0 0
dni
0 0
godz
0 0
min
0 0
sek

Praca zdalna a RODO - o czym należy pamiętać?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Czasy pandemii zmieniły rzeczywistość pracodawców i pracowników już na zawsze. Wszędzie tam, gdzie nie ma potrzeby osobistego świadczenia usług, firmy decydują się na pracę zdalną, jeżeli nie w całości, to co najmniej w częściowym wymiarze. Nikogo już nie dziwi system pracy oparty na 1-2 dniach pracy w biurze oraz reszty tygodnia spędzonego w domu przed służbowym laptopem. Takie rozwiązanie, mimo że bardzo przyjazne dla pracowników, niesie za sobą ogromne ryzyko. Mianowicie zagrożone są dane przedsiębiorstwa, jego kontrahentów oraz klientów. Praca zdalna tworzy wiele sytuacji, kiedy nieostrożny pracownik może doprowadzić do wycieku wrażliwych danych osobowych. Tego typu błędy nie są jednak liczone na karb pracownika, a pracodawcy. A trzeba pamiętać, że kary, jakie wskazuje RODO, sięgają wielomilionowych kwot. Z tego też względu przedsiębiorcy powinni szczególnie dbać o bezpieczeństwo danych osobowych swoich klientów, w innym wypadku to może się dla nich skończyć bardzo nieprzyjemnie.

RODO nie dotyczy jedynie klientów firmy, zabezpieczone muszą być również dane pracowników. Osoby pracujące na odległość nie tylko muszą być ostrożne z tym, w jaki sposób przetwarzają udostępnione im informację, muszą również czuć się bezpiecznie. Ich sprzęt powinien być właściwie zabezpieczony, tak jak sieć czy serwer, z których korzystają. To wszystko nakłada na pracodawcę bardzo dużo obowiązków, które bezwzględnie powinien wykonać i przestrzegać. Nie ma jednak jednej idealnej recepty na zagwarantowanie bezpieczeństwa. Każdy z przedsiębiorców musi dostosować się indywidualnie do ustawowych regulacji i wypracować własny system pracy zdalnej. Mimo to poniżej przedstawimy kilka zasad, które z całą pewnością pomogą przynajmniej rozpocząć cały ten proces.

RODO – co chroni?

Rozporządzenie unijne o ochronie danych osobowych, tzw. RODO nie wprowadziło ani wyczerpującej definicji danych osobowych, ani zamkniętego katalogu informacji, które należy uznawać za takie dane. Trzeba zatem uznać, że to, co podlega pod rozporządzenie, jest kwestią płynną, otwartą i zależy od konkretnych okoliczności. Przepis art. 4 ust. 1 RODO wskazuje, że dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie:

  • imienia i nazwiska;
  • numeru identyfikacyjnego – PESEL, numeru dowodu osobistego, paszportu itp.;
  • danych o lokalizacji;
  • identyfikatora internetowego – np. adresu e-mail lub nazwy profilu założonego na portalu społecznościowym zawierającej imię i nazwisko właściciela;
  • cech określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Powyższe potwierdza, że katalog danych osobowych jest otwarty. Pomimo to jest jedna pewna – za daną osobową może zostać uznana wyłącznie informacja, która charakteryzuje osobę fizyczną. Przepisy RODO chronią wszelkie informacje określające osobę fizyczną, dzięki którym osoba ta może zostać zidentyfikowana. Informacji nie uważa się jednak za umożliwiające określenie tożsamości i tym samym podlegających pod przepisy rozporządzenia, jeżeli ustalenie tożsamości wymagałoby nadmiernych kosztów, czasu lub działań (np. użycia specjalistycznych technik używanych przez służby wywiadowcze).

Chronione przepisami unijnymi nie są również dane osób prawnych oraz innych jednostek organizacyjnych, którym ustawa nadała zdolność prawną. Co do zasady jednak informacje o osobach fizycznych, mimo że pozostają w ścisłym związku z osobami prawnymi, to w dalszym ciągu pozostają danymi osobowymi. Dla przykładu nazwa spółki z ograniczoną odpowiedzialnością nie znajduje się pod ochroną przepisów rozporządzenia, jednakże imiona i nazwiska udziałowców czy członków zarządu są traktowane jako dane osobowe.

Praca zdalna a RODO?

Wielu przedsiębiorców może się zastanawiać czy tak rygorystyczne przepisy rozporządzenia w ogóle pozwalają na pracę zdalną. Uspokajam – jak najbardziej. Prawidłowo wdrożone procesy ochrony danych pozwalają w stu procentach na swobodne (ale nie beztroskie) wykonywanie pracy poza siedzibą firmy.

Prezes Urzędu Ochrony Danych Osobowych w trakcie trwania stanu pandemicznego wydał komunikat pt. „Ochrona danych osobowych podczas pracy zdalnej”. Wskazał w nim m.in., że przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z pandemią oraz że podjęcie właściwych działań ochronnych całkowicie jest w stanie zapewnić pracę zgodną z przepisami RODO.

Zasady bezpiecznego działania w czasie pracy zdalnej

Zasad, jakie należy zachowywać podczas pracy poza siedzibą firmy, jest cała mnogość. Jedne są dość skomplikowane i bez pomocy specjalistów IT nie do przejścia, inne całkowicie intuicyjne, proste i „życiowe”. Dodatkowo działania podejmowane w celu zabezpieczenia danych osobowych w firmie można podzielić na 2 grupy, te dotyczące pracodawcy oraz te dotyczące pracowników. Mimo że – co do zasady – w razie wycieku danych odpowiedzialny będzie pracodawca, to bez współpracy ze strony pracowników, ochrona wrażliwych informacji będzie niemożliwa.

Działania pracodawcy

Dobre praktyki powinny „iść z góry”, czyli od pracodawców, dyrektorów czy kierowników. Inaczej szeregowi pracownicy nie będą mieli żadnej motywacji, aby przestrzegać stawianych im zasad. Jeżeli osoba będąca autorytetem nie działa w zgodzie z procedurami, dlaczego miałyby robić to osoby od niej zależne? Poniżej przedstawiamy zatem kilka najważniejszych praktyk, które pracodawca powinien wdrożyć w swojej firmie.

  1. Ogólne zasady bezpieczeństwa równie ważne co szczegółowe wymogi RODO

Ogólne zasady bezpieczeństwa obowiązujące w miejscu pracy powinny być przestrzegane również w miejscu pracy zdalnej, czyli domach pracowników. Należy pamiętać, że każdego rodzaju wypadek oraz błąd popełniony czy szkoda powstała w czasie pracy z domu obciąża pracodawcę. To samo tyczy się RODO. Przedsiębiorca powinien zatem zadbać, aby regulacje wymagane w siedzibie firmy były przestrzegane również w miejscach pracy online. Będzie tu chodziło przede wszystkim o zapisy zawarte w polityce bezpieczeństwa, instrukcji zarządzania systemami, metodyce dotyczącej dbania o bezpieczeństwo dokumentacji, czystości biurka oraz dysku twardego komputera czy procedury zgłaszania incydentów i wycieku danych.

  1. Praca zdalna w godzinach funkcjonowania przedsiębiorstwa

Pisząc o funkcjonowaniu przedsiębiorstwa, chodzi przede wszystkim o administratora danych, inspektora ochrony danych oraz działu IT. Chcąc zapewnić bezpieczeństwo danych osobowych przetwarzanych przez firmę, należy zadbać o to, aby pracownicy mieli zapewnioną pomoc techniczną. Jeżeli zatem dział IT, który mógłby błyskawicznie zareagować np. na utratę dostępu do wirtualnej skrzynki firmowej pracownika, pracuje wyłącznie w określonych godzinach (np. 9-17), pracownicy zdalni również powinni wykonywać swoje obowiązki w tym czasie.

Praca zdalna wykonywana w godzinach, w których nie ma możliwości otrzymania właściwej pomocy w związku z wyciekiem danych osobowych, niesie za sobą ogromne ryzyko. Pracodawca zatem nie powinien pozwalać na tego typu praktyki w firmie.

  1. Zabezpieczenie sprzętu firmowego

Praca zdalna powinna być zawsze wykonywana na sprzęcie wydanym przez pracodawcę. Nie chodzi tylko o to, że firma powinna taki sprzęt zapewnić. Powinna ona również zadbać o jego prawidłowe zabezpieczenie. Hasła dostępowe do laptopa i telefonu, szyfrowanie danych, dedykowane serwery firmowe oraz służbowe konta e-mail z całą pewnością wzmocnią ochronę danych w firmie.

Należy pamiętać, że powszechne usługi chmurowe oznaczają zaangażowanie w przetwarzanie danych podmiotów trzecich. To z kolei wiąże się z obowiązkiem zawarcia umowy powierzenia danych osobowych oraz podjęcia dodatkowych środków niezbędnych do zabezpieczenia w przypadku transferu danych poza UE, tj. do tzw. krajów trzecich. 

