Bezpieczeństwo danych w e-teczkach – jak zapewnić prywatność i ochronę informacji pracowniczych?

Spis Treści

Bezpieczeństwo danych e-teczek, czyli dokumentacji pracowniczej w formie elektronicznej, pozostaje sprawą kluczową dla zarządzających nimi firm outsourcingowych oraz ich klientów. Od 1 stycznia 2019 roku, zgodnie z nowelizacją Kodeksu pracy, pracodawcy mogą prowadzić dokumentację pracowniczą wyłącznie w formie elektronicznej. Stąd też większość przeprowadzanych dzisiaj rozmów rozpoczyna się właśnie od wyjaśnienia kwestii związanych z bezpieczeństwem oraz przedstawienia, jakie narzędzia i procedury zostaną wdrożone. Podejmowane przez nas działania mają na celu ochronę wszystkich gromadzonych i przetwarzanych danych pracowniczych przed ich wyciekiem, nieuprawnionym dostępem czy naruszeniem ich integralności.

Bezpieczeństwo danych w e-teczkach – jak chronić informacje pracownicze przed zagrożeniami?

E-teczki, jako dokumenty zawierające szereg danych osobowych, w tym nierzadko danych wrażliwych, podlegają szczególnej ochronie przewidzianej nie tylko w ustawodawstwie krajowym, ale i przepisach unijnych (RODO). Pracodawcy, którzy jeszcze do niedawna, w związku z nadrzędnością akt osobowych w formie papierowej, byli przyzwyczajeni do innych, tradycyjnych środków bezpieczeństwa, w obliczu pojawienia się szybko zyskującej na popularności dokumentacji cyfrowej, zostali zmuszeni do poszukiwania nowych rozwiązań i zwracania uwagi na zgoła odmienne kwestie. Jednak w przypadku, gdy obsługą e-teczek zajmują się firmy outsourcingowe, takie jak Payroll 360, to one stają się w pełni odpowiedzialne za zagwarantowanie bezpieczeństwa danych i ochronę informacji pracowniczych, ściągając w ten sposób spory ciężar z barków pracodawców.

Poniżej przedstawiamy więc praktyczne wskazówki i rozwiązania, jakie firmy outsourcingowe mogą zastosować w celu zwiększenia bezpieczeństwa danych w e-teczkach. Wszystkie z poniższych zabezpieczeń oferujemy także naszym klientom, którzy korzystają z usług outsourcingu kadr i płac Payroll 360.

Outsourcing kadr i płac

Ustalenie polityki dostępu i uprawnień użytkowników

Dokumentacja pracownicza w postaci elektronicznej powinna być prowadzona i przechowywana w systemie teleinformatycznym, który zapewnia w szczególności jej zabezpieczenie przed nieuprawnionym dostępem. Stały dostęp do e-teczek mogą uzyskać tylko osoby do tego upoważnione, przy jednoczesnym umożliwieniu szybkiej identyfikacji takich użytkowników oraz rejestrowaniu dokonywanych przez nich zmian w dokumentacji.

Mówiąc o polityce dostępu i uprawnieniach użytkowników, możemy wyodrębnić tu dwa podstawowe modele kontroli:

Kontrola dostępu oparta na rolach (RBAC)

Kontrola RBAC (Role-Based Access Control) to model kontroli dostępu do zasobów w systemach informatycznych. W modelu RBAC uprawnienia są przydzielane na podstawie ról, a nie indywidualnych użytkowników. Każdej roli przypisuje się następnie zestaw uprawnień do wykonania określonych działań. Jedną z przykładowych ról wyodrębnionych w tym modelu może być m.in. „Kierownik” z uprawnieniami w postaci dostępu do wszystkich dokumentów, ich edycji i zatwierdzania, a także przydzielania odpowiednich kompetencji pozostałym użytkownikom systemu. Główną zaletą modelu RBAC jest łatwość zarządzania uprawnieniami dla większej liczby osób, ponieważ można je przypisywać i kontrolować na poziomie ról, a nie indywidualnych użytkowników.

kontrola dostępu oparta na atrybutach (ABAC)

Kontrola ABAC (Attribute-Based Access Control) jest natomiast modelem kontroli dostępu do zasobów w systemach informatycznych opartym nie na rolach, a atrybutach, odnoszących się do użytkowników, zasobów lub innych warunków kontekstowych. Takim atrybutem może być m.in. rola, poziom uprawnień, czas lub miejsce dostępu. W odróżnieniu od RBAC kontrola ABAC cechuje się większą elastycznością i szczegółowością, ponieważ umożliwia konfigurację wielu różnych atrybutów oraz zastosowanie bardziej złożonych reguł. Pozwala m.in. na to, aby pracownicy działu HR mogli korzystać z dostępu do e-teczek pracowników tylko w godzinach pracy i tylko z siedziby firmy.

E-teczki z Payroll 360

Regularne tworzenie kopii zapasowych i planowanie awaryjne

Regularne tworzenie kopii zapasowej, nazywane także backup’em, to jeden z podstawowych, najważniejszych nawyków, który powinna wyrobić w sobie każda osoba pracująca na komputerze i przechowująca tam lub na serwerach efekty swojej pracy (pliki, dokumenty, zdjęcia etc.). Nie inaczej jest w przypadku e-teczek. One również podlegają obowiązkowemu backup’owi. Warto pamiętać, że backup to nie to samo co archiwizacja e-teczek – ta ostatnia wynika z wymogów prawnych i oznacza przechowywanie akt osobowych przez 50 lat, a pozostałej dokumentacji przez 10 lat. W Payroll 360 posiadamy w związku z tym specjalną politykę tworzenia kopii zapasowych. Dzięki regularnej kopii zapasowej dane przechowywane w postaci elektronicznej są zabezpieczone na wypadek ich przypadkowego usunięcia (zniszczenia), nagłej usterki sprzętu, czy ataku hakerskiego.

Przy tego rodzaju działaniach również należy pamiętać o kwestiach bezpieczeństwa, takich jak wykonywanie kilku kopii oraz przechowywanie ich w różnych miejscach. Zdecydowanie odradza się, aby był to ten sam komputer lub dysk twardy. Obecnie za najbezpieczniejsze lokalizacje uznaje się tak zwane lokalizacje off-site lub chmurę.

Mówiąc o backup’ie, nie wolno zapominać ponadto, że na wypadek zdarzeń nagłych konieczne jest w dodatku planowanie awaryjne oraz określenie procedur odtwarzania danych w przypadku naruszenia bezpieczeństwa lub awarii systemów.

Szczegółowa analiza ryzyka i audyty bezpieczeństwa

Na kolejne z działań niezbędnych w zakresie bezpieczeństwa danych pracowniczych składają się:

  • Regularnie przeprowadzane audyty bezpieczeństwa – przeprowadza się je w celu identyfikacji potencjalnych zagrożeń, zarówno zewnętrznych, jak i wewnętrznych, a także ewentualnych uchybień i nieprawidłowości. Audytom powinno poddawać się nawet najlepsze, najnowocześniejsze i certyfikowane systemy wykorzystywane w firmie do przechowywania i zarządzania e-teczkami.
  • Zgodne z międzynarodowymi standardami (w szczególności normą ISO 27001) strategie zarządzania ryzykiem – opracowanie określonych procedur postępowania z ryzykiem, z uwzględnieniem m.in. indywidualnych obowiązków, ról, akceptowalnego poziomu ryzyka, klasyfikacji ryzyka.
  • Cykliczne szkolenia dla pracowników oraz budowanie ich świadomości w zakresie bezpieczeństwa informacji – o bezpieczeństwo informacji w firmie powinni dbać nie tylko specjaliści, ale i każdy z pracowników mający na co dzień dostęp do określonej kategorii danych. Z tego względu tak ważne jest, aby zapewnić im odpowiednią edukację z tego zakresu. W związku z tym, że wraz z rozwojem technologii pojawia się niestety również coraz to więcej różnego rodzaju cyberzagrożeń, nie można poprzestać tylko na jednym szkoleniu. Wiedzę tę należy aktualizować. Dobrze przeszkolony i świadomy czyhających niebezpieczeństw i pułapek personel znacząco podnosi standardy bezpieczeństwa w przedsiębiorstwie.
  • Szyfrowanie danych – kluczowy element ochrony e-teczek obejmujący zarówno szyfrowanie danych w spoczynku (przechowywanych na serwerach), jak i w transmisji (podczas przesyłania). Stosujemy algorytm AES-256 oraz zabezpieczone połączenia SSL/TLS, co zapewnia ochronę przed nieuprawnionym dostępem nawet w przypadku przechwycenia danych.
Bezpieczeństwo w Payroll 360

Współpraca z profesjonalistami ds. bezpieczeństwa danych

Firmy wchodzące w posiadanie setek, a nawet tysięcy danych osobowych i wrażliwych swoich pracowników powinny obowiązkowo współpracować z ekspertami ds. bezpieczeństwa danych, czy to w postaci wewnętrznego zatrudnienia takich specjalistów, czy też usługi outsourcingu. W Payroll 360 mamy stałego opiekuna ds. ochrony danych osobowych, procedur RODO i ISO. Dzięki temu możemy regularnie odbywać z nim niezbędne konsultacje, a także błyskawicznie reagować na wypadek ewentualnych naruszeń lub nieprawidłowości, otrzymując jego wsparcie w każdym momencie.

Bezpieczne zarządzanie e-teczkami w ramach usługi outsourcingu kadr i płac Payroll 360

Prowadzenie e-teczek mieści się w dodatkowych usługach outsourcingu kadr i płac Payroll 360. Wchodząc w posiadanie licznych danych osobowych, dokładamy najwyższych starań, aby zagwarantować naszym klientom ich maksymalny poziom bezpieczeństwa.

W codziennych działaniach koncentrujemy się na trzech atrybutach ochrony: poufności, integralności i dostępności. Wdrożyliśmy w tym celu normę ISO 27001 oraz indywidualnie opracowaną politykę dostępu do danych i strategię zarządzania ryzykiem. W ramach działań mających na celu zwiększenie bezpieczeństwa e-teczek stale współpracujemy także z opiekunem ds. ochrony danych osobowych, dbamy o cykliczne audyty bezpieczeństwa, szkolenia naszych pracowników oraz wykonywanie niezbędnych kopii zapasowych wszystkich akt elektronicznych.

W praktyce oznacza to, że jako profesjonaliści przejmujemy na siebie wszelkie obowiązki związane z bezpieczeństwem e-teczek i odpowiedzialność za powierzone nam zadania. Możemy tym samym zagwarantować naszym klientom najwyższy standard obsługi i uwolnić ich od ciążących na nich powinności. Jeśli Państwo również chcą dołączyć do tego grona i przestać martwić się o bezpieczeństwo danych osobowych swoich pracowników, zapraszamy do kontaktu!

Kontakt

Bezpieczeństwo e-teczek pracowniczych — pytania i odpowiedzi (FAQ)

E-teczki mogą być nawet bezpieczniejsze niż dokumentacja papierowa, pod warunkiem zastosowania odpowiednich zabezpieczeń. W przeciwieństwie do dokumentów papierowych, e-teczki można szyfrować, automatycznie tworzyć kopie zapasowe, monitorować każdy dostęp do nich oraz natychmiast wykrywać próby nieautoryzowanego dostępu. Dodatkowo nie grozi im zniszczenie przez pożar, zalanie czy inne zdarzenia losowe.

Dostęp do e-teczek mają wyłącznie osoby upoważnione na podstawie nadanych ról i uprawnień. Zazwyczaj są to wybrani pracownicy działu HR klienta oraz przypisani specjaliści firmy outsourcingowej obsługujący dane konto. Każdy dostęp jest rejestrowany w systemie, co pozwala na pełną kontrolę tego, kto, kiedy i jakie dokumenty przeglądał lub edytował.

W przypadku awarii stosujemy procedury awaryjne obejmujące natychmiastowe przywrócenie danych z kopii zapasowych. Dane są regularnie backupowane w kilku lokalizacjach, w tym w chmurze, więc nawet całkowita awaria jednego systemu nie powoduje ich utraty. Dodatkowo szyfrowanie AES-256 sprawia, że nawet w przypadku wycieku, dane pozostają nieczytelne dla osób nieuprawnionych.

E-teczki przechowywane są zgodnie z wymogami prawnymi: akta osobowe przez 50 lat od zakończenia stosunku pracy, pozostała dokumentacja pracownicza przez 10 lat. Po zakończeniu współpracy z firmą outsourcingową, wszystkie dane są bezpiecznie przekazywane klientowi w uzgodnionym formacie lub niszczone zgodnie z protokołem zniszczenia danych.

Nie. Firma outsourcingowa jest procesorem danych w rozumieniu RODO i może przetwarzać dane wyłącznie w zakresie i celu określonym w umowie powierzenia przetwarzania danych. Wszystkie osoby mające dostęp do e-teczek są związane klauzulami poufności, a wszelkie operacje na danych są monitorowane i rejestrowane.

Powiązane artykuły

Jak korzystać z e-teczek w outsourcingu kadr i płac?

Jak prawidłowo zarządzać e-teczkami w firmie zgodnie z przepisami?

Jak zarządzać e-teczkami w firmie?

Specjalista ds. kadr Payroll 360 pokazujący wyliczenia, jakie daje wewnętrzny dział kadr i płac, a jakie outsourcing. Zalety i wady obu rozwiązań

Wewnętrzny dział kadr i płac czy outsourcing?

E-teczki w firmie – jakie korzyści przynosi cyfryzacja dokumentacji kadrowej?

Jakie są korzyści z wdrożenia e-teczki w firmie?

Artykuły

Więcej

FAQ

Odpowiadamy na najczęściej pojawiające się z Państwa strony pytania związane z naszymi usługami.

Jak realizowana jest ochrona danych osobowych?

Bezpieczeństwo

Jak dbamy o bezpieczeństwo Państwa danych

Bezpieczeństwo- pełna i wielopoziomowa ochrona danych dzięki wypracowanych mechanizmom kontrolnym.
Umówmy się przez Bookings
Umówmy się przez Calendly