Ochrona danych osobowych w pracy zdalnej

Przedstawione poniżej dane mają charakter informacyjny i poglądowy. Zwracamy uwagę, że w konkretnych sytuacjach omawiane przepisy prawa mogą znajdować inne zastosowanie. Zachęcamy do konsultowania przypadków indywidualnych z adwokatami naszej Izby. Rejestr adwokatów jest dostępny pod adresem: https://rejestradwokatow.pl/adwokat

Od dnia 13 marca 2020 r. do dnia 20 marca 2020 r. na terenie RP Polskiej obowiązywał stan epidemiologiczny. Od dnia 20 marca 2020 r. na terenie Polski wprowadzono stan epidemii w związku z rozprzestrzenieniem się SARS-CoV-2. W dniu 7 marca 2020 r. w dzienniku ustaw ogłoszono ustawę z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Mając na uwadze konieczność zapewnienia ciągłości działalności przedsiębiorstw w większości przypadków pracodawcy zdecydowali się powierzyć pracownikom na podstawie art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacjami kryzysowych (Dz. U. z 2020, poz. 374), w celu przeciwdziałania wystąpienia zachorowań na COVID-19, wykonywanie pracy określonej w umowie o pracę w sposób zdalny, tzn. poza miejscem stałego wykonywania pracy.

W związku z większą ilością pracowników wykonujących prace zdalnie każdy przedsiębiorca musi podjąć działania mające na celu zminimalizowanie ryzka naruszenia ochrony danych osobowych, a także zapewnić stosowne zabezpieczenia. Pracodawca nie może zapominać powierzając pracę zdalną o obowiązkach wynikających z Kodeksu Pracy. Każdy pracodawca powinien również opracować regulamin pracy zdalnej. Pozwoli to doprecyzować w jaki sposób pracownik ma potwierdzić rozpoczęcie i zakończenie pracy, zasady na jakich pracownik może być kontrolowany, a także określić narzędzia służące do pracy zdalnej.

Przejście pracownika na pracę zdalną nie oznacza, że zmieniają się przyjęte w przedsiębiorstwie zasady dotyczące ochrony danych osobowych. Należy jednak pamiętać, że pracownik w domu często czuje się swobodniej co powoduje konieczność przypomnienia reguł pracy poza siecią pracodawcy. W pierwszej kolejności należy odpowiedzieć na pytanie czy pracownik będzie wykonywał powierzoną pracę na sprzęcie prywatnym czy służbowym. Urządzenie służbowe jest narzędziem pracy nie może więc być udostępniane innym domownikom do użytkowania np. do puszczania filmów, bajek. Praca zdalna w sieci domowej wiąże się to ponadto z koniecznością dostosowania zabezpieczeń przez pracownika we współpracy z działem IT w postaci ustawienia haseł zgodnych z polityką bezpieczeństwa. Komputer powinien być wyposażony w legalne oprogramowanie i program antywirusowy. Ponadto, należy uświadomić pracownika, aby sieć Internet z której będzie korzystał wykonując powierzoną pracę posiadała odpowiednie zabezpieczenia przed dostępem osób trzecich do danych przetwarzanych na sprzęcie komputerowym. Sieć domowa nie zawsze jest tak samo bezpieczna jak sieć biurowa, warto więc podjąć kroki mające na celu minimalizować ryzyko przed włamaniem hakera. Przydatne jest korzystanie z szyfrowania transmisji danych przy pomocy serwerów VPN. W szczególności pracownik powinien unikać otwartych sieci WIFI. Aby uniknąć zagrożeń regulamin pracy zdalnej powinien wymuszać na pracowniku np. dwustopniowe logowanie do systemu, cykliczną zmianę haseł, konieczność korzystania wyłącznie ze służbowego maila w domenie pracodawcy. Pracownik pracujący zdalnie powinien w przygotowanym przez siebie stanowisku zapewnić bezpieczeństwo przetwarzania danych chociażby stosując wygaszacz lub wymuszając przez system wylogowanie przy opuszczeniu stanowiska na dłuższy okres.

W obecnej sytuacji pracodawcy stają przed wieloma wyzwaniami często dużo poważniejszymi niż regulowanie pracy zdalnej oraz RODO należy jednak być świadomym, że zapewnienie odpowiednich procedur pozwoli uniknąć lub chociaż zminimalizować ryzyko związane z oszustwami internetowymi. Epidemia jest bowiem wykorzystywania przez oszustów do wysyłania fałszywych wiadomości e-mail ze złośliwym oprogramowaniem, które mogą zaszkodzić pracodawcy. Przestępcy często kierują ataki polegające na wysyłaniu wiadomości phishingowych. Po otwarciu dołączonych do nich załączników infekują one komputer złośliwym oprogramowaniem, które może zostać wykorzystane w celach przestępczych.

Pracodawca powinien więc wskazać pracownikowi aby ten wykonując swoją pracę zdalnie skupił się zabezpieczenie obszaru, w którym przetwarzane są dane osobowe poprzez uniemożliwienie dostępu do nich osobom nieuprawnionym w ramach funkcjonujących procedur polityki ochrony danych osobowych czy instrukcji zarządzania systemami informatycznymi. Pracodawca jako administrator danych osobowych powinien przypomnieć pracownikom, że zabronione jest chociażby wysyłanie materiałów służbowych na konta prywatne, otwieranie załączników z plikami samorozpakowyjącymi, odbieranie wiadomości z nieznanych źródeł.

Firmy powinny w ramach regulaminu pracy zdalnej opracować szczegółowe procedury obiegu dokumentów. W przypadku konieczności pracy zdalnej na dokumentach papierowych pracownik musi być świadomy zagrożeń w kontekście ochrony danych osobowych. Należy zapewnić ochronę dokumentów przed dostępem do nich osób nieupoważnionych i ochronić je przed przypadkowym zniszczeniem. Zabronione jest wyrzucanie dokumentów do kosza.

Ponadto, należy pamiętać o wykonywaniu kopii zapasowych, unikać spożywania posiłków i napojów w pobliżu dokumentów i sprzętu komputerowego.

Podsumowując należy pamiętać, że wprowadzony regulamin pracy zdalnej jest przydatny dla każdej firmie nie tylko w obliczu obecnej epidemii ale również w trakcie podróży służbowych czy innych wypadków losowych, które powodują konieczność zdalnego wykonywania powierzonej pracy przez pracownika.

Opracowanie: adw. Mateusz Grosicki, Kancelaria Kijewski Graś