  1. Dokumenty papierowe – nie wolno ich lekceważyć

RODO nie wiążę się wyłącznie z danymi zapisywanymi na urządzeniach elektronicznych. Są nimi także informacje zapisane na kartce papieru. Pracodawca powinien o tym pamiętać. Dobrą praktyką jest wprowadzenie obowiązku zgłaszania przez pracowników swoim przełożonym wszelkich dokumentów wynoszonych z siedziby firmy, zakaz kopiowania lub skanowania dokumentacji służbowej w punktach ksero czy też zakaz drukowania dokumentów firmowych poza siedzibą firmy. Wprowadzenie powyższych zasad bardzo ograniczy ryzyko utraty „teczek” z ważnymi informacjami firmy lub możliwość zapoznania się z nimi przez osoby do tego nieuprawnione.

Działania pracownika

Nie tylko pracodawca musi dbać o bezpieczeństwo przetwarzania danych. Zobowiązani do tego są również pracownicy. Przede wszystkim powinni oni zachowywać się odpowiedzialnie w czasie pracy zdalnej oraz obchodzić się z dużą ostrożnością z dokumentacją firmową, a także sprzętem służbowym.

  1. Bezpieczne korzystanie z urządzeń służbowych

Przede wszystkim pracownicy powinni zadbać o sprzęt służbowy. Nie tylko, aby go nie zgubić, ale również, by nie dopuścić do wycieku danych online. Pracownik na pracy zdalnej powinien powstrzymać się przed instalacją na służbowym laptopie lub telefonie obcych aplikacji i oprogramowania. Powinien także zadbać o aktualność systemu operacyjnego, na którym działa oraz obecność dedykowanego programu antywirusowego.

Kolejną zasadą jest ustanawianie mocnych, oryginalnych haseł dostępu na każdym sprzęcie używanym do pracy. Nie zaszkodzi również od czasu do czasu hasła te zmienić. Nie warto robić tego zbyt często, ponieważ nierzadko taka praktyka prowadzi do zapominania hasła i zablokowania urządzenia, a ochrona wcale nie jest solidniejsza.

  1. Wydzielone stanowisko pracy

To, że pliki z serwera służbowego nie trafiły w ręce hakerów, wcale nie oznacza, że dane osobowe nie trafiły w niepożądane ręce. Wystarczy bowiem, aby osoba trzecia miała wgląd w systemy pracownicze, np. poprzez dostęp do monitora laptopa lub telefonu służbowego. Dlatego tak ważne jest, aby pracownik na pracy zdalnej wydzielił sobie przestrzeń, która pozwoli mu zachować prywatność i poufność danych, na których działa.

Wydaje się zatem, że osoba pracująca na danych osobowych powinna odpuścić sobie pracę w przysłowiowym „Starbucksie”, gdzie w czasie 8 godzin etatu przewinąć może się setki obcych ludzi. Lepszym wyjściem jest domowe zacisze, gdzie jedynymi osobami postronnymi są najbliżsi, którym raczej nie będzie zależało na „kradzieży danych”.

  1. Prywatny sprzęt i programy – wykluczone

Używanie prywatnych komputerów, telefonów czy skrzynek mailowych do zadań służbowych to prosta droga do poważnych problemów. Przekonał się o tym zresztą jeden z pracowników kancelarii premiera. Najlepszym wyjściem jest korzystanie wyłącznie z urządzeń i aplikacji udostępnionych przez pracodawcę. Korzystając ze skrzynki e-mail, warto również działać z rozmysłem – nie otwierać podejrzanych wiadomości od nieznanych nadawców, dokładnie sprawdzić, do kogo wysyłana jest wiadomość (czasami o pomyłkę naprawdę nietrudno), szyfrować wiadomości zawierające dane osobowe, nie przesyłać haseł dostępowych razem z loginami. Warto także pamiętać o wylogowywaniu się z systemu za każdym razem, gdy odchodzi się od komputera.

Praca zdalna a RODO – podsumowanie

Praca zdalna, jakby nie była wygodna dla pracowników czy pracodawców, niesie za sobą nieporównywalnie więcej zagrożeń, niż wykonywanie obowiązków służbowych w siedzibie firmy. Największe ryzyko związane jest z danymi osobowymi. O ich wyciek naprawdę nietrudno, a odpowiedzialność z tym związana jest naprawdę wysoka. W związku z tym pracodawca powinien porządnie zadbać, aby w czasie pracy poza biurem nie doszło do wycieku danych. Przede wszystkim powinien zapewnić wsparcie działu IT oraz inspektora ochrony danych, którzy będą w stanie błyskawicznie zareagować na każdy błąd popełniony przez pracowników. Ważne jest także, aby sprzęt, na którym pracują podwładni, był wydany przez pracodawcę, prawidłowo zabezpieczony, z blokadą na instalowanie prywatnych aplikacji. Przy tym wszystkim nie zaszkodzi sporządzić regulamin pracy zdalnej, tak aby każda osoba pełniąca obowiązki służbowe z domu mogła się z nim zapoznać i wiedzieć jak postępować w sytuacjach awaryjnych.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów