… rozprzestrzeniania się koronawirusa w naszym kraju, wprowadził uprawnienie pracodawcy do delegowania pracownika na czas oznaczony do świadczenia pracy poza miejscem jej stałego wykonywania, czyli pracy zdalnej.
Wiele przedsiębiorstw postanowiło skorzystać z takiej instytucji. Podmioty takie, jako administratorzy danych osobowych pracowników, współpracowników, klientów, usługodawców, są obowiązane na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwanej dalej „RODO”) do ochrony danych osobowych podmiotów, których dane są przez nie przetwarzane.
Zobacz również
W tym artykule pokrótce postaramy się wskazać kilka praktycznych porad dla pracodawców (będących jednocześnie administratorami danych w rozumieniu RODO), które pozwolą na wdrożenie odpowiednich środków bezpieczeństwa danych osobowych w pracy poza miejscem jej stałego wykonywania.
W pierwszej kolejności pracodawca powinien odpowiednio zorganizować pracę zdalną tzw. home office. Jeśli dotąd nie istniał w jego przedsiębiorstwie regulamin pracy zdalnej to zalecanym byłoby jego stworzenie i zapoznanie z nim pracowników oddelegowanych do pracy zdalnej tak, aby osoby te miały wiedzę, jak w otoczeniu domowym mają chronić zasoby pracodawcy, w tym informacje i dane osobowe im powierzone.
W takim regulaminie należałoby uregulować kwestie autoryzacji na wyniesienie dokumentów służbowych przez pracowników, jak również sporządzania przez pracowników kopii dokumentów i wykonania spisu tak skopiowanych dokumentów, a także winny się w nim znaleźć zasady zachowania poufności danych tamże zawartych, przyjęte przez pracodawcę procedury w przypadku naruszenia dostępności, poufności, integralności danych, zobowiązanie pracowników do zwrotu dokumentów do pracodawcy etc.
#PolecajkiNM cz. 32: czego szukaliśmy w Google’u, Kryzysometr 2024/25, rynek dóbr luksusowych w Polsce
Kolejnym przydatnym narzędziem są szkolenia pracowników bądź przekazywanie im informacji w zakresie koniecznych zabezpieczeń przez pracowników IT danej firmy, a także zagrożeń związanych z home office (np. phishing), a następnie zebranie od pracowników oświadczeń o stosowaniu się do środków ochrony, o których zostali poinformowani w jeden ze wskazanych powyżej sposobów.
Słuchaj podcastu NowyMarketing
Proszę pamiętać, że nieprzeszkolony pracownik może stanowić najsłabsze ogniwo w ochronie danych osobowych kluczowych dla pracodawcy. Dlatego stworzenie przystępnego regulaminu bądź wytycznych i przeszkolenie pracowników pozwoli na zredukowanie omyłek wynikających z niedostosowania ich działań do wymagań RODO.
Oczywiście trzeba mieć na względzie, iż w czasie pandemii koronawirusa należy racjonalnie korzystać z możliwych w tych warunkach rozwiązań służących zorganizowaniu sprawnego procesu pracy zdalnej przy zachowaniu ciągłości działania procesów biznesowych a tym samym utrzymaniu funkcjonowania organizacji w trybie kryzysowym.
Kluczowym dla bezpieczeństwa informacji (w tym danych osobowych) przy okazji tzw. home office jest stosowanie adekwatnych środków bezpieczeństwa informatycznego celem zachowania poufności, dostępności i integralności danych osobowych, którymi zarządza pracodawca (administrator). Poniżej znajduje się kilka wskazówek w tym zakresie.
Zaznaczyć jednak trzeba, że wprowadzanie konkretnych zabezpieczeń powinno w każdej firmie stanowić rezultat przeprowadzonej analizy ryzyka dla zidentyfikowanych w organizacji czynności przetwarzania danych.
Z pewnością najlepszym rozwiązaniem pod kątem ochrony danych osobowych jest przekazanie pracownikowi sprzętu służbowego, na którym będzie on pracował zdalnie. Sprzęt ten (zapewne głównie laptop i telefon służbowy) winien zostać prawidłowo przygotowany do jego wydania w szczególności poprzez:
- zaszyfrowanie dysków, kart pamięci, elektronicznych nośników informacji;
- zweryfikowanie czy dla danego sprzętu został zainstalowany program antywirusowy i czy jest on aktualny (posiada najnowszą aktualizację);
- przyznaniu poszczególnym pracownikom dostępów do informacji adekwatnie do piastowanego przez nich stanowiska;
- sprawdzeniu czy pracownikom zostały przyznane indywidualne loginy oraz hasła dostępu do systemu, automatyczne blokady ekranu komputera i telefonu, zdalne i automatyczne usuwanie zawartości sprzętu;
- sprawdzeniu czy pracownikom zostały włączone w powierzonym sprzęcie automatyczne aktualizacje systemu operacyjnego, „antywirusa” oraz innych aplikacji używanych przez pracowników;
- zainstalowanie nakładek prywatyzujących na ekran, które w dużej mierze minimalizują niebezpieczeństwo ujawnienia danych poprzez wgląd w ekran monitora osobom trzecim;
- zweryfikowanie czy dane na dysku twardym komputera oraz dane na telefonie komórkowym zostały zaszyfrowane;
- zweryfikowanie czy sprzęt został wyposażony w możliwość automatycznego backupu danych w nim zawartych.
