Porušení práv, GDPR ?

[Klupik]

Ahoj měl bych 2 otázky. Připojil jsem se k jednomu kolegovi na PC na RDP, protože jsem si myslel, že není v práci tak jsem mu ani nevolal. Abychom si rozuměli, jsem IT správcem juniorem a potřeboval jsem jeho PC restartovat. Následně mi nasraně volal, jak je to možný, že se vůbec k někomu můžu připojit bez jeho souhlasu a vědomí a že porušuji GDPR a že je to na trestní stíhaní tak se ptám, může to být pravda ?
A otázka druhá, jak je to se soukromými daty na firemním PC, pokud je má na C: disku a ne nijak odděleně. Je mi jasný, že se bojí, že mu je může někdo od nás z IT "ukrást", ale řekl bych že to není můj problém nebo ?
Díky za odpovědi 

[Reklama]

[czechsys]

Na oba body najdete odpoved ve smernicich pro IT, bezpecnost atd. vydanych firmou.

[ajne]

Nejsem odborník na právní témata, ale obecně není dobré se takhle připojit bez domluvy - už jen pro dobré vztahy. Nicméně pálit hned řeči o trestním stíhání, to bude asi kolega k pohledání. Není to jeho soukromý počítač, ale majetek firmy, a pokud tam dělá něco, co nechce aby bylo vidět (protože se jedná o mimopracovní činnost - soudě dle reakce), tak bych mu to dal sežrat.

Navíc předpokládám, že jste se přes RDP připojil ke svému admin účtu na PC, ne k jeho ploše. Takže jste mu do jeho pracovní plochy nelezl. Že má na dostupném C: disku soukromá data, které lze takto vidět, tak viz dále:

K druhému tématu - osobní data nemají na pracovním PC co dělat. Většina firem má na to interní předpisy. Že se to toleruje je věc jiná.

[Medo77]

GDPR v IT sektore neplati .. Si ITckar, si viazany nejakou mlcanlivostou, lebo z principu sa dostanes k datam aj ked nechces ..
Chlapovi vysvetlit vyssie povedane - ze ak chce potahovacky, ze v praci nerobi co ma, tak pruser (staci ze mu tam najdes neschvaleny .exe, a bude mat po premiach). Ako to tam dostal ? USBckom ? Pruser .. Mailom ? Ma v praci vela casu ? Treba mu pridat prace ...

Co sa tyka nejakeho pripajania bez dohovoru - az budete mat niekolko sto stanic, kde druha strana zasadne nespolupracuje, tak cloveka rychlo prejdu chute s niekym sa vybavovat ...
Pripojim sa, hlaska na obrazovku, ci tam niekto je (kludne aj do poznamkoveho bloku) - bez odozvy 10-15 sekund, a ide to dolu .. (v pripade restartu napr.)...

Chapem, ze clovek moze prudit, zvycajne su takto doktknuty ludia z central-officov (v porovnani napr. z ich  obchodnymi prevadzkami), ale proste tu cesta nie je, ak sa ti hromadia tickety v helpdesku ...

Pripojenie do Admin uctu neobstoji, bezne riesime veci, nastavene pod restricted uctom daneho usera, a musim vidiet, ako sa to chova pod nim a nie adminom ... (pod adminom to samozrejme chodi).

Pripadne chlapovi povedz, ze sa to uz nebude opakovat, ale nabude mu to daj vyzrat, ze nemas cas, lebo sa dohadujes s inymi kolegami, nez ta pustia do pc :-)

[Klupik]

Navíc předpokládám, že jste se přes RDP připojil ke svému admin účtu na PC, ne k jeho ploše. Takže jste mu do jeho pracovní plochy nelezl. Že má na dostupném C: disku soukromá data, které lze takto vidět, tak viz dále:

Přesně tak, připojuji se mým účtem admina na PC, je mi jasné že je domluva jasná. Ale každý máme auto a když jsem to jeho ve firmě neviděl usoudil jsem, že není v práci tak jsem se připojil. A jelikož jeho PC jede 24/7 tak je těžký uhodnout jestli v práci sedí nebo ne

[Reklama]

[Withy14]

Jak píše ajne, je lepší se nejdříve domluvit. Na druhou stranu naznač taktně zaměstnanci, že PC je majetkem firmy, a že ty ze své pozice máš oprávnění dané PC udržovat fit.

Co se týče soukromých dat, tak mu doporuč, ať využije například externí disk nebo něco podobného, protože jakožto správce ručíš za chod PC a firemních aplikací. Jestli tam má například fotky z dovolené  a přijde o ně (může mu havarovat disk), tak ty nejsi oprávněn mu daná data zachraňovat.

A jen dodatek - zkus si nastudovat mmc konzoli. PC se a spravovat i bez RDPka.

[Petr Blahos]

Jasně, v první řadě se snažte domluvit.  Ale myslím, že tu ještě jedna věc nezazněla:
Okamžitě to sdělte vedoucímu. Zaprvé, je to tak banálně jasné, že se za Vás musí postavit,
zadruhé, kdyby na to někdy přišla řeč, tak bude vědět o co jde.

[ajne]

Jak píše ajne, je lepší se nejdříve domluvit. Na druhou stranu naznač taktně zaměstnanci, že PC je majetkem firmy, a že ty ze své pozice máš oprávnění dané PC udržovat fit.

Kdyby jen oprávnění, IT má povinnost udržovat PC v tom nejlepším možném stavu - tj. snižovat riziko zneužití systémové díry.

Co se týče soukromých dat, tak mu doporuč, ať využije například externí disk nebo něco podobného, protože jakožto správce ručíš za chod PC a firemních aplikací. Jestli tam má například fotky z dovolené  a přijde o ně (může mu havarovat disk), tak ty nejsi oprávněn mu daná data zachraňovat.

U nás ve firmě máme v předpisech zákaz používaní soukromých USB disků. Nikdo totiž si nevezme na bedra, že zanese do sítě nějaký bordel z domácího PC nebo odkudkoli. Prostě je pracovní PC a práce - soukromé fotky a soubory patří na soukromé zařízení. Na pracovním si to nemá co ukládat či si prohlížet foto z dovolené.

A jen dodatek - zkus si nastudovat mmc konzoli. PC se a spravovat i bez RDPka.

Taky mne toto řešení napadlo, stačí poslat jeden krátký příkaz a PC rebootuje. Nicméně pořád není dobrý nápad jen tak otočit každému PC pod rukama jak se zamane. Může tam mít rozdělanou neuloženou práci (ano, má to mít pravidelně uložené, ať už ručně či automaticky, ale víte, jak to je v realitě...) a zase je oheň na střeše.

[Zdeno Sekerák]

Ja jsem ze stare skoly a nedrzim nic soukrome na pracovnim PC a nic pracovniho na domacim PC.
To same prace samotna. Doma nedelam pro firmu a v praci neresim soukrome veci.

[LarryLin]

Následně mi nasraně volal, jak je to možný, že se vůbec k někomu můžu připojit bez jeho souhlasu

Mockrát se mi stalo, že mi zaměstnanci radili, jak to mám dělat a ať to dělám raději jinak než řekli nadřízení (nebo ti co mají právo úkolovat). Každý zaměstnanec by si pak mohl vymýšlet a ve tvé práci bys měl akorát chaos a až by byl nějaký průser, tak by ses jak malý Jarda musel vymlouvat, že ti nějaký Pepa z pátého řekl, že chce abys to dělal po jeho. Takže tak jak tady už zaznělo, ujasni si s nadřízeným za jakých podmínek se můžeš připojovat na počítače jiných zaměstnanců a až si Pepa bude stěžovat na GDPR, tak mu vysvětli, že takto je to nařízený postup od nadřízených a pokud chce postupy změnit, tak ať kontaktuje vedoucího IT, který takové pravidla nastavil.

[by_cx]

Taky mám firemní PC a prostě tam nic soukromého nemám, protože se mi tam může někdo z TechDesku kdykoli připojit, koukat co dělám, sledovat mě webkamerou nebo poslouchat co se děje okolo. Ten stroj považuji za největší bezpečnostní díru v celé mé síti :-) Asi by si se mu měl omluvit, pokud mu systém nedal nějaký čas na uložení rozdělané práce, ale jinou, než lidskou stránku, to nemá.

[listoper]

Nevim jak jinde... ale u nas by to mohl byt problem.
Mam napriklad s nekterymi klienty podepsany NDAcka ktery IT urcite nema, takze kdyby ke me nekdo vzdalene lezl mohlo by to zpusobit velke problemy.

Pokud ma kolega u sebe nejaky data klientu tak muze jit i o poruseni GDPR.

[ajne]

Nevim jak jinde... ale u nas by to mohl byt problem.
Mam napriklad s nekterymi klienty podepsany NDAcka ktery IT urcite nema, takze kdyby ke me nekdo vzdalene lezl mohlo by to zpusobit velke problemy.

Pokud ma kolega u sebe nejaky data klientu tak muze jit i o poruseni GDPR.

A jak tedy u vás správce IT provádí údržbu systému v případě potřeby?

[ajne]

Ja jsem ze stare skoly a nedrzim nic soukrome na pracovnim PC a nic pracovniho na domacim PC.
To same prace samotna. Doma nedelam pro firmu a v praci neresim soukrome veci.

S tím se plně souhlasím. Je to OK nejen z hlediska bezpečnosti (riziko zatažení breberek z domácího PC na pracovní a naopak, riziko ukradení pracovních dat z domácího PC, které není tolik sledované z hlediska bezpečnosti jako firemní). A je to i zdravé, práce má člověka bavit, ale když je doma, tak je doma a má si od práce odpočinout.

[listoper]

Nevim jak jinde... ale u nas by to mohl byt problem.
Mam napriklad s nekterymi klienty podepsany NDAcka ktery IT urcite nema, takze kdyby ke me nekdo vzdalene lezl mohlo by to zpusobit velke problemy.

Pokud ma kolega u sebe nejaky data klientu tak muze jit i o poruseni GDPR.

A jak tedy u vás správce IT provádí údržbu systému v případě potřeby?

Definuj udrzbu...

Mam nejak nastaveny povinnosti. Co mam sam hlidat a aktualizovat.
On ma pod palcem WSUS, AD a podobne.

Kdyz mam nejaky problem resim to s nim a prijdu i s pocitacem za nim.
Kdyz potrebuje neco on ode me tak se ozve....