Monitoring wizyjny od lat stanowi jedno z podstawowych narzędzi pracodawców służących zapewnieniu bezpieczeństwa w miejscu pracy oraz ochronie mienia organizacji. Wraz z rozwojem technologii pojawiła się możliwość rejestrowania nie tylko obrazu, ale także dźwięku, co niesie ze sobą nowe wyzwania prawne. Choć takie rozwiązanie może pomóc pracodawcom w zapewnieniu bezpieczeństwa, ochronie tajemnic przedsiębiorstwa czy przeciwdziałaniu niepożądanym zachowaniom, to jednocześnie niesie ze sobą szereg wątpliwości prawnych. Czy pracodawca może legalnie stosować monitoring audiowizualny? Czy nagrywanie dźwięku w miejscu pracy może być zgodne z przepisami RODO i Kodeksu pracy? W tym artykule przyjrzymy się bliżej wymaganiom prawnym związanym z wdrożeniem monitoringu oraz […]
Ochrona danych osobowych podczas pracy zdalnej
2 kwietnia 2023 | Aleksandra Ziętek
Już całkiem niedługo, bowiem 7 kwietnia bieżącego roku, zaczną obowiązywać przepisy dotyczące pracy zdalnej, wprowadzone do kodeksu pracy ustawą z dnia 1 grudnia 2022 r. o zmianie ustawy – Kodeks pracy oraz niektórych innych ustaw (Dz.U. 2023, poz. 240). Już teraz coraz większa liczba pracodawców decyduje się na wprowadzenie w swoich zakładach pracy możliwości wykonywania pracy poza miejscem jej stałego wykonywania określonym w umowie. Ponadto, znaczna część firm planuje pozostać w modelu pracy zdalnej lub przestawić swoją działalność na model pracy hybrydowej. Niezwykle istotna w tym aspekcie jest właściwa ochrona danych osobowych. Zatem o czym pracodawca, jako administrator danych osobowych, musi pamiętać w związku z pracą zdalną pracowników?
Obowiązek utworzenia procedury ochrony danych osobowych podczas pracy zdalnej
Na samym wstępie warto wyjaśnić, że znowelizowany kodeks pracy dopuszczać będzie pracę zdalną całkowitą lub hybrydową dla określonych przez pracodawcę grup pracowników (w ramach regulaminu pracy zdalnej lub indywidualnego porozumienia zawartego z pracownikiem) oraz okazjonalną (nieprzekraczającą 24 dni w ciągu roku). Pewne grupy pracowników jak np. kobiety w ciąży, będą mogły wystąpić do pracodawcy z wiążącym wnioskiem o pracę zdalną. Możliwym będzie także polecenie pracownikowi pracy zdalnej w szczególnych sytuacjach (np. obowiązywania stanu nadzwyczajnego, czy wystąpienia siły wyższej).
Niezależnie jednak od tego, jak formalnie dojdzie do skierowania pracownika do pracy zdalnej, pracodawca będzie zobowiązany na mocy nowego art. 67 z ind. 26 kodeksu pracy do określenia procedury ochrony danych osobowych oraz przeprowadzenia, w miarę potrzeby, instruktażu i szkolenia w zakresie ochrony danych osobowych. Zatem określenie takiej procedury to nowy obowiązek każdego pracodawcy w przypadku, gdy umożliwi on osobie zatrudnionej pracę w formie zdalnej (nawet w przypadku dopuszczenia możliwości jedynie okazjonalnej pracy zdalnej, bez wydawania dodatkowej, wewnątrzzakładowej regulacji w tym zakresie).
Zgodnie z nowymi przepisami, każdy pracownik wykonujący pracę zdalną, będzie potwierdzał w postaci papierowej lub elektronicznej zapoznanie się z procedurami dot. ochrony danych osobowych podczas pracy w takim trybie oraz będzie obowiązany do ich przestrzegania (nowy art. 67 z ind. 26 § 2 kodeksu pracy).
Dlatego też, przed każdym pracodawcą (administratorem danych), nie lada pracochłonne wyzwanie, związane właśnie z określeniem procedur ochrony danych osobowych w przypadku wykonywania pracy zdalnej.
Jak zabezpieczyć dane osobowe podczas pracy zdalnej?
Trudno sobie wyobrazić pracę zdalną bez przetwarzania danych osobowych, chociażby w minimalnym zakresie. Nie dziwi nas zatem fakt, iż ustawodawca wprowadza do kodeksu pracy obowiązek określenia stosownych procedur z tym związanych. Nowe przepisy nie wskazują jednak dokładnie, co mają zawierać owe procedury. Będzie to zatem indywidualna regulacja uwzględniająca przyjęte w danej organizacji rozwiązania związane z przetwarzaniem i zabezpieczeniem danych osobowych. O czym jednak powinien pamiętać pracodawca (administrator) przy tworzeniu procedury? Poniżej przedstawimy kilka aspektów, które z pewnością powinny zostać poruszone w procedurze ochrony danych osobowych związanej z praca zdalną (choć zastrzec należy że to nie wszystko 😊):
- Urządzenia służące do pracy zdalnej
W zasadniczej większości przypadków pracownicy zdalni będą pracować na sprzęcie zapewnionym przez pracodawcę. Nie trudno będzie więc zadbać pracodawcy, by sprzęt ten był odpowiednio zabezpieczony od strony technicznej (np. stosowanie haseł, szyfrowany dysk, aktualne oprogramowanie, w szczególności antywirusowe). Warto jednak, by procedura wyraźnie zawierała obowiązek stosowania ustalonych przez pracodawcę (administratora) zabezpieczeń na powierzonym do pracy zdalnej sprzęcie, a także by określała zasady konserwacji i przeglądu tego sprzętu oraz wyraźnie zakazywała wprowadzania jakichkolwiek niezatwierdzonych przez pracodawcę (administratora) zmian w kwestiach zabezpieczeń i oprogramowania. Choć pod kątem ochrony danych nie jest to rekomendowane, to w praktyce zdarza się iż pracownik korzysta (za przyzwoleniem pracodawcy) dla celów służbowych z prywatnego sprzętu. Taka sytuacja zdarza się często w modelu pracy zdalnej. Warto by procedura odnosiła się do takich przypadków i zobowiązywała pracownika do poddania tego sprzętu stosownej kontroli, celem jego dostosowania do standardów bezpieczeństwa obowiązujących u pracodawcy. Rzecz jasna, kontrola taka nie może w żadnej mierze naruszać prywatności pracownika.
- Miejsce świadczenia pracy zdalnej
Pracodawca (administrator) powinien kilka razy zastanowić się zanim dopuszczać będzie możliwość pracy zdalnej w miejscach publicznych. Rekomendujemy wprowadzanie w procedurze wprost zakazu pracy zdalnej w miejscach publicznych jak np. restauracje oraz zakazu korzystania z sieci ogólnodostępnych. Ponadto, warto by procedura zawierała wymóg bezpiecznego łączenie się z serwerem pracodawcy, jak i określała inne, wymagane przez pracodawcę, zabezpieczenia sieci.
Określenie możliwości pracy z wykorzystaniem Internetu zapewnionego przez pracodawcę lub też na domowej sieci (po odpowiednim dostosowaniu jej zabezpieczeń do standardów oczekiwanych przez pracodawcę) to kolejny element, który naszym zdaniem powinien znaleźć się w treści procedury.
Pracodawcy powinni także zwracać uwagę, by dostępu do danych osobowych przetwarzanych przez pracownika nie miały osoby trzecie, w tym także domownicy. Wypracowanie dobrych praktyk wśród pracowników i ich respektowanie to kolejne zadanie dla pracodawców.
- Zabezpieczenie przekazywania informacji
Procedura pracy zdalnej powinna także odnosić się do kwestii przekazywania informacji, w tym danych osobowych i wskazywać na standardy i zabezpieczenia stosowane w tym zakresie przez pracodawcę (np. zabezpieczenie przesyłanych plików hasłem).
