Praca zdalna nierozerwalnie łączy się z przetwarzaniem danych osobowych. Dlatego każdy pracodawca, który decyduje się na wdrożenie modelu pracy zdalnej, nie może zapomnieć o aspekcie bezpieczeństwa danych. W naszym artykule przypominamy, jak prawidłowo wdrażać pracę zdalną w organizacji, uwzględniając wymogi RODO oraz regulacje prawa pracy.

Wymogi kodeksu pracy w kontekście bezpieczeństwa danych podczas pracy zdalnej

Zgodnie z kodeksem pracy, pracodawca wdrażający model pracy zdalnej powinien określić procedurę ochrony danych osobowych. Procedura ta powinna zostać ustanowiona w porozumieniu zbiorowym lub regulaminie pracy zdalnej, a w razie ich braku – w poleceniu pracodawcy lub porozumieniu stron.

Dodatkowo, pracodawca powinien, w miarę możliwości, przeprowadzić instruktaż i szkolenie w zakresie stosowania procedur ochrony danych osobowych.

Obowiązkiem pracownika wykonującego pracę zdalną jest przestrzeganie ustalonych przez pracodawcę procedur. Ich niestosowanie może stanowić naruszenie obowiązków pracowniczych, co może skutkować nałożeniem kary upomnienia lub nagany.

Pracownik powinien również potwierdzić w formie papierowej lub elektronicznej zapoznanie się z procedurami ochrony danych osobowych podczas pracy zdalnej. Choć kodeks pracy nie precyzuje, kiedy powinno to nastąpić, rekomenduje się, aby pracownik złożył stosowne oświadczenie najpóźniej przed rozpoczęciem pracy zdalnej.

Ważny fragment

Warto pamiętać, że powyższe obowiązki dotyczą również pracy zdalnej okazjonalnej. Oznacza to, że nawet jednorazowe podjęcie pracy przez pracownika w formie zdalnej wymaga wprowadzenia odpowiednich procedur ochrony danych osobowych.

Przestrzeganie wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych może być przedmiotem kontroli pracodawcy – również w przypadku pracy zdalnej okazjonalnej. Zasady przeprowadzania kontroli powinny być ustalone wspólnie z pracownikiem.

Google news

Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google

Jak zapewnić bezpieczeństwo danych przetwarzanych podczas pracy zdalnej?

W większości przypadków, to pracodawca będzie administratorem danych osobowych przetwarzanych podczas pracy zdalnej (np. w zakresie danych jego klientów). W związku z czym ma on obowiązek wdrożenia takich środków organizacyjnych i technicznych, które zapewnią odpowiedni stopień bezpieczeństwa danych.

Jednym ze środków zapewniających ochronę przetwarzanych danych osobowych może być ustalona na podstawie kodeksu pracy procedura ochrony danych osobowych podczas pracy zdalnej. Procedura ta nie powinna jednak stanowić jedynego zabezpieczenia danych.

Ważny fragment

Aby wybrać prawidłowe środki ochrony danych pracodawca powinien przeprowadzić analizę ryzyka związaną z pracą zdalną, identyfikując potencjalne zagrożenia naruszenia ochrony danych osobowych.

Analiza powinna uwzględniać:

  • rodzaj danych przetwarzanych podczas pracy zdalnej,
  • skalę i zakres przetwarzanych danych,
  • potencjalne sytuacje, w których może dojść do naruszenia ochrony danych osobowych oraz ich wpływ na prawa i wolności osób, których dane dotyczą.

Na podstawie przeprowadzonej analizy ryzyka, pracodawca powinien ustalić odpowiednie środki organizacyjne i techniczne, które pomogą zminimalizować lub wykluczyć ryzyko naruszeń ochrony danych osobowych.

Przykładowe środki zabezpieczające, które pracodawcy mogą zastosować to m.in.:

  • korzystanie wyłącznie z służbowego sprzętu i z nośników danych,
  • zabezpieczenie ekranu komputerowego przed wglądem osób postronnych,
  • ograniczenie przechowywania dokumentacji papierowej w miejscu pracy zdalnej,
  • korzystanie z bezpiecznego połączenia (np. VPN),
  • zabezpieczenie sprzętu w przypadku utraty,
  • szyfrowanie korespondencji wychodzącej.

Oczywiście katalog środków organizacyjnych i technicznych zabezpieczających dane podczas pracy zdalnej jest otwarty i powinien być dostosowany każdorazowo do wyników analizy ryzyka.

Warto pamiętać, że administrator ma obowiązek podejmować działania mające na celu regularne testowanie i mierzenie skuteczności wprowadzonych przez niego zabezpieczeń, np. poprzez wewnętrzne audyty ochrony danych, testy penetrujące czy nawet samą kontrolę pracy zdalnej prowadzonej na podstawie prawa pracy.

Skorzystaj z naszych usług w zakresie: Ochrona danych osobowych (RODO)
Dowiedz się więcej

Kto ponosi odpowiedzialność za naruszenia RODO podczas pracy zdalnej?

W przypadku naruszenia ochrony danych w związku z pracą zdalną, to pracodawca jako administrator jest odpowiedzialny za podjęcie działań zgodnych z przepisami RODO. Przede wszystkim, pracodawca musi przeprowadzić analizę ryzyka i ocenić, czy naruszenie wymaga zgłoszenia do Urzędu Ochrony Danych Osobowych oraz powiadomienia osób, których dane dotyczą.

Jeśli naruszenie wynika z zaniedbań pracodawcy, takich jak brak przeszkolenia pracowników, brak wdrożenia procedur dotyczących ochrony danych osobowych podczas pracy zdalnej czy niewystarczające zabezpieczenie sprzętu, Prezes Urząd Ochrony Danych Osobowych może nałożyć na administratora kary finansowe, które mogą wynosić do 10 milionów euro lub 2% rocznego obrotu, w zależności od tego, która kwota jest wyższa.

Jeśli naruszenie było wynikiem celowego błędu lub zaniedbania pracownika, pracodawca może nałożyć na niego karę dyscyplinarną. Ponadto, pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych wyrządził pracodawcy szkodę ze swej winy (np. w postaci konieczności zapłaty odszkodowań za naruszenie osobom, których dane dotyczą) może ponieść odpowiedzialność materialną według zasad określonych w przepisach kodeksu pracy.

Praca zdalna wymaga szczególnej uwagi nie tylko w kontekście zgodności z przepisami prawa pracy, ale również w aspekcie przetwarzania danych osobowych. Pracodawca, decydując się na prace zdalną, powinien zapewnić bezpieczeństwo danych i zgodność z przepisami RODO poprzez stosowanie skutecznych zabezpieczeń, edukację pracowników oraz aktualizację procedur i dokumentacji. W ten sposób możliwe jest minimalizowanie ryzyka naruszeń RODO oraz utrzymanie zaufania klientów oraz partnerów biznesowych.

AUTORKA: Emilia Martynowicz-Mamajek, Zespół Kancelarii Prawnej Grant Thornton

Czytaj więcej: 

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Ochrona danych osobowych (RODO)

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.