Praca zdalna – o czym należy pamiętać w kontekście ochrony danych osobowych?

W ostatnich latach, za sprawą pandemii, praca zdalna zagościła w naszej rzeczywistości i wydaje się, że zostanie z nami na dłużej. Aktualnie możliwość wykonywania pracy w formie zdalnej lub co najmniej w modelu hybrydowym, stała się standardem i oczekiwaniem wielu kandydatów do pracy. Z tego też względu, celem sformalizowania zasad jej wykonywania – nowelizacją z dnia 7 kwietnia 2023 roku – pojęcie pracy zdalnej wprowadzone zostało do Kodeksu pracy.

Zawartość artykułu

Niewątpliwe ten rodzaj pracy mimo, iż posiada wiele zalet, ze względu na swój charakter wiąże się też z licznymi zagrożeniami i wyzwaniami dla pracodawców – w szczególności w kontekście zapewnienia bezpieczeństwa informacji, zachowania poufności oraz odpowiedniego zabezpieczenia przetwarzanych danych osobowych. Z tego też względu, pomimo iż do pracy zdalnej stosują się wszelkie wymogi RODO, aspekt ten został poruszony również w przywołanej nowelizacji Kodeksu pracy.

Czym jest praca zdalna?

Zgodnie z postanowieniami art. 6718 Kodeksu pracy, praca zdalna jest to praca, która może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość.

Zasady wykonywania pracy zdalnej określa się w porozumieniu zawieranym pomiędzy pracodawcą i zakładową organizacją związkową, a w przypadku jeżeli u danego pracodawcy takie organizacje nie działają – określa on zasady wykonywania pracy zdalnej w regulaminie, po konsultacji z przedstawicielami pracowników wyłonionymi w trybie przyjętym u danego pracodawcy.

Procedury ochrony danych osobowych

Na potrzeby wykonywania pracy zdalnej, pracodawca zobowiązany jest wprowadzić procedury ochrony danych osobowych. Pracownicy zobowiązani są do zapoznania się z nimi oraz do ich przestrzegania. Zapoznanie się z procedurami musi zostać potwierdzone przez pracownika w postaci papierowej lub elektronicznej.

W doktrynie przywołuje się, że procedura ochrony danych powinna stanowić odrębny akt wydany przez pracodawcę (tak: A. Sobczyk (red.), Kodeks pracy. Komentarz. Wyd. 6, Warszawa 2023). Takie podejście wydaje się zasadne z uwagi na specyfikę tego dokumentu oraz na fakt, iż w przeciwieństwie do regulaminu pracy zdalnej nie musi ona być zatwierdzana przez przedstawiciela pracowników.

Niewątpliwie, nawet bez przywołanego obowiązku wynikającego z Kodeksu pracy, z uwagi na wymogi dostosowania się do RODO, zasadnym byłoby praktyczne uregulowanie tych kwestii w stosownej procedurze. Wydaje się, iż jest to zasadne celem uniknięcia jakichkolwiek niedomówień w zakresie obowiązków pracowników. Ma również praktyczne przełożenie na ich odpowiedzialność pracowniczą.

Co powinny regulować przywołane procedury ochrony danych?

Procedury ochrony danych osobowych w ramach pracy zdalnej powinny mieć praktyczny wymiar i odnosić się do rzeczywistych problemów, które mogą powstać w ramach przetwarzania danych w tej formie, w konkretnej organizacji.

Oczywiście muszą one współgrać z ogólnymi przepisami prawa i ogólnymi zasadami oraz procedurami z zakresu ochrony danych osobowych wprowadzonymi przez pracodawcę.

Przygotowując tego rodzaju dokument zawsze rekomendujemy położenie nacisku na kwestie takie, jak:

  1. uregulowanie wszelkich aspektów związanych z pracą przy wykorzystaniu systemów informatycznych m. in.:
    • zasady dostępu do systemów i zasobów pracodawcy,
    • miejsce zapisywania i przechowywania plików,
    • zasady logowania,
    • ograniczenia w korzystaniu z publicznych sieci Wifi,
    • sprzęt, na którym pracownik może wykonywać obowiązki służbowe, w tym zasady lub zakazy związane z wykorzystywaniem sprzętu prywatnego,
    • osoby autoryzowane do instalowania aplikacji oraz ustawiania zabezpieczeń sieciowych,
    • zasady korzystania ze skrzynek prywatnych w celach służbowych,
    • programy antywirusowe,
    • zasady szyfrowania plików oraz korespondencji,
    • uwagi ogólne dotyczące transportu urządzeń służbowych oraz nośników zewnętrznych,
    • zasady tworzenia i zabezpieczania haseł,
    • zakaz udostępniania urządzeń osobom nieuprawnionym,
    • zasady uczestnictwa w wideokonferencjach,
    • sposób realizacji naprawy sprzętu oraz
    • w większych korporacjach – zasady autoryzacji osób z działu IT żądających dostępu do urządzeń.
    1. oczywiście uregulowania wymagają również kwestie związane z przetwarzaniem dokumentacji papierowej, w tym:
      • zasada pracy na dokumentach w wersji cyfrowej (nie papierowej),
      • zakaz drukowania dokumentów zawierających dane osobowe w miejscach publicznych,
      • zasady nadzoru nad dokumentacją papierową wynoszoną z biura oraz jej transportu,
      • szczególny obowiązek ewidencji oraz zabezpieczenia wynoszonych z biura oryginałów dokumentów,
      • tzw. politykę czystego biurka,
      • sposób oraz narzędzia wykorzystywane do niszczenia dokumentów.

    Szkolenia

    Dodatkowym obowiązkiem, jest również wprowadzony w Kodeksie pracy obowiązek przeprowadzania przez pracodawcę, w miarę potrzeb, instruktażu i szkolenia z zakresu ochrony danych osobowych przetwarzanych w ramach pracy zdalnej.

    Szkolenia takie stanowią niewątpliwie jeden z istotniejszych elementów dbania o bezpieczeństwo danych w ramach organizacji. Przy braku podstawowej wiedzy z zakresu cyberbezpieczeństwa często nawet najnowocześniejsze zabezpieczenia mogą okazać się niewystarczające. W obecnych czasach, gdy wszystko odbywa się w świecie cyfrowym i na każdym kroku docierają do nas informacje o nowych metodach phishingu, szkolenie pracowników z tego zakresu jest jednym z podstawowych działań, które każda organizacja powinna podjąć celem zmniejszenia ryzyka naruszenia ochrony i poufności istotnych dla niej danych (nie tylko osobowych).

    Kontrole

    Pracodawca ma prawo przeprowadzać kontrole wykonywania pracy zdalnej przez pracownika, w tym w zakresie przestrzegania przez niego wymogów w zakresie bezpieczeństwa i ochrony informacji oraz procedur ochrony danych osobowych. Zasady przeprowadzania takiej kontroli określa się w porozumieniu lub regulaminie, wprowadzającym pracę zdalną. Kontrola może być przeprowadzana również przy wykorzystywaniu narzędzi do komunikacji zdalnej.  

    Kontrolę przeprowadza się:

    • w porozumieniu z pracownikiem,
    • w miejscu wykonywania pracy zdalnej i
    • w godzinach pracy pracownika.

    Pracodawca zobowiązany jest dostosować sposób przeprowadzania kontroli do miejsca wykonywanej pracy i jej rodzaju, przy czym wykonywanie czynności kontrolnych nie może naruszyć prywatności pracownika ani utrudnić korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem.

    W przypadku stwierdzonych naruszeń pracodawca uprawniony jest m. in. do cofnięcia zgody na dalsze wykonywanie pracy w formie pracy zdalnej.

    Podsumowanie

    1. z punktu widzenia RODO, praca zdalna nie stanowi żadnego wyjątku i podlega wszelkim regulacjom dotyczącym ochrony danych osobowych,
    2. niewątpliwie jednak ten rodzaj wykonywania zadań służbowych ze względów organizacyjnych wiąże się z większym ryzykiem dla bezpieczeństwa danych, dlatego też pracodawcy powinni przeprowadzić odpowiednie analizy ryzyka, przeanalizować wykonywane czynności oraz zasady świadczenia pracy w organizacji i na tej podstawie wprowadzić bardzo praktyczne procedury ochrony danych w ramach pracy zdalnej,
    3. wymóg taki nakładają też znowelizowane przepisy Kodeksu pracy,
    4. pracownicy zobowiązani są do zapoznania się z takimi procedurami (co powinno zostać potwierdzone w formie papierowej lub elektronicznej) i stosowania się do nich.

    Gdybyście potrzebowali Państwo wsparcia w opracowaniu regulaminu pracy zdalnej lub procedur ochrony danych osobowych – nasz zespół ekspertów pozostaje do Państwa dyspozycji.