Wymogi kodeksu pracy w kontekście bezpieczeństwa danych podczas pracy zdalnej
Zgodnie z kodeksem pracy, pracodawca wdrażający model pracy zdalnej powinien określić procedurę ochrony danych osobowych. Procedura ta powinna zostać ustanowiona w porozumieniu zbiorowym lub regulaminie pracy zdalnej, a w razie ich braku – w poleceniu pracodawcy lub porozumieniu stron.
Dodatkowo, pracodawca powinien, w miarę możliwości, przeprowadzić instruktaż i szkolenie w zakresie stosowania procedur ochrony danych osobowych.
Obowiązkiem pracownika wykonującego pracę zdalną jest przestrzeganie ustalonych przez pracodawcę procedur. Ich niestosowanie może stanowić naruszenie obowiązków pracowniczych, co może skutkować nałożeniem kary upomnienia lub nagany.
Pracownik powinien również potwierdzić w formie papierowej lub elektronicznej zapoznanie się z procedurami ochrony danych osobowych podczas pracy zdalnej. Choć kodeks pracy nie precyzuje, kiedy powinno to nastąpić, rekomenduje się, aby pracownik złożył stosowne oświadczenie najpóźniej przed rozpoczęciem pracy zdalnej.
Ważny fragment
Warto pamiętać, że powyższe obowiązki dotyczą również pracy zdalnej okazjonalnej. Oznacza to, że nawet jednorazowe podjęcie pracy przez pracownika w formie zdalnej wymaga wprowadzenia odpowiednich procedur ochrony danych osobowych.
Przestrzeganie wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych może być przedmiotem kontroli pracodawcy – również w przypadku pracy zdalnej okazjonalnej. Zasady przeprowadzania kontroli powinny być ustalone wspólnie z pracownikiem.
Google news
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
Jak zapewnić bezpieczeństwo danych przetwarzanych podczas pracy zdalnej?
W większości przypadków, to pracodawca będzie administratorem danych osobowych przetwarzanych podczas pracy zdalnej (np. w zakresie danych jego klientów). W związku z czym ma on obowiązek wdrożenia takich środków organizacyjnych i technicznych, które zapewnią odpowiedni stopień bezpieczeństwa danych.
Jednym ze środków zapewniających ochronę przetwarzanych danych osobowych może być ustalona na podstawie kodeksu pracy procedura ochrony danych osobowych podczas pracy zdalnej. Procedura ta nie powinna jednak stanowić jedynego zabezpieczenia danych.
Ważny fragment
Aby wybrać prawidłowe środki ochrony danych pracodawca powinien przeprowadzić analizę ryzyka związaną z pracą zdalną, identyfikując potencjalne zagrożenia naruszenia ochrony danych osobowych.
Analiza powinna uwzględniać:
- rodzaj danych przetwarzanych podczas pracy zdalnej,
- skalę i zakres przetwarzanych danych,
- potencjalne sytuacje, w których może dojść do naruszenia ochrony danych osobowych oraz ich wpływ na prawa i wolności osób, których dane dotyczą.
Na podstawie przeprowadzonej analizy ryzyka, pracodawca powinien ustalić odpowiednie środki organizacyjne i techniczne, które pomogą zminimalizować lub wykluczyć ryzyko naruszeń ochrony danych osobowych.
Przykładowe środki zabezpieczające, które pracodawcy mogą zastosować to m.in.:
- korzystanie wyłącznie z służbowego sprzętu i z nośników danych,
- zabezpieczenie ekranu komputerowego przed wglądem osób postronnych,
- ograniczenie przechowywania dokumentacji papierowej w miejscu pracy zdalnej,
- korzystanie z bezpiecznego połączenia (np. VPN),
- zabezpieczenie sprzętu w przypadku utraty,
- szyfrowanie korespondencji wychodzącej.
Oczywiście katalog środków organizacyjnych i technicznych zabezpieczających dane podczas pracy zdalnej jest otwarty i powinien być dostosowany każdorazowo do wyników analizy ryzyka.
Warto pamiętać, że administrator ma obowiązek podejmować działania mające na celu regularne testowanie i mierzenie skuteczności wprowadzonych przez niego zabezpieczeń, np. poprzez wewnętrzne audyty ochrony danych, testy penetrujące czy nawet samą kontrolę pracy zdalnej prowadzonej na podstawie prawa pracy.
Kto ponosi odpowiedzialność za naruszenia RODO podczas pracy zdalnej?
W przypadku naruszenia ochrony danych w związku z pracą zdalną, to pracodawca jako administrator jest odpowiedzialny za podjęcie działań zgodnych z przepisami RODO. Przede wszystkim, pracodawca musi przeprowadzić analizę ryzyka i ocenić, czy naruszenie wymaga zgłoszenia do Urzędu Ochrony Danych Osobowych oraz powiadomienia osób, których dane dotyczą.
Jeśli naruszenie wynika z zaniedbań pracodawcy, takich jak brak przeszkolenia pracowników, brak wdrożenia procedur dotyczących ochrony danych osobowych podczas pracy zdalnej czy niewystarczające zabezpieczenie sprzętu, Prezes Urząd Ochrony Danych Osobowych może nałożyć na administratora kary finansowe, które mogą wynosić do 10 milionów euro lub 2% rocznego obrotu, w zależności od tego, która kwota jest wyższa.
Jeśli naruszenie było wynikiem celowego błędu lub zaniedbania pracownika, pracodawca może nałożyć na niego karę dyscyplinarną. Ponadto, pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych wyrządził pracodawcy szkodę ze swej winy (np. w postaci konieczności zapłaty odszkodowań za naruszenie osobom, których dane dotyczą) może ponieść odpowiedzialność materialną według zasad określonych w przepisach kodeksu pracy.
Praca zdalna wymaga szczególnej uwagi nie tylko w kontekście zgodności z przepisami prawa pracy, ale również w aspekcie przetwarzania danych osobowych. Pracodawca, decydując się na prace zdalną, powinien zapewnić bezpieczeństwo danych i zgodność z przepisami RODO poprzez stosowanie skutecznych zabezpieczeń, edukację pracowników oraz aktualizację procedur i dokumentacji. W ten sposób możliwe jest minimalizowanie ryzyka naruszeń RODO oraz utrzymanie zaufania klientów oraz partnerów biznesowych.
AUTORKA: Emilia Martynowicz-Mamajek, Zespół Kancelarii Prawnej Grant Thornton
Czytaj więcej:
