Od 7 kwietnia zaczęły obowiązywać znowelizowane przepisy kodeksu pracy wprowadzające pracę zdalną. Dotąd to tzw. ustawa covidowa dawała podstawę dla świadczenia pracy poza przestrzenią biurową pracodawcy.
Warto jednak zauważyć, iż wprowadzenie pracy zdalnej generuje dodatkowe obowiązki ze strony ochrony danych osobowych. Pracodawca bowiem występuje w roli administratora danych swoich pracowników, kontrahentów, klientów, a jednocześnie, z uwagi na wykonywanie umów, może występować w roli podmiotu przetwarzającego dane.
Przetwarzanie danych osobowych przez pracownika w formie pracy zdalnej należy uznać za dodatkowy proces przetwarzania danych osobowych. Powstaje zatem obowiązek wpisania takiego procesu do rejestru czynności przetwarzania, a także przeprowadzenia analizy ryzyka i zweryfikowania aktywów, które mogę stanowić wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Istotnym jest, iż pracownicy z uwagi na swoje zakresy obowiązków i zajmowane stanowiska, przetwarzają odmienne rodzaje danych, w różnej skali i zakresie. Stanowiska obsługi kadrowej, płacowej, bhp czy analityczne bazujące na danych, a nie na agregatach, mogą wiązać się z przetwarzaniem na szeroką skalę lub danych szczególnej kategorii, o których mowa w art. 9 ust. 1 RODO, w szczególności dotyczących zdrowia. Koniecznym jest wówczas dostosowanie adekwatnego poziomu zabezpieczeń, które będą nastawione na zagwarantowanie wyższego stopnia bezpieczeństwa niż w przypadku pracowników i stanowisk niepolegających głównie na przetwarzaniu danych osobowych.
Koniecznym, a często pomijanym aspektem jest weryfikacja przez pracodawcę umów, w których występuje w roli podmiotu przetwarzającego. Administrator niekiedy nakłada na podmiot przetwarzający obowiązek przetwarzania danych osobowych w konkretnej lokalizacji, tj. np. ograniczając czynności przetwarzania do przestrzeni biurowych podmiotu przetwarzającego. Wówczas taka umowa będzie musiała podlegać renegocjacji lub procesy objęte przetwarzaniem danych konkretnego administratora będą musiały być przeprowadzane stacjonarnie, aby nie naruszyć postanowień łączącej strony umowy powierzenia przetwarzania.
Na administratorze danych ciąży obowiązek zapewnienia środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa danych. Środki te będą wymagały dodatkowej weryfikacji, gdyż dotychczas obowiązujące u pracodawcy procedury ochrony danych osobnych na terenie zakładu pracy mogą okazać się niewystarczające w przypadku zmiany środowiska pracy na miejsce zamieszkania lub pobytu pracownika. Wobec tego obowiązkowi aktualizacji podlegać będzie polityka ochrony danych osobowych z uwzględnieniem organizacji pracy zdalnej lub obowiązkowe będzie stworzenie regulacji wewnętrznej dotyczącej pracy zdalnej określającej wymogi w zakresie ochrony danych osobowych.
Pracodawca zobowiązany jest ponadto ponownie przeszkolić pracowników oraz, zgodnie z zasadą rozliczalności, posiadać potwierdzenie przeprowadzenia tej czynności.
Szkolenie w szczególności powinno kłaść nacisk na zagadnienia:
- rozróżniania i odpowiedniego reagowania na phishing;
- podstaw przetwarzania danych;
- okresów retencji danych;
- bezpieczeństwa przetwarzania danych;
- zgłaszanie naruszeń;
- zasad przetwarzania danych;
- kar za naruszenia ochrony danych osobowych;
- miejsc przetwarzania danych, tj. w szczególności wskazanie, iż wykonywanie pracy zdalnej w miejscach publicznych (w tym w miejscach, w których pracownika obejmuje monitoring w miejscu publicznym skierowanych na ekran komputerowy) może skutkować ujawnieniem informacji poufnych jak również danych osobowych.
Zmianie ulegną również obowiązki informacyjne wynikające z art. 13 ust. 1 i 2 RODO, które wykonywane są wobec pracownika zatrudnianego oraz pracowników już zatrudnionych a ubiegających się o pracę zdalną. Istotnym jest wskazanie, iż zmienił się cel przetwarzania danych osobowych, który rozszerzył się o wykonywanie pracy zdalnej, a także możliwość dokonywania kontroli z nią związanej. Konieczne jest uwzględnienie zasady minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c RODO, która jednak łatwo może ulec przekroczeniu z uwagi na charakter pracy zdalnej pozostającej w dużej korelacji z życiem prywatnym pracownika. Wobec tego, istotnym jest określenie konkretnych zakresów przetwarzania danych osobowych wyłącznie do danych niezbędnych do jej przeprowadzenia z poszanowaniem prywatności pracownika oraz pozostałych współzamieszkujących. Warto zatem rozważyć stworzenie formularza określającego zakresy przetwarzania danych w związku z kontrolą, który będzie stanowił podstawę zgodnego z prawem jej dokonania.
Warto wskazać, iż pracownik, który dokonuje kontroli pracy zdalnej pracownika należącego do grup uprzywilejowanych, o których mowa w art. 6719 § 6 kodeksu pracy, musi posiadać stosownie upoważnienie wynikające z art. 29 RODO do przetwarzania danych z uwzględnieniem danych szczególnej kategorii wyłącznie dla celów wykonania kontroli.
Podkreślenia wymaga kwestia budowania czujności pracownika na incydenty bezpieczeństwa oraz naruszenia ochrony danych osobowych. Identyfikacja naruszenia należy do administratora. Nie jest jednak możliwe, aby podczas pracy zdalnej osoby odpowiedzialne za bezpieczeństwo ochrony danych były w stanie weryfikować wszelkie ryzyka lub zdarzenia, które mogły prowadzić do ujawnienia, utracenia lub dezintegracji danych. To pracownik powinien być odpowiednio przeszkolony, aby w swoim zakresie móc zidentyfikować podobne zdarzenie, bądź też posiadać wiedzę, która pomoże mu nabrać odpowiedniego podejrzenia o tym, iż mogło dojść do naruszenia ochrony danych osobowych. Wobec tego pracodawca musi zweryfikować swoje procedury wewnętrzne pod kątem sposobów zgłaszania naruszeń, a także prowadzić stałe działania uświadamiające pracowników, w szczególności poprzez szkolenia i krótkie informacje wskazujące odpowiednie kroki, które pracownik powinien podjąć w przypadku identyfikacji zdarzenia dotyczącego ochrony danych osobowych.
Istotnym jest zobowiązanie pracownika do niewykorzystywania sprzętu prywatnego podczas wykonywania czynności służbowych czy też niekorzystania z publicznych sieci wifi – urządzenie lub sieć mogły zostać uprzednio objęte złośliwym oprogramowaniem, które w konsekwencji może prowadzić do zainfekowania całej infrastruktury informatycznej pracodawcy, zaszyfrowania posiadanych danych, wymieszania lub ich trwałego usunięcia.
Podobnie pracodawca powinien przeprowadzić szkolenia z zakresu odpowiedniego identyfikowania phishingu przez pracownika. Przeważnie taka komunikacja przeprowadzana jest w sposób wskazujący na jej pilność lub przez osoby podszywające się pod główne kierownictwo lub osoby z księgowości/kadr. Jest to częsty zabieg oddziałujący na sferę emocjonalną pracownika powodujący poczucie odpowiedzialności za wykonanie polecenia służbowego, podczas gdy działania te zmierzają wyłącznie do ujawnienia przez pracownika danych do logowania do systemów informatycznych pracodawcy lub bankowości internetowej celem uzyskania informacji lub środków pieniężnych przez nieuprawnionego odbiorcę.
Pracodawca powinien rozważyć wielopoziomową mitygację ryzyka, w szczególności poprzez identyfikację ryzyk manualnych działań pracowników na danych. Warto zatem odpowiednio zarządzać nadanymi uprawnieniami do zasobów informatycznych, w szczególności w zakresie logowania do portali, dostępów do sharepoint, dysków sieciowych. Istotnym jest bowiem podkreślenie, iż pracownik posiadający uprawnienia dostępowe wyłącznie do niezbędnych mu zasobów – nie skopiuje, nie ujawni lub w inny nieuprawniony sposób nie wykorzysta szerokiego zakresu danych istotnych dla administratora.
Praca zdalna nie powinna się również wiązać z działalnością o charakterze prywatnym. Konieczną jest zatem odpowiednia separacja danych oraz ich zabezpieczanie przed współmieszkańcami, którzy nie są upoważnieni do przetwarzania danych administratora. Pracownik zobowiązany jest zatem przygotować stanowisko pracy w sposób, który umożliwi mu zapewnienie ochrony danych osobowych oraz informacji poufnych, w szczególności poprzez odpowiednie ustawienie biurka, właściwości ekranu monitora. Niezbędnym jest również ograniczenie tworzenia kopii papierowych, których zabezpieczenie jest zacznie trudniejsze niż kopii elektronicznych. Ponadto należy pamiętać, iż pracownik prawdopodobnie nie posiada w swoich zasobach narzędzi, które pozwolą mu na niszczenie dokumentów papierowych w sposób uniemożliwiający ponowne zapoznanie się z ich treścią.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna.
Stan prawny na dzień 9 maja 2023 r.
autor: