Ochrona danych osobowych przy wykonywaniu pracy zdalnej

Obecnie wiele osób korzysta z udogodnienia jakim jest możliwość pracy zdalnej - tym bardziej po wejściu w życie nowelizacji Kodeksu pracy z dnia 7 kwietnia 2023 r. wprowadzającego m.in. art. 67 [26]:

 § 1 Na potrzeby wykonywania pracy zdalnej pracodawca określa procedury ochrony danych osobowych oraz przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie.

§ 2 Pracownik wykonujący pracę zdalną potwierdza w postaci papierowej lub elektronicznej zapoznanie się z procedurami, o których mowa w § 1, oraz jest obowiązany do ich przestrzegania.

Zatem z jakimi wyzwaniami muszą zmierzyć się pracodawca oraz pracownik w kontekście ochrony danych osobowych przy wykonywaniu pracy zdalnej?

Na gruncie RODO pracodawca występuje w roli administratora danych osobowych (art. 4 pkt 7 RODO), może on również korzystać z podmiotów przetwarzających (art. 4 pkt 8 RODO). Przytoczony wyżej przepis Kodeksu pracy nakłada na pracodawcę obowiązek określenia procedury ochrony danych osobowych na potrzeby wykonywania pracy zdalnej, jednakże nie określa jak procedura ta ma przebiegać oraz co ma się w niej znaleźć. Z pewnością organizacja pracy zdalnej powinna zostać dostosowana do specyfiki przedsiębiorstwa oraz już wdrożonych procedur ochrony danych osobowych. Warto także wziąć po uwagę to czy pracownik korzysta ze sprzętu prywatnego, czy służbowego oraz w jakiej formie są dokumenty, którymi się posługuje – elektronicznej czy papierowej.

Podstaw bezpieczeństwa przy przetwarzaniu ochrony danych osobowych podczas wykonywania pracy zdalnej możemy zasięgnąć z porad Urzędu Ochrony Danych Osobowych, który korzystając z Protecting Personal Data When Working Remotely opracowanego przez Data Protection Commission Ireland, już w okresie pandemii przygotował szereg zaleceń dotyczących tego zagadnienia. Przykładowo dla zachowania bezpieczeństwa pracownik powinien zabezpieczać urządzenia silnymi hasłami i wielopoziomowym uwierzytelnianiem, a także nie instalować dodatkowych aplikacji czy oprogramowań. UODO zwraca również uwagę na konieczność używania wyłącznie zaufanego dostępu do sieci i chmury oraz korzystania ze służbowej poczty elektronicznej. Należy także pamiętać o zorganizowaniu przestrzeni do pracy w sposób uniemożliwiający osobom postronnym na zapoznanie się z dokumentami (np. przy dokumentach w postaci papierowej należy przechowywać je w szafce zamykanej na klucz, do którego dostęp ma wyłącznie pracownik).

Komentarz eksperta:

Przy ustalaniu procedur ochrony danych osobowych należy w szczególności uwzględnić art. 25 ust. 1 oraz art. 32 RODO. Zgodnie z art. 25 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Z kolei w oparciu o art. 32 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, zwłaszcza wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. (M. Mędrala [w:] Praca zdalna. Komentarz do nowelizacji Kodeksu pracy, Warszawa 2023, art. 67(26))

Ryzyko wystąpienia naruszeń ochrony danych osobowych może być większe przy wykonywaniu pracy zdalnej, dlatego warto przeszkolić pracowników w tym zakresie. Natomiast, jeśli już doszłoby do naruszenia ochrony danych osobowych pracownik powinien jak najszybciej powiadomić o tym fakcie swojego pracodawcę. Zgodnie z art. 33 ust. 1 RODO pracodawca – jako administrator danych osobowych – ma wyłącznie 72 godziny na zgłoszenie naruszenia do Urzędu Ochrony Danych Osobowych.

BIBLIOGRAFIA

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, z późn. zm.)
2. Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2023 r. poz. 1465)
3. Komentarz LEX: M. Mędrala [w:] Praca zdalna. Komentarz do nowelizacji Kodeksu pracy, Warszawa 2023, art. 67(26)
4. https://kadry.infor.pl/zatrudnienie/telepraca/6217583,praca-zdalna-a-rodo-jak-chronic-dane-osobowe-kiedy-pracownicy-pracuj.html
5. https://kirp.pl/wp-content/uploads/2020/03/ochrona-danych-osobowych-podczas-pracy-zdalnej.pdf
6. https://blog-daneosobowe.pl/zasady-pracy-zdalnej-a-rodo-poradnik/