Ponadto, rekomenduje się, aby pracodawca zobowiązał swoich pracowników do: korzystania z bezpiecznego połączenia internetowego, ograniczenia dostępu do hasła dla osób trzecich, a także zweryfikowania przez pracowników, czy hasło do ich domowego routera odpowiada zasadom ustalonym w przedsiębiorstwie pracodawcy, a także zobowiązanie ich, aby przed podłączeniem do sieci połączyli się z tzw. VPN (Virtual Private Network).
Warto również uzmysłowić pracownikom, że przed przystąpieniem do pracy zdalnej powinni odpowiednio przygotować swoje miejsce pracy. Przede wszystkimi winni mieć na uwadze zachowanie zasady poufności powierzonych im informacji (w tym danych osobowych). W tym celu zobowiązani są przeznaczyć część swojego mieszkania do świadczenia pracy zdalnej. Dostęp do tej części winien zostać w miarę możliwości ograniczony dla osób trzecich (postronnych). W przypadku, gdy pracownicy korzystają z dokumentacji w formie papierowej w ramach pracy zdalnej (np. w formie kopii dokumentów) pracodawca winien zobowiązać ich do zachowania poufności i nieudostępniania ich osobom postronnym.
W naszej ocenie, przed przystąpieniem pracownika do pracy zdalnej, pracodawca winien każdorazowo poinformować go o punkcie kontaktowym (e-mail, telefon) w przypadku problemów tzw. technicznych, a nadto winien przypomnieć pracownikowi informację odnośnie osoby upoważnionej u pracodawcy, z którą pracownik ma się kontaktować w razie naruszenia ochrony danych osobowych (przykłady sytuacji podlegających zgłoszeniu: kradzież bądź zgubienie sprzętu, na którym znajdują się dane osobowe, wysłanie wiadomości mailowej zawierającej dane osobowe bądź inne informacje prawem chronione do niewłaściwego adresata).
W firmach które posiadają wdrożone systemy ochronnych danych osobowych bądź bezpieczeństwa informacji osobami kontaktowymi będą zapewne nadal Inspektorzy Ochrony Danych bądź Koordynatorzy ds. Bezpieczeństwa Informacji i pokrewne im role; natomiast w tych wszystkich organizacjach gdzie nie było dotąd wyłonionej tego rodzaju struktury organizacyjnej, powinna ona powstać właśnie w kontekście przejścia organizacji w inny niż do tej pory tryb pracy zdalnej.
Większość organizacji liczy rzecz jasna, że praca zdalna w takich rozmiarach jak obecnie jest wyłącznie rozwiązaniem tymczasowym podyktowanym przez sytuację epidemiologiczną i firmy powrócą niebawem do zwyczajnej działalności operacyjnej. Jednak należy z rozwagą podejść do zagrożeń występujących przy pracy zdalnej tak aby nie doszło sytuacji kiedy wraz z zarządzaniem kryzysowym w firmie z uwagi na Covid-19 będzie potrzeba równolegle obsługiwać potencjalne naruszenia ochrony danych w rozumieniu RODO.
Autorzy:
Anna Kuś-Kluka, radca prawny w kancelarii Juvo. Wpisana na listę Okręgowej Izby Radców Prawnych w Krakowie. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego oraz studiów podyplomowych z zakresu ochrony danych osobowych. W Kancelarii zajmuje się świadczeniem pomocy prawnej dla przedsiębiorców, a zwłaszcza bieżącym doradztwem z zakresu ochrony danych osobowych.
Mateusz Heinrich, radca prawny, partner zarządzający w kancelarii Juvo. Wpisany na listę Okręgowej Izby Radców Prawnych w Katowicach. Absolwent Wydziału Prawa i Administracji Uniwersytetu Śląskiego. Członek Stowarzyszenia Praktyków Ochrony Danych. Koordynuje obsługę prawną podmiotów gospodarczych w zakresie bezpieczeństwa informacji i ochrony danych osobowych w szczególności w podmiotach działających w ramach międzynarodowych grup kapitałowych oraz w obszarze nowych technologii.