Niewątpliwe ten rodzaj pracy mimo, iż posiada wiele zalet, ze względu na swój charakter wiąże się też z licznymi zagrożeniami i wyzwaniami dla pracodawców – w szczególności w kontekście zapewnienia bezpieczeństwa informacji, zachowania poufności oraz odpowiedniego zabezpieczenia przetwarzanych danych osobowych. Z tego też względu, pomimo iż do pracy zdalnej stosują się wszelkie wymogi RODO, aspekt ten został poruszony również w przywołanej nowelizacji Kodeksu pracy.
Czym jest praca zdalna?
Zgodnie z postanowieniami art. 6718 Kodeksu pracy, praca zdalna jest to praca, która może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość.
Zasady wykonywania pracy zdalnej określa się w porozumieniu zawieranym pomiędzy pracodawcą i zakładową organizacją związkową, a w przypadku jeżeli u danego pracodawcy takie organizacje nie działają – określa on zasady wykonywania pracy zdalnej w regulaminie, po konsultacji z przedstawicielami pracowników wyłonionymi w trybie przyjętym u danego pracodawcy.
Procedury ochrony danych osobowych
Na potrzeby wykonywania pracy zdalnej, pracodawca zobowiązany jest wprowadzić procedury ochrony danych osobowych. Pracownicy zobowiązani są do zapoznania się z nimi oraz do ich przestrzegania. Zapoznanie się z procedurami musi zostać potwierdzone przez pracownika w postaci papierowej lub elektronicznej.
W doktrynie przywołuje się, że procedura ochrony danych powinna stanowić odrębny akt wydany przez pracodawcę (tak: A. Sobczyk (red.), Kodeks pracy. Komentarz. Wyd. 6, Warszawa 2023). Takie podejście wydaje się zasadne z uwagi na specyfikę tego dokumentu oraz na fakt, iż w przeciwieństwie do regulaminu pracy zdalnej nie musi ona być zatwierdzana przez przedstawiciela pracowników.
Niewątpliwie, nawet bez przywołanego obowiązku wynikającego z Kodeksu pracy, z uwagi na wymogi dostosowania się do RODO, zasadnym byłoby praktyczne uregulowanie tych kwestii w stosownej procedurze. Wydaje się, iż jest to zasadne celem uniknięcia jakichkolwiek niedomówień w zakresie obowiązków pracowników. Ma również praktyczne przełożenie na ich odpowiedzialność pracowniczą.
Co powinny regulować przywołane procedury ochrony danych?
Procedury ochrony danych osobowych w ramach pracy zdalnej powinny mieć praktyczny wymiar i odnosić się do rzeczywistych problemów, które mogą powstać w ramach przetwarzania danych w tej formie, w konkretnej organizacji.
Oczywiście muszą one współgrać z ogólnymi przepisami prawa i ogólnymi zasadami oraz procedurami z zakresu ochrony danych osobowych wprowadzonymi przez pracodawcę.
Przygotowując tego rodzaju dokument zawsze rekomendujemy położenie nacisku na kwestie takie, jak:
- uregulowanie wszelkich aspektów związanych z pracą przy wykorzystaniu systemów informatycznych m. in.:
- zasady dostępu do systemów i zasobów pracodawcy,
- miejsce zapisywania i przechowywania plików,
- zasady logowania,
- ograniczenia w korzystaniu z publicznych sieci Wifi,
- sprzęt, na którym pracownik może wykonywać obowiązki służbowe, w tym zasady lub zakazy związane z wykorzystywaniem sprzętu prywatnego,
- osoby autoryzowane do instalowania aplikacji oraz ustawiania zabezpieczeń sieciowych,
- zasady korzystania ze skrzynek prywatnych w celach służbowych,
- programy antywirusowe,
- zasady szyfrowania plików oraz korespondencji,
- uwagi ogólne dotyczące transportu urządzeń służbowych oraz nośników zewnętrznych,
- zasady tworzenia i zabezpieczania haseł,
- zakaz udostępniania urządzeń osobom nieuprawnionym,
- zasady uczestnictwa w wideokonferencjach,
- sposób realizacji naprawy sprzętu oraz
- w większych korporacjach – zasady autoryzacji osób z działu IT żądających dostępu do urządzeń.
- oczywiście uregulowania wymagają również kwestie związane z przetwarzaniem dokumentacji papierowej, w tym:
- zasada pracy na dokumentach w wersji cyfrowej (nie papierowej),
- zakaz drukowania dokumentów zawierających dane osobowe w miejscach publicznych,
- zasady nadzoru nad dokumentacją papierową wynoszoną z biura oraz jej transportu,
- szczególny obowiązek ewidencji oraz zabezpieczenia wynoszonych z biura oryginałów dokumentów,
- tzw. politykę czystego biurka,
- sposób oraz narzędzia wykorzystywane do niszczenia dokumentów.
Szkolenia
Dodatkowym obowiązkiem, jest również wprowadzony w Kodeksie pracy obowiązek przeprowadzania przez pracodawcę, w miarę potrzeb, instruktażu i szkolenia z zakresu ochrony danych osobowych przetwarzanych w ramach pracy zdalnej.
Szkolenia takie stanowią niewątpliwie jeden z istotniejszych elementów dbania o bezpieczeństwo danych w ramach organizacji. Przy braku podstawowej wiedzy z zakresu cyberbezpieczeństwa często nawet najnowocześniejsze zabezpieczenia mogą okazać się niewystarczające. W obecnych czasach, gdy wszystko odbywa się w świecie cyfrowym i na każdym kroku docierają do nas informacje o nowych metodach phishingu, szkolenie pracowników z tego zakresu jest jednym z podstawowych działań, które każda organizacja powinna podjąć celem zmniejszenia ryzyka naruszenia ochrony i poufności istotnych dla niej danych (nie tylko osobowych).
Kontrole
Pracodawca ma prawo przeprowadzać kontrole wykonywania pracy zdalnej przez pracownika, w tym w zakresie przestrzegania przez niego wymogów w zakresie bezpieczeństwa i ochrony informacji oraz procedur ochrony danych osobowych. Zasady przeprowadzania takiej kontroli określa się w porozumieniu lub regulaminie, wprowadzającym pracę zdalną. Kontrola może być przeprowadzana również przy wykorzystywaniu narzędzi do komunikacji zdalnej.
Kontrolę przeprowadza się:
- w porozumieniu z pracownikiem,
- w miejscu wykonywania pracy zdalnej i
- w godzinach pracy pracownika.
Pracodawca zobowiązany jest dostosować sposób przeprowadzania kontroli do miejsca wykonywanej pracy i jej rodzaju, przy czym wykonywanie czynności kontrolnych nie może naruszyć prywatności pracownika ani utrudnić korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem.
W przypadku stwierdzonych naruszeń pracodawca uprawniony jest m. in. do cofnięcia zgody na dalsze wykonywanie pracy w formie pracy zdalnej.
Podsumowanie
- z punktu widzenia RODO, praca zdalna nie stanowi żadnego wyjątku i podlega wszelkim regulacjom dotyczącym ochrony danych osobowych,
- niewątpliwie jednak ten rodzaj wykonywania zadań służbowych ze względów organizacyjnych wiąże się z większym ryzykiem dla bezpieczeństwa danych, dlatego też pracodawcy powinni przeprowadzić odpowiednie analizy ryzyka, przeanalizować wykonywane czynności oraz zasady świadczenia pracy w organizacji i na tej podstawie wprowadzić bardzo praktyczne procedury ochrony danych w ramach pracy zdalnej,
- wymóg taki nakładają też znowelizowane przepisy Kodeksu pracy,
- pracownicy zobowiązani są do zapoznania się z takimi procedurami (co powinno zostać potwierdzone w formie papierowej lub elektronicznej) i stosowania się do nich.
Gdybyście potrzebowali Państwo wsparcia w opracowaniu regulaminu pracy zdalnej lub procedur ochrony danych osobowych – nasz zespół ekspertów pozostaje do Państwa dyspozycji.