przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Biznesu
  3. Prowadzenie biznesu
  4. Bezpieczna praca zdalna - jak zrobić to dobrze?

Bezpieczna praca zdalna - jak zrobić to dobrze?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Bezpieczna praca zdalna to ważny aspekt dla wielu pracowników i pracodawców. Kodeks pracy jasno określa wiele kwestii związanych m.in. z ochroną informacji lub cyberbezpieczeństwem. Nie wolno jednak pomijać RODO czy rządowych rekomendacji. Niemniej ważne jest stosowanie odpowiednich środków technicznych pozwalających na zmniejszenie prawdopodobieństwa wystąpienia poważnego incydentu. Z czym wiąże się bezpieczna praca zdalna?

Bezpieczna praca zdalna a pracodawca

Artykuł 6724 Kodeksu pracy (kp) stwierdza, że pracodawca zobowiązany jest m.in. do zapewnienia pracownikowi:

  • materiałów i narzędzi, w tym urządzeń technicznych;
  • instalacji, serwisu, konserwacji lub pokrywania kosztów takich działań;
  • pokrycia kosztów energii elektrycznej oraz usług telekomunikacyjnych.

Oprócz tego pracodawca jest zobowiązany uwzględnić w regulaminie kwestie związane z kontrolą przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji – szczególnie danych osobowych (art. 6720 kp).

Jednocześnie kontrola nie może naruszać prywatności pracownika (i innych domowników) oraz konieczne jest przeprowadzenie jej w godzinach pracy. W przypadku stwierdzenia naruszenia regulaminu, w tym procedur ochrony danych osobowych, pracodawca może wycofać zgodę na pracę zdalną lub zobowiązać pracownika do usunięcia uchybień (art. 6728 kp).

Kluczowy jest również zapis wprost odnoszący się do RODO, mianowicie po stronie pracodawcy leży określenie procedury ochrony danych osobowych (art. 6726 kp).

Praca zdalna okazjonalnie a jej bezpieczeństwo

Co ważne, praca zdalna wykonywana okazjonalnie (art. 6733 kp) w wymiarze nieprzekraczającym 24 dni, zwalnia pracodawcę ze stosowania niektórych artykułów wymienionych powyżej. Nie obowiązuje go m.in. art. 6724 kp, co oznacza, że nie jest zobowiązany do zapewnienia pracownikowi materiałów i narzędzi niezbędnych do wykonywania pracy czy pokrywania kosztów usług telekomunikacyjnych.

Jednocześnie dobrowolny zwrot kosztów poniesionych przez pracownika nie będzie traktowany jako jego przychód, co określa art. 6725 kp.

RODO w pracy zdalnej

Niezależnie od formy pracy administrator danych osobowych podlega pod RODO. Szczególnie ważny jest art. 32 rozporządzenia, który nakazuje wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych. Kluczową rolę odgrywa tutaj analiza ryzyka, co oznacza, że powinna również uwzględniać zagrożenia (oraz ich wpływ na chronione informacje) podczas pracy zdalnej.

Rządowy poradnik o pracy zdalnej

W kwietniu 2023 roku Kancelaria Prezesa Rady Ministrów opublikowała Poradnik bezpieczeństwa w zakresie telepracy/pracy zdalnej i używania prywatnych urządzeń (BYOD), który zawiera wiele ważnych informacji.

W poradniku podkreślono, że praca zdalna powinna być wykonywana przede wszystkim w oparciu na urządzeniach kontrolowanych przez organizację (pracodawcę). Zakres urządzeń wykorzystywanych w pracy zdalnej powinien być jasno określony.

Przykład 1.

Pracownik świadczący pracę zdalną postanowił skorzystać z innego laptopa niż zazwyczaj. Nie jest to dobra praktyka, szczególnie gdy nie miał pełnej kontroli nad urządzeniem – np. wykorzystał laptopa na co dzień używanego wyłącznie przez innego domownika.

Jeśli jest to możliwe, powinno się separować urządzenia wykorzystywane w pracy zdalnej od tych, które służą do innych celów.

Dostęp do zasobów poprzez VPN

Wirtualna sieć prywatna (VPN) może posłużyć do bezpiecznego dostępu do określonych zasobów. Tworzy bezpieczny „tunel”, który może pozwolić na dostęp np. do serwera zlokalizowanego w firmie.

To może jednocześnie rodzić pewne zagrożenia – uzyskanie dostępu do infrastruktury organizacji powinno być poprzedzone dwuetapowym uwierzytelnianiem, czyli hasłem wraz z np. kluczem fizycznym czy jednorazowym kodem (OTP).

Warto również unikać gromadzenia wszystkich danych w ramach jednego urządzenia (np. serwera). Wówczas nieuprawniony dostęp do jednego konta może powodować kradzież informacji z wielu innych działów organizacji.

BYOD – prywatny komputer w pracy

Ważnym zagadnieniem jest kwestia BYOD (ang. Bring Your Own Device) w pracy, czyli korzystania z prywatnych urządzeń do celów służbowych. Jeśli jest to możliwe, zaleca się korzystanie ze sprzętu w pełni kontrolowanego przez pracodawcę.

Poradnik Kancelarii Prezesa Rady Ministrów podkreśla konieczność m.in.:

  • aktualizacji systemu operacyjnego czy oprogramowania antywirusowego;
  • korzystania z kont o standardowych uprawnieniach zamiast kont administratora;
  • stosowania unikalnych i silnych haseł – najlepiej złożonych z kilku wyrazów;
  • unikania tworzenia podpowiedzi haseł;
  • blokowania sesji użytkownika w przypadku chwilowego odejścia od urządzenia (w Windowsie klawisze „Windows” oraz „L”);
  • stosowania innych przeglądarek do celów służbowych i prywatnych;
  • usunięcia niepotrzebnych wtyczek w przeglądarkach.

Dostęp fizyczny i analiza ryzyka

Miejscem pracy zdalnej może być adres zamieszkania pracownika, lecz nie jest to obowiązek. Zgodnie z art. 6718 kp wymagane jest każdorazowe uzgadnianie miejsca pracy z pracodawcą.

Powyższe zagadnienie sprawia, że konieczne jest uwzględnienie bezpieczeństwa fizycznego, tzn. przechowywania danych służbowych na nośnikach wykorzystywanych w pracy zdalnej.

Przykład 2.

Pracownik używa do pracy zdalnej służbowego laptopa, który znajduje się w jego domu. Jednocześnie dyski urządzenia są szyfrowane, a konto lokalne jest zabezpieczone silnym i unikalnym hasłem. Analiza ryzyka wykazała, że prawdopodobieństwo kradzieży skutkującej nieuprawnionym dostępem do informacji jest niskie. Administrator regularnie testuje i ocenia skuteczność środków technicznych i organizacyjnych służących do ochrony informacji.

W takiej sytuacji zastosowane środki techniczne pozwalają znacząco zmniejszyć możliwość wystąpienia naruszenia ochrony danych osobowych. Nie zwalnia to administratora danych od dokonania oceny, czy w przypadku incydentu zachodzi ryzyko naruszenia praw lub wolności osób fizycznych oraz ewentualnego powiadomienia osób i Prezesa UODO o zdarzeniu.

Przykład 3.

Pracownik wykorzystuje prywatne urządzenie. Pracuje poza miejscem zamieszkania – np. w hotelu. Dyski nie są szyfrowane. Organizacja nie uwzględniła pracy zdalnej w analizie ryzyka.

W przypadku kradzieży takiego urządzenia zachodzi bardzo duże ryzyko naruszenia praw lub wolności osób fizycznych.

Warto również przytoczyć decyzję UODO ze stycznia 2022 roku – stwierdzono wówczas, że zastosowanie środków technicznych bez dokonania uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych „nie może dawać gwarancji, że zastosowane środki będą skuteczne i adekwatne”. Dodano również, że organizacja skupiła się jedynie na zagrożeniach dotyczących infrastruktury informatycznej, lecz nie uwzględniła zagrożeń podczas konkretnego przedsięwzięcia.

Szyfrowanie i kopie zapasowe

Aby uwypuklić zagrożenia w pracy zdalnej, warto odwołać się do definicji naruszenia ochrony danych osobowych (art. 4 pkt 12 RODO). Naruszenie to nie tylko wyciek danych osobowych do sieci (nieuprawniony dostęp i ujawnienie), np. wskutek ataku ransomware, lecz także przypadkowe lub niezgodne z prawem zniszczenie, utracenie lub zmodyfikowanie takich informacji.

Oznacza to, że organizacja powinna mieć środki techniczne, które pozwolą na dostęp do danych uprawnionej do określonych informacji grupie osób. Wiąże się tym konieczność tworzenia kopii zapasowych.

Kolejnym bardzo ważnym elementem ochrony danych osobowych w pracy zdalnej jest szyfrowanie. Warto tutaj podkreślić, że szyfrować możemy zarówno całe nośniki danych (laptopy, pendrive’y itd.), jak i poszczególne pliki (np. w formie archiwum ZIP lub RAR). 

W Windowsach warto wykorzystać narzędzie Bitlocker, służące m.in. do szyfrowania dysków. Należy przy tym pamiętać o odpowiednim przechowywaniu klucza odzyskiwania, co możliwe jest również w formie wydruku.

Zalecenia organizacyjne odnośnie bezpiecznej pracy zdalnej

Warto pamiętać o tym, że organizacja może administrować tylko tymi zasobami, o których wie. W tym celu warto ustalić zasady dotyczące przechowywania określonych informacji. Można posłużyć się TLP (ang. Traffic Light Protocol), który określa odbiorców docelowych danej informacji. Jednocześnie warto rozgraniczyć, jakie informacje mogą być przetwarzane na prywatnych komputerach pracowników zdalnych, które powinniśmy traktować z ograniczoną dozą zaufania.

W kontekście pracowników zdalnych warto naciskać na świadomość tego, że korzystanie z laptopów w kawiarniach czy pociągach może prowadzić do ujawniania poufnych informacji – nawet nie wskutek cyberataku, lecz podsłuchiwania lub podglądania przez osoby dookoła. Należy również wskazać punkt kontaktowy dla osób, które chcą zgłosić incydent.

Jeśli mowa o zaczynaniu od podstaw, należy m.in.:

  • zinwentaryzować posiadane zasoby IT (urządzenia, usługi, konta, uprawnienia);
  • wymusić dwuetapowe uwierzytelnianie na poziomie organizacji;
  • stworzyć poczucie zaufania wobec zgłaszania incydentów;
  • zaplanować szkolenia realnie zwiększające świadomość;
  • określić nośniki wykorzystywane do przechowywania danych (z uwzględnieniem zasobów w chmurze).

W razie zarejestrowania poważnego incydentu zaleca się zgłoszenie do CERT Polska – organu zajmującego się reagowaniem na zdarzenia w cyberprzestrzeni.

Polecamy:

Jak sprawdzić NIP, czyli Numer Identyfikacji Podatkowej?

Logistyka, która daje oddech, czyli jak Weekendowe...
Sierpień 2025
28
Czwartek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Koszt całkowity zatrudnienia pracownika w 2025 roku - musisz to wiedzieć!
  2. Jednoosobowa działalność gospodarcza w 2025 roku - co warto wiedzieć?
  3. Praca na etacie nie wyklucza prowadzenia działalności
  4. Kiedy zawiesić działalność, żeby zaoszczędzić na składkach ZUS?
  5. Możesz naliczyć odsetki ustawowe od opóźnionych należności
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Prowadzenie biznesu

Logistyka, która daje oddech, czyli jak Weekendowe Nadania pomogą…

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Jubileuszowy Kongres Public Relations już w przyszłym miesiącu. Poznaj tajniki komunikacji w czasach geopolitycznej niepewności
Jak sprzedawać więcej i mądrzej? Event Olimp Marketplace V odpowiada konkretnie
Agencja e-commerce i e-marketingu Ideo Force zaprasza na 9. edycję Konferencji Lunch z e-commerce!
Mobile Trends for Experts 2025 – tam, gdzie technologia spotyka liderów!
Forum Dyrektor Finansowy| 8–9 października 2025, ADN Centrum Konferencyjne, Warszawa Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów