Czy decyzja o przejściu na model pracy zdalnej na duże znaczenie w przypadku ochrony danych osobowych? Co powinniśmy wiedzieć na temat relacji praca zdalna – RODO?
Pojęcie pracy zdalnej zyskało duży rozgłos przez sytuację epidemiologiczną. Coraz większa liczba pracodawców decyduje się na polecenie pracownikowi wykonywania pracy określonej w umowie poza miejscem jej stałego wykonywania. Wskazuje się, że znaczna część firm planuje pozostać w modelu pracy zdalnej lub przestawić swoją działalność na model pracy hybrydowej. Niezwykle istotna w tym aspekcie jest właściwa ochrona danych osobowych.
Praca zdalna, a RODO
Rozporządzenie o ochronie danych osobowych nie wprowadza żadnych przepisów związanych z pracą zdalną, niemniej jednak nie można zapominać o jego stosowaniu w trybie pracy zdalnej. RODO jak najbardziej ma zastosowanie do pracy poza siedzibą firmy. Dochodzi przecież do przetwarzania danych, które powinny zostać właściwie zabezpieczone.
Praca zdalna a RODO – bezpieczeństwo danych elektronicznych
Rozwój technologii pozwala na świadczenie pacy przy wykorzystaniu środków komunikacji elektronicznej. Powinniśmy zatem zorganizować pracę zdalną w sposób uwzględniający odpowiedni stopień bezpieczeństwa, a także ryzyko związane z takim trybem przetwarzania danych. Ryzyko związane z pracą zdalną należy łączyć z pojęciem naruszenia bezpieczeństwa danych. W szczególności należy wskazać na ryzyko wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób.
Co zrobić, by praca zdalna była zgodna z RODO – procedury i zabezpieczenia
Praca zdalna powinna być dokumentowana. Dokumentacja taka powinna zawierać wskazówki dotyczące wykorzystania sprzętu powierzonego, korzystania z sieci, określenia zasad prowadzenia bezpiecznej korespondencji mailowej, a także organizacji miejsca pracy z uwzględnieniem zabezpieczenia dokumentacji papierowej.
W praktyce często okazuje się, że procedury z zakresu ochrony danych osobowych są zbyt ogólne, podczas gdy konieczne jest skonkretyzowanie na czym zabezpieczenie ma polegać. Powinniśmy pamiętać o chociażby, podstawowych rozwiązaniach technicznych i organizacyjnych takich jak na przykład:
- uregulowanie zasad korzystania z oprogramowania,
- uregulowanie zasad uwierzytelniania, konstruowania haseł dostępowych,
- uregulowanie zasad przechowywania sprzętu po zakończonej pracy,
- uregulowanie zasad związanych z dopuszczalnością lub niedopuszczalnością korzystania ze sprzętów w innych celach lub przez osoby postronne,
- kontrolowanie dostępów do poszczególnych, konkretnych zasobów,
- określenie zakazów lub dopuszczalności korzystanie z urządzeń technicznych takich jak na np. pendrive’y, drukarki, skanery lub otwarte sieci.
Praca zdalna – wytyczne Urzędu Ochrony Danych Osobowych
W przypadku urządzeń przekazanych do wykonywania obowiązków służbowych do pracy zdalnej, należy postępować zgodnie z przyjętą procedurą bezpieczeństwa, przede wszystkim:
- nie powinno się instalować dodatkowego oprogramowania lub aplikacji niezgodnych z polityką bezpieczeństwa organizacji,
- powinno się korzystać z urządzeń posiadających niezbędne aktualizacje systemowe oprogramowania oraz system antywirusowy,
- należy ograniczać dostęp do dokumentów, na których wykonywana jest praca, osobom postronnym,
- powinno się używać do pracy zdalnej sprzętu zabezpieczonego poprzez uwierzytelnianie i używanie silnych haseł dostępu,
- należy przestrzegać obowiązujących w organizacji zasad dotyczących korzystania ze służbowej poczty elektronicznej,
- nie powinno się używać prywatnych kont mailowych, jeśli jesteśmy zmuszeni używać prywatnego maila, powinniśmy pamiętać o szyfrowaniu załączników.
RODO – praca zdalna, a sprzęt prywatny
Niewątpliwie duży problem w kontekście pracy zdalnej stanowi zapewnienie pracownikom odpowiednich narzędzi. Przepisy RODO nie zabraniają wykorzystywania prywatnego sprzętu przez pracowników podczas pracy zdalnej. Pracodawca powinien jednak jasno określić, że pracownik będzie wykonywać zlecone zadania za pomocą swojego sprzętu, na przykład komputera lub telefonu. Powinno to zostać uregulowane w dokumencie, który jest przekazywany pracownikowi przy nawiązywaniu pracy np. w regulaminie pracy.
Kluczowym natomiast, w kontekście używania prywatnego sprzętu do celów służbowych jest zgoda pracownika na tego typu działania. Dodatkowo dział IT powinien mieć możliwość zweryfikowania sprzętu pod względem zabezpieczeń technicznych.
Praca zdalna RODO a dokumentacja papierowa
Istnieje możliwość korzystania z dokumentacji papierowej zawierającej dane osobowe w warunkach pracy zdalnej. Taką możliwość wskazał Urząd Ochrony Danych Osobowych. Wskazuje on natomiast, że wiąże się to z podwyższonym ryzykiem naruszenia bezpieczeństwa danych osobowych, a tym samym z koniecznością odpowiedniego ich zabezpieczenia.
Obowiązkiem pracodawcy jako administratora, jest podjęcie takich działań, które będą mieć na celu ograniczenie ryzyka związanego z utratą dostępności i integralności oraz poufności danych. Powinien on w tym celu wykazać, że przetwarzanie takie jest niezbędne do wykonywania pracy zdalnej.
Jeśli jest to możliwe, pracodawca powinien wprowadzić zasadę korzystania z dokumentów zanonimizowanych i unikanie wynoszenia dokumentacji (w szczególności oryginałów) poza siedzibę firmy. W przypadku bezwzględnej konieczności skorzystania z dokumentów papierowych poza siedzibą firmy warto, skorzystać z opcji posługiwania się kopiami dokumentów. Należy jednak pamiętać, że pracownik powinien stosować taki stopnień ochrony danych zawartych w kopiach dokumentów, jaki stosuje w dokumentacji oryginalnej.
Podsumowanie
Praca zdalna okazała się nie tylko możliwa, ale też przydatna, do tego stopnia, że aktualnie trwają prace nad nowelizacją przepisów ustawy kodeksu pracy. Niewątpliwie pracodawcy jako administratorzy danych, mają szczególną rolę do spełnienia podczas pracy zdalnej, na nich bowiem spoczywa obowiązek zapewnienia odpowiedniego stopnia przestrzegania zasad przetwarzania danych. Dotyczy to przetwarzania danych formie papierowej jak i formie elektronicznej. W przypadku takiego modelu pracy jest to znacznie utrudnione. Korelacja praca zdalna- RODO wydaje się być oczywista w aspekcie podnoszenia stopnia bezpieczeństwa.