieeju sistēmām,  un brīdī, kad viņš to paraksta, visas pieejas ir slēgtas. Tieši tik vienkārši. Neievērojot šo kārtību, varam nodarīt uzņēmumam būtisku kaitējumu.

Ja darbinieks ir strādājis ar konfidenciālu informāciju, komercnoslēpumu, tad darba devējs darbinieku par to ir informējis rakstveidā, un puses ievēro savstarpējo vienošanos par informācijas neizpaušanu.

Raksts pārpublicēts no Ižurnāli janvāra numura.