- Zasady korzystania z dokumentów w formie papierowej
Praca zdalna może wiązać się nie tylko z jej realizacją na powierzonym sprzęcie czy obiegiem danych w postaci elektronicznej (np. w chmurze). Dlatego też, w naszej ocenie, procedura ochrony danych osobowych w przypadku pracy zdalnej powinna także poruszać kwestie obiegu dokumentów papierowych, możliwości ich zabrania z siedziby administratora, wykonywania ich kopii, sposobu ich zwrotu czy niszczenia.
- Korzystanie z nośników przenośnych
Tak jak w przypadku dokumentów w formie papierowej, pracodawca powinien także zabezpieczyć obieg danych osobowych podczas pracy zdalnej w kontekście korzystania z nośników przenośnych (zewnętrzne dyski, pendrive). Wskazane jest, aby pracodawca dopuścił stosowanie wyłącznie służbowych nośników, które uprzednio zostały przez niego zweryfikowane pod kątem bezpieczeństwa.
- Zasady zgłaszania incydentów i problemów technicznych
Istotne jest także to, aby osoba pracująca zdalnie była świadoma (w ramach stosowanych procedur), że każde naruszenie ochrony danych osobowych może pociągać za sobą daleko idące skutki i jak ważne w tym kontekście jest szybkie i adekwatne reagowanie.
O czym jeszcze należy pamiętać przy pracy zdalnej w zakresie bezpieczeństwa danych?
Sama procedura to nie wszystkie wymogi związane z ochroną danych osobowych w aspekcie pracy zdalnej. Pracodawcy (administratorzy) powinni pamiętać także między innymi o:
- Zaktualizowaniu rejestru czynności przetwarzania – operacje na danych związane z pracą zdalną, jak również kwestie kontroli wykonywania pracy zdalnej przez pracowników to czynności, które powinny znaleźć swoje odzwierciedlenie w rejestrze prowadzonym przez administratora danych.
- Zaktualizowaniu informacji w zakresie monitoringu –nadzór nad pracą zdalną pracownika, w szczególności poprzez podgląd pracy na sprzęcie w czasie rzeczywistym (o ile będzie stosowany), to nic innego jak inna forma monitoringu, która także musi być odpowiednio uregulowana w aktach wewnętrznych pracodawcy.
- Ocena skutków dla ochrony danych – niewykluczonym jest, że konieczne będzie przeprowadzenie oceny skutków dla praw lub wolności osób fizycznych, w szczególności w kontekście korzystania z aplikacji z funkcjami komunikowania się i oprogramowania umożliwiającego wymianę informacji z najbliższym otoczeniem oraz zdalnie poprzez sieć telekomunikacyjną. W ramach oceny skutków bądź niezależnie (jeżeli pracodawca ustali, iż nie ma obowiązku przeprowadzenia oceny skutków) należy przeprowadzić m.in. szacowanie ryzyka i zagrożeń w kontekście pracy zdalnej, po to by zastosować najbardziej adekwatne środki zabezpieczenia w przypadku przetwarzania danych podczas pracy w tej formie.
- Szkoleniu pracowników– kodeks pracy wprost wskazuje, że pracodawca ma obowiązek przeprowadzania w miarę potrzeby instruktażu i szkolenia w zakresie wprowadzonej procedury ochrony danych osobowych w przypadku wykonywania pracy zdalnej.
- Zaktualizowanie upoważnień do przetwarzania danych osobowych– warto przed dopuszczeniem do pracy zdalnej zweryfikować nadane pracownikowi upoważnienie do przetwarzania danych, w szczególności w aspekcie przysługujących mu uprawnień i dostępów do oprogramowania wykorzystywanego podczas pracy.
Powyższe aspekty to jedynie podstawy i nie stanowią katalogu zamkniętego. Każdy pracodawca (administrator) powinien bowiem zastosować adekwatne środki zabezpieczenia danych osobowych przetwarzanych przez swoich pracowników (pracujących na miejscu jak i zdalnie). Należy bowiem podkreślić, że pomimo przetwarzania danych poza siedzibą administratora, chociażby w domu pracownika, to na administratorze danych ciążą obowiązki wynikające z RODO związane z zapewnieniem integralności i bezpieczeństwa danych osobowych.
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.