*}

Wyzwania dotyczące ochrony danych osobowych w obliczu pracy zdalnej

Najnowsze zmiany w Kodeksie Pracy obowiązujące od 7 kwietnia br. sankcjonują szereg bardzo potrzebnych pracodawcom w obecnych czasach rozwiązań, takich jak stosowana powszechnie od czasu pandemii praca zdalna, czy służąca bezpieczeństwu zarówno samych pracowników, jak i osób trzecich i majątku pracodawcy, kontrola trzeźwości.

Art. 6718 Kodeksu Pracy stanowi, że praca zdalna to praca, która ?może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość?.

Okres pandemii i wymuszonych rozwiązań polegających na przenoszeniu niejednokrotnie całych organizacji, na pracę ?z domu? sprawił, że zasady przyjęte w tamtym czasie pozostały normą u większości pracodawców. I choć przyzwyczailiśmy się już do sprawdzonych w ostatnich latach rozwiązań, brak było w prawie pracy uregulowań w tym zakresie. Pracodawcy umożliwiający swoim pracownikom pracę zdalną muszą być świadomi faktu, iż ryzyko wystąpienia incydentów czy naruszeń w pracy zdalnej jest znaczne, a co za tym idzie należy tak ukształtować wewnętrzne polityki i procedury, aby w jak największym stopniu mitygowały takie zagrożenia. Praca zdalna tworzy bowiem wiele sytuacji, kiedy nieostrożny pracownik może doprowadzić do wycieku wrażliwych danych osobowych. Tego typu błędy nie są jednak liczone na karb pracownika, a pracodawcy.

Osoby pracujące na odległość nie tylko muszą zachować ostrożność w zakresie sposobu przetwarzania udostępnionych im danych, muszą również czuć się bezpiecznie. Powierzony im sprzęt powinien być właściwie zabezpieczony, tak jak sieć czy serwer, z których korzystają. To wszystko nakłada na pracodawcę bardzo dużo obowiązków, które bezwzględnie powinien wykonać. Ogólne zasady bezpieczeństwa obowiązujące w miejscu pracy powinny być przestrzegane również w miejscu pracy zdalnej. Wobec powyższego każdy pracodawca musi dostosować się indywidualnie do ustawowych regulacji i opracować własny system pracy zdalnej.

Najnowsza nowelizacja Kodeksu Pracy wprowadzająca uregulowania dotyczące pracy zdalnej zwiększa oczekiwania wobec zabezpieczeń stosowanych przez podmioty i osoby przetwarzające dane osobowe. W związku z tym administrator danych ma obowiązek zweryfikować obowiązujące w jego organizacji procedury i regulaminy. Z uwagi na dopuszczenie postaci elektronicznej dokumentacji należy również zweryfikować obieg dokumentów w przedsiębiorstwie. Znacznym ułatwieniem dla administratorów danych będzie zatem wprowadzenie gotowych wzorów dokumentów związanych z pracą zdalną- wniosków, oświadczeń. Takie rozwiązanie pozwoli zapobiec przetwarzaniu danych nadmiarowych.

Procedura ochrony danych osobowych w pracy zdalnej

Jak wynika z treści art. 6726 Kodeksu Pracy pracodawca ma obowiązek określić procedurę ochrony danych osobowych na potrzeby wykonywania pracy zdalnej. Niestety, ponad wskazanie obowiązku, brak jest w przepisie rekomendacji dotyczącej zakresu takiej procedury a to do administratora należy ocena ryzyk jakie mogą wystąpić i odpowiednie dostosowanie do nich obowiązujących procedur.

Przyjmuje się, że procedura ochrony danych osobowych w pracy zdalnej powinna określać co najmniej:

- narzędzia z jakich korzysta pracownik, w tym wskazanie czy jest to sprzęt powierzony przez pracodawcę czy też sprzęt prywatny pracownika, zasady korzystania i zabezpieczania połączenia internetowego;

- zasady korzystania z Internetu poza siecią pracodawcy, w tym podejmowania pracy zdalnej w miejscach publicznych;

- zasady dopuszczalności wykorzystywania powierzonego przez pracodawcę sprzętu do celów prywatnych oraz zakazu udostępniania sprzętu osobom trzecim;

- zasady organizowania i brania udziału w telekonferencjach lub spotkaniach online;

- zasady bezpiecznego prowadzenia korespondencji, w tym przekazywania informacji, szyfrowania dokumentów czy ich zabezpieczania hasłem, weryfikacji tożsamości współpracowników;

- zasady przemieszczania się pomiędzy siedzibą pracodawcy a miejscem wykonywania pracy zdalnej, w tym transportowania dokumentacji papierowej, wysyłania dokumentów ich skanowania i przechowywania w miejscu pracy zdalnej, sposób niszczenia dokumentacji;

- zasady zgłaszania incydentów;

- zasady uczestnictwa w szkoleniach;

 

Procedura ochrony danych osobowych w pracy zdalnej powinna wskazywać wprost na określone wymagane zachowania w trakcie jej wykonywania, w sposób unikający ogólnikowych stwierdzeń utrudniających późniejsze skuteczne egzekwowanie wymagań. Należy pamiętać, że wszelkie procedury dotyczące przetwarzania danych osobowych wymagają okresowego przeglądania i dostosowywania ich do aktualnej sytuacji w organizacji i stwierdzanych ryzyk. Wobec powyższego, pomimo iż z praktycznego punktu widzenia można by włączyć postanowienia w tym zakresie do treści regulaminu pracy zdalnej lub regulaminu BHP, rekomenduje się pozostawienie ich w osobnym dokumencie. 

Kontrola pracy

Jak wynika bezpośrednio z art. 6728 Kodeksu Pracy, pracodawca ma prawo do przeprowadzenia kontroli wykonywania pracy zdalnej przez pracownika, kontrolę w zakresie bezpieczeństwa i higieny pracy lub kontrolę przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych. Istotną kwestią pozostaje, iż kontrolowanie wykonywania pracy przez pracownika nie może następować z naruszeniem prywatności pracownika ani innych osób fizycznych, w tym członków jego rodziny.

Zatem, aby uczynić zadość zgodności działań pracodawcy z nowymi regulacjami w zakresie pracy zdalnej, należy pamiętać, iż kontrola jest dopuszczalna po wcześniejszym jej uzgodnieniu z pracownikiem. Jej forma powinna być dostosowana do charakteru pracy pracownika a zasady przeprowadzania powinny zostać uwzględnione w regulaminie pracy zdalnej. Jak pokazuje dotychczasowa praktyka, znaczna część kontroli pracy zdalnej odbywa się obecnie również w formie zdalnej, to jest np. w formie wideokonferencji, czy wykonania przez pracownika zdjęć miejsca pracy.

Inne obowiązki pracodawcy- administratora w związku z umożliwieniem pracownikom pracy zdalnej

Poza wskazanymi powyżej kwestiami, pracodawca -administrator umożliwiający swoim pracownikom pracę zdalną powinien dopilnować szeregu drobniejszych formalności takich jak m. in. wprowadzenie zmian w Rejestrze Czynności Przetwarzania poprzez uzupełnienie go o nową ?czynność?. Zmiany te poprzedzić powinno przeprowadzenie procedury analizy ryzyka oraz Privacy by design dla nowego procesu przetwarzania danych.

Dodatkowo pracodawca nie może zapomnieć o zapoznaniu pracownika z nowo wprowadzonymi procedurami i regulacjami, podobnie jak o przeprowadzeniu instruktażu i szkolenia oraz zebrania oświadczenia pracowników o zapoznaniu się z zasadami świadczenia pracy zdalnej. Warto zaznaczyć, że w nowym brzmieniu Kodeksu Pracy wprowadzona została możliwość szkolenia za pośrednictwem komunikacji elektronicznej. Szkolenie takie dotyczyć może  zasad bezpieczeństwa, w tym ochrony danych osobowych oraz higieny pracy.

Podsumowanie

Niewątpliwie  pracodawcy jako administratorzy danych, w związku z wprowadzeniem najnowszych zmian do Kodeksu Pracy, mają szczególną rolę do spełnienia podczas pracy zdalnej, na nich bowiem spoczywa obowiązek zapewnienia odpowiedniego stopnia przestrzegania zasad bezpieczeństwa przetwarzania danych.

Zespół Kancelarii 

Używamy plików cookie, aby poprawić komfort korzystania z naszej witryny.