Pobierz e-pity 2020

Czy RODO pozwala na pracę zdalną? Jak pracować, by nie naruszać RODO?

Ewelina Czechowicz

Epidemia koronawirusa spowodowała, że wielu pracodawców poleciło by ich pracownicy wykonywali pracę zdalną. RODO jest więc istotnym zagadnieniem związanym z tym trybem pracy. Jak wygląda RODO w pracy zdalnej? Co trzeba wiedzieć? O czym pamiętać, co przestrzegać, a czym się nie martwić?

» Pozyskiwanie danych osobowych na etapie rekrutacji i zatrudnienia

Na podstawie art. 3 ust. 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020r., poz .374) cyt.: „(…) w celu przeciwdziałania COVID-19 pracodawca może polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem jej stałego wykonywania (praca zdalna) (…)”.

RODO a praca zdalna

Źródło: shutterstock.com

Stanowisko Europejskiej Rady Ochrony Danych Osobowych oraz komunikat Prezesa Urzędu Ochrony Danych Osobowych

Europejska Rada Ochrony Danych Osobowych w oświadczeniu z dnia 19 marca 2020 r. wskazała, że „(…) Przetwarzanie danych osobowych może być konieczne do wypełnienia obowiązku prawnego, któremu podlega pracodawca, np. obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy lub z interesem publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia. (…)”

Prezes Urzędu Ochrony Danych Osobowych wydał komunikat pod tytułem "Ochrona danych osobowych podczas pracy zdalnej”, który został opublikowany w związku z epidemią Covid-19 na stronie internetowej urzędu https://uodo.gov.pl/pl/138/1459.

Prezes UODO wskazał, że:

„Przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem.”

Z komunikatu wynika ponadto, że urządzenia i oprogramowanie przekazane przez pracodawcę do pracy zdalnej służą do wykonywania obowiązków służbowych.

» Jak zgodnie z RODO zabezpieczać dane osobowe?

RODO w czasie pracy zdalnej  

RODO nie stoi zatem na przeszkodzie pracy zdalnej. Trzeba tylko wprowadzić określone procedury i ich odpowiednio przestrzegać.

Obwiązki pracowników wykonujących pracę zdalną

Pracujący w trybie pracy zdalnej są zobowiązani do przestrzegania procedur dotyczących przesyłania danych. Warto pamiętać by w czasie pracy zdalnej przestrzegać zasad, które będą chronić sprzęt i zgromadzone w komputerze czy telefonie dane. Pracownicy powinni na bieżąco aktualizować oprogramowanie i korzystać jedynie z bezpiecznych połączeń internetowych. Dodatkowo osoby pracujące zdalnie są zobowiązane do właściwego zabezpieczania dostępu do komputera i używania go wyłącznie do czynności służbowych. Muszą przestrzegać polityki tajemnicy informacyjnej.

Obowiązki pracodawcy podczas pracy zdalnej związane z RODO

Na czas pracy zdalnej pracodawca zobowiązany jest do zapewnienia wsparcia IT, udostępnienia odpowiednich narzędzi do pracy oraz właściwego oprogramowania. Zobowiązany jest przeszkolić i poinformować podległych pracowników o zasadach i przepisach, które obowiązują go w zakresie wykonywania pracy zdalnej.

Co zrobić, żeby praca zdalna była zgodna z RODO?

Obowiązujące rozporządzenie i przepisy prawa nie zakazują pracy zdalnej. Dodatkowo rozporządzenia nie zawiera żadnych regulacji związanych z RODO .

Czy RODO jest istotne przy pracy zdalnej?

W czasie pracy w trybie zdalnym dochodzi do przetwarzania danych osobowych. Należy je właściwie chronić przez zagrożeniami.

Zgodnie z art. 32 RODO należy stosować należy stosować adekwatne środki zabezpieczeń technicznych i organizacyjnych (Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE)

Istotne będą też zasady ogólne RODO, do których należą:

  • integralność i poufność (art. 5 ust. 1 lit. f RODO) –zgodnie z którymi,  przetwarzanie danych powinno odbywać się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, a administrator powinien zagwarantować ich ochronę przed niedozwolonym lub niezgodnym z prawem użyciem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem,
  • rozliczalność (art. 5 ust. 2 RODO) – administrator powinien być w stanie wykazać, że przestrzega podstawowych zasad RODO, w tym tej wskazanej powyżej, co oznacza, że powinien on dysponować dowodem na to, że przyjęte środki są faktycznie adekwatne i zostały odpowiednio wdrożone.Po trzecie, żeby pracownicy mogli respektować powyższe zasady – potrzebny jest pewien poziom świadomości.

Służbowy komputer

Służbowy komputer powinien być właściwie zabezpieczony. Powinien posiadać:

1)     indywidualny login oraz hasło dostępu do systemu,

2)     możliwość łączenia się z Internetem i firmową siecią za pośrednictwem bezpiecznego łącza tzw. VPN,

3)     wygaszacz ekranu, który będzie się włączał  po kilku minutach bezczynności,

4)     aktualny program antywirusowy z firewallem,

5)     możliwość automatycznego backupu danych lub ręczna procedura backupową,

6)     nakładki prywatyzujące na ekran minimalizujące ryzyko wglądu w ekran monitora osobom postronnym,

7)     zaszyfrowany dysk twardy.

Smartfon jak komputer

Trzeba pamiętać, że w obecnych czasach smartfony ze swoim oprogramowaniem, pamięciom i możliwościami są prawie jak laptopy. Wielu pracowników wykorzystuje telefon do sprawdzania poczty, dodatkowo przechowywane kontakty stanowią dane osobowe.

Ponadto służą do uwierzytelniania danych. Dlatego też służbowy telefon powinien mieć:

  • włączoną blokadę ekranu
  • możliwość łączenia się z Internetem i firmową siecią za pośrednictwem bezpiecznego łącza VPN,
  • możliwość automatycznego backupu danych.

Zabezpieczenie danych

Po zleceniu pracy zdalnej w organizacji, każdy z pracowników powinien podpisać oświadczenie dotyczące zasad ochrony danych osobowych zgodny z RODO. Warto w firmie również wysłać maila do wszystkich pracowników, który będzie zawierał  zasady i z procedury obowiązujące w czasie pracy zdalnej.

Czy pracownik może wykorzystywać prywatny komputer do pracy zdalnej?

Przepisy RODO nie zabraniają, aby pracownik wykonywał pracę zdalną na własnym sprzęcie komputerowym. W praktyce rozwiązanie to występuje coraz częściej i nazywane jest BYOD (Bring Your Own Device).

Jednak, aby pracownik pracował na własnym komputerze przede wszystkim musi wyrazić na to swoja dobrowolną zgodę. Po uzyskaniu zgody pracownika, dział IT musi zadbać o właściwe sprawdzenie i zabezpieczenie komputera. Następnie muszą zostać zastosowane zabezpieczenia jak przy użytkowaniu sprzętu służbowego.

Dokumenty papierowe w czasie pracy zdalnej

Większość organizacji, które korzystają z systemu pracy zdalnej posiada systemy, gdzie dokumenty są w formie skanów czy zdjęć. Tak zorganizowana praca zabezpiecza dokumenty papierowe, które mogłyby wpaść w niepowołane ręce czy ulec zniszczeniu.

Trzeba pamiętać, że ochrona danych osobowych w zakresie pracy zdalnej jest możliwa przy zachowaniu odpowiednich środków bezpieczeństwa. Nie ma przeszkód by tam gdzie to możliwe została utrzymana praca zdalna. Przepisy RODO nie stoją jej na przeszkodzie.

Przed ustawodawcą stoi zatem zadanie aby uregulować zapisy dotyczące pracy zdalnej.

RODO