Świadczenie obowiązków zdalnie musi gwarantować ochronę danych

Ustalone zasady

Istotne jest zatem, aby pracodawca dobrał odpowiednie środki techniczne i zawczasu ustalił, jakie działania powinni podejmować pracownicy, a jakich się wystrzegać, aby praca zdalna nie wpłynęła negatywnie na bezpieczeństwo danych. Dlatego też zgodnie z nowym art. 6726 kodeksu pracy na potrzeby wykonywania pracy zdalnej pracodawca będzie musiał określić procedury ochrony danych osobowych.

Z procedurami ochrony danych trzeba będzie zapoznać osoby wykonujące pracę zdalną. Pracownicy będą zaś musieli potwierdzić zapoznanie się z określonymi tam zasadami na piśmie lub elektronicznie oraz ich przestrzegać.

W razie potrzeby należy także zorganizować dla pracowników instruktaż i szkolenie w zakresie ochrony danych w pracy zdalnej.

Dodatkowo zgodnie z art. 24 ust. 1 zd. 2 RODO pracodawcy jako administratorzy danych powinni poddawać procedury ochrony danych osobowych, w tym wdrożone środki techniczne i organizacyjne, okresowym przeglądom i uaktualnieniom.

Lepiej poza regulaminem

Zgodnie z nowymi przepisami zasady wykonywania pracy zdalnej określa się w porozumieniu zawieranym między pracodawcą i zakładową organizacją związkową. Jeżeli u pracodawcy nie działają zakładowe organizacje związkowe, określa on zasady wykonywania pracy zdalnej w regulaminie po konsultacji z  przedstawicielami pracowników.

Ustawodawca określił przy tym, co ma się znaleźć w porozumieniu lub regulaminie pracy zdalnej. Zgodnie z nowym art. 6720 § 6 k.p. pracodawcy powinni w szczególności określić m.in.:

• grupę lub grupy pracowników, którzy mogą być objęci pracą zdalną,
• zasady pokrywania kosztów związanych z pracą zdalną,
• zasady porozumiewania się pracodawcy i pracownika wykonującego pracę zdalną.

Warto zauważyć, że powyższy przepis nie wymienia procedury ochrony danych osobowych jako elementu regulaminu pracy zdalnej. Wymienia jedynie zasady kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych. Niemniej jednak ustawodawca konstruując katalog obszarów mających znaleźć się w regulaminie posłużył się słowem „w szczególności”. To oznacza, że ten katalog nie ma charakteru zamkniętego i pracodawcy mogą określić w jego treści również inne, niewymienione w tym przepisie obszary.

W praktyce procedury ochrony danych osobowych najczęściej regulowane są w odrębnych politykach. Również w zakresie procedury ochrony danych osobowych przy pracy zdalnej rekomendujemy, aby znalazła się ona w oddzielnym dokumencie. Wówczas pracodawca nie będzie musiał konsultować tych procedur oraz ich zmian z pracownikami, tak jak ma to miejsce przy regulaminie pracy zdalnej. W samym regulaminie warto jedynie zawrzeć odniesienie do takiej procedury i zobowiązać pracowników do jej przestrzegania.

Odpowiedzialność za naruszenie

Przyjęcie odpowiednich procedur jest istotne nie tylko z uwagi na przepisy nowelizacji, ale także ze względu na ryzyko związane z konsekwencjami potencjalnego naruszenia. W ostatnich latach Prezes Urzędu Ochrony Danych Osobowych wydał kilkanaście decyzji w sprawach dotyczących naruszeń będących skutkiem niezastosowania odpowiednich zabezpieczeń. Wiele decyzji odnosi się do naruszeń, które wynikały z nieprzestrzegania przez pracowników zasad ochrony danych lub nieodpowiedniego zabezpieczenia systemów i sieci informatycznych przez pracodawców.

Przykładem może być kara w sprawie, w której do naruszenia doszło w wyniku zgubienia przez pracownika niezabezpieczonych nośników danych (decyzja Prezesa UODO z 19 stycznia 2023 r., sygn. DKN.5131.12.2020). W konsekwencji znalazca mógł bez większych przeszkód zapoznać się z treścią umieszczonych na nich poufnych informacji. Prezes UODO wielokrotnie przypominał, że to przede wszystkim na pracodawcy spoczywa obowiązek dobrania adekwatnych środków, zapewniających bezpieczeństwo i poufność danych (np. decyzja Prezesa UODO z21 sierpnia 2020 r., sygn. ZSOŚS.421.25.2019). To pracodawca musi dołożyć starań, aby udostępniane pracownikom systemy i urządzenia były na tyle zabezpieczone, by uniemożliwić nieuprawnionym osobom dostęp do danych osobowych np. poprzez dostarczanie szyfrowanych nośników danych lub blokadę możliwości podpięcia do komputera nieautoryzowanych nośników (decyzja Prezesa UODO z 13 lipca 2021 r., sygn. DKN.5131.22.2021).

Konsekwencje nieprzestrzegania przepisów ochrony danych osobowych mogą być dotkliwe. Prezes UODO w ostatniej decyzji dotyczącej niewdrożenia przez pracodawcę odpowiednich środków technicznych i organizacyjnych nałożył na niego karę w wysokości 30 000 złotych. Jednak kwota może być znacznie wyższa. W przypadku podmiotów prywatnych w sytuacji naruszenia obowiązków administratora przepisy RODO przewidują możliwość nałożenia administracyjnej kary pieniężnej w wysokości do 10 000 000 euro lub do 2 proc. całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego.

Teoria nie wystarczy

Prezes UODO wielokrotnie wskazywał również, że nie wystarczy jedynie formalne wprowadzenie procedur. Przyjęte zasady muszą mieć wymiar praktyczny i być stosowane – w przeciwnym wypadku nie spełnią one wymogów RODO.

Z decyzji Prezesa UODO płynie także lekcja o szczególnej istotności szkoleń pracowników z zakresu ochrony danych osobowych i przeprowadzania regularnych audytów, aby upewnić się, że zasady są przestrzegane.

Dobre praktyki

Bazując na wytycznych płynących z decyzji oraz komunikatów Prezesa UODO, jak też korzystając z praktycznych doświadczeń z ostatnich lat, pracodawcy dysponują obecnie wieloma podpowiedziami co do sposobów zachowania ich danych w poufności. Warto jednak pamiętać, że metody zabezpieczenia danych pracodawcy podczas pracy zdalnej powinny być dostosowane do indywidualnych potrzeb i wymagań organizacji, jak i kategorii informacji przetwarzanych na danym stanowisku.

Analizując te potrzeby, trzeba mieć na względzie wiele scenariuszy, w których może dojść do naruszenia – począwszy od określenia zasad transportu sprzętu przez pracowników (np. zakaz pozostawiania sprzętu służbowego w pojazdach pod nieobecność pracownika), przez określenie wymogów co do miejsca pracy (np. konieczność stosowania filtrów prywatyzujących, w miarę możliwości przechowywanie dokumentów i sprzętu w zamykanej szafce, czy zakaz prowadzenia rozmów służbowych w miejscach publicznych).

Wytyczne dla pracowników warto przygotować w sposób prosty, możliwie konkretny i klarowny. Dobrą praktyką będzie posługiwanie się przykładami, zarówno pozytywnymi, jak i negatywnymi. Jeżeli zatem pracodawca wymaga od pracowników, aby ustawiali silne hasła dostępowe, to powinien jednocześnie określić, jakie hasła uznaje za silne. Z kolei, jeśli pracodawca wymaga logowania do systemów wyłącznie przez bezpieczną sieć, to również trzeba zdefiniować, jakie praktyki pracodawca traktuje za akceptowalne (np. zakaz łączenia się przez otwarte sieci w miejscach publicznych a logowanie wyłącznie poprzez hotspot ustawiony z telefonu służbowego, szyfrowanie połączenia zdalnego).

Należy również rozważyć automatyzację niektórych procesów. Dobrym przykładem jest przejście z zobowiązania pracowników do cyklicznej zmiany haseł na wprowadzenie rozwiązania automatycznie wymuszającego zmianę po upływie określonego czasu, czy zakaz zapisywania danych służbowych na prywatnych nośnikach wspierany oprogramowaniem blokującym możliwość wpięcia obcego nośnika do komputera służbowego.

Pracodawca powinien dokonywać cyklicznego przeglądu środków technicznych wprowadzonych w swojej organizacji, np. stosowanych metod szyfrowania dysków, instalacji oprogramowania antywirusowego. W przypadku zezwolenia na pracę zdalną szczególnie istotne również będzie monitorowanie posiadanych przez pracowników dostępów oraz zarządzanie nimi w przypadku, gdy pracownik zdecyduje się odejść. Kluczowe będzie też, aby pracodawca zadbał o ustalenie ścieżki zgłaszania incydentów, co umożliwi natychmiastową reakcję w sytuacji naruszenia, oraz przeszkolił pracowników z obowiązujących zasad.

Podsumowanie

7 kwietnia wejdą w życie długo wyczekiwane przepisy o pracy zdalnej. W wielu firmach i działach HR trwają już gorączkowe prace nad wdrożeniem nowych przepisów i odpowiednim uregulowaniem zasad wykonywania pracy w tej formie. Najwięcej uwagi poświęca się przy tym regulaminowi pracy zdalnej i sposobie wyliczenia ekwiwalentu lub ryczałtu za pracę wykonywana zdalnie. Tymczasem na pracodawcach spoczywa jeszcze jeden ważny obowiązek – związany z ochroną danych. W artykule wskazujemy, gdzie najlepiej uregulować procedury ochrony danych osobowych, jakie konsekwencje grożą pracodawcom nieprzestrzegającym przepisów ochrony danych osobowych oraz jakie dobre praktyki w tym zakresie należy wdrożyć w firmie. 

Artykuł ukazał się w Rzeczpospolitej w dniu 16 marca 2023 r.