Bez kategorii

Ochrona danych w trakcie pracy zdalnej

 

Pandemia koronawirusa sprawiła, że praca zdalna stała się zjawiskiem powszechnym wśród tzw. pracowników biurowych. Szybko wprowadzono pierwsze przepisy w tym zakresie w tzw. specustawie antykryzysowej, które jednak mają charakter tymczasowy i dość ogólny. W związku z tym planowane jest kompleksowe uregulowanie pracy zdalnej na stałe w kodeksie pracy.

Kwestie ochrony danych osobowych czy innych dokumentów i informacji pracodawcy w trakcie pracy zdalnej mają fundamentalne znaczenie. Obecnie obowiązujące przepisy nie regulują tych kwestii wprost. Dopiero projekt zmian do kodeksu pracy przewiduje, że pracodawca będzie musiał określić zasady ochrony danych osobowych w trakcie pracy zdalnej oraz przeprowadzać szkolenia lub instruktaż pracowników w tym zakresie. Aktualny brak regulacji nie oznacza jednak, że pracowników zdalnych nie obowiązują w tym zakresie żadne zasady.

Przede wszystkim należy pamiętać, że pracownicy pracujący zdalnie są zobowiązani przestrzegać już obowiązujących zasad przetwarzania i ochrony danych tak samo jak pracownicy stacjonarni. Jeżeli więc u pracodawcy obowiązuje polityka ochrony danych, to bez względu na formę pracy, każdy pracownik musi jej przestrzegać. Jest to bowiem jeden z podstawowych obowiązków pracowniczych. Należy również podkreślić, że do podstawowych obowiązków pracowników należy ochrona informacji, których ujawnienie w jakikolwiek sposób mogłyby narazić pracodawcę na szkodę – dotyczy to zarówno danych osobowych, danych handlowych, informacji mających status tajemnicy przedsiębiorstwa czy wielu innych.

Oczywistym jest jednak, że polityka przygotowana na czas, w którym praca wykonywana była stacjonarnie nie zawsze będzie odpowiadała specyfice pracy zdalnej. Wynika to głównie z faktu, że pracodawca niejednokrotne nie ma wpływu na część procesów związanych z wykorzystywaniem danych jak również z faktu, że pracownicy wykorzystują „obcą”, niezależną od pracodawcy, infrastrukturę. Może to powodować zagrożenie dla bezpieczeństwa danych, związane np. z nieuprawnionym ich ujawnieniem bądź utratą czy zniszczeniem, w tym również ze zwiększonego ryzyka ataku hackerskiego. Mając na uwadze, że aktualne przepisy są dość ogólne, rekomendujemy przygotowanie regulaminu pracy zdalnej, którego częścią byłyby również zasady ochrony danych.

Na co w takim razie należy zwrócić uwagę? Przede wszystkim na wykorzystywane przez pracowników łącza internetowe i sieć. Absolutnie bezwzględnie należy zakazać korzystania z ogólnodostępnych sieci WIFI. Podłączenie służbowego komputera do sieci WIFI w restauracji czy innym ogólnodostępnym miejscu grozi bowiem uzyskaniem dostępu do danych przez osoby nieuprawnione czy też ich utratą. Również korzystanie z domowego WIFI wymaga, aby sieć być odpowiednio zabezpieczona. W żadnym wypadku nie może to być sieć otwarta jak również zabezpieczona słabym hasłem. Kwestie te powinny zostać uregulowane w wewnętrznych dokumentach pracodawcy, np. we wspomnianym już regulaminie pracy zdalnej.

Kolejnym ryzykownym obszarem jest zdalne przesyłanie i udostępnianie danych współpracownikom, kontrahentom czy innym osobom. Na tej płaszczyźnie, nawet jak wynika z doniesień medialnych, może dojść do poważnych naruszeń. Szczególnie narażone są wszelkie prywatne, darmowe skrzynki e-mail czy wirtualne chmury do przechowywania dokumentów. Korzystanie z takich narzędzi powinno być również zakazane. Wszelka korespondencja, przekazywanie czy przechowywanie dokumentów powinno odbywać się przy użyciu udostępnionych przez pracodawcę narzędzi, które są dodatkowo odpowiednio zabezpieczone. Niestety z doświadczenia wiemy, że nie jest to tak oczywiste jak się wydaje i niejednokrotnie prywatne skrzynki e-mail są przez pracowników wykorzystywane do przesyłania dokumentów, a od tego jest już tylko krok do naruszenia.

Również przechowywanie i kopiowanie danych, zarówno w formie elektronicznej jak i papierowej, jest obszarem o którym trzeba pamiętać. Niejednokrotnie zdarza się, że pracownicy przenoszą dokumenty czy inne dane na prywatnych nośnikach elektronicznych, np. pendrive’ach, które nie posiadają żadnych zabezpieczeń. Z praktyki znamy wiele przypadków zgubienia takiego pendrive’a, który zawierał ważne dokumenty oraz dane osobowe i w żaden sposób nie był zabezpieczony. Takie zdarzenie jest poważnym naruszeniem, który w sposób bezpośredni może doprowadzić do szkody pracodawcy oraz nieuprawnionego ujawnienia danych, a co za tym idzie odpowiedzialności pracodawcy za naruszenie. Podobnie należy uważać na dokumenty i dane w wersji papierowej. Zdarza się, że pracownik gubi wydruki, które wykorzystywał w trakcie pracy zdalnej. Dlatego też regulamin powinien przewidywać, że przechowywanie czy kopiowanie danych w formie papierowej jest ograniczone do absolutnie niezbędnego minimum. Należy również wskazać, że wynoszenie dokumentów z miejsca pracy zdalnej czy tym bardziej praca z takimi dokumentami w miejscach ogólnodostępnych (np. w restauracji czy w parku) jest niedozwolone.

Natomiast po zakończeniu pracy z dokumentami papierowymi, jeżeli nie są już dłużej potrzebne, powinny one zostać zniszczone w sposób uniemożliwiający ich odtworzenie – należy pamiętać, że niejednokrotnie śmieci są skarbnicą informacji. Wyposażenie pracowników w odpowiednie niszczarki jest więc jak najbardziej uzasadnione. Jeżeli natomiast dokumenty w wersji papierowej muszą być przechowywane w domu pracownika to również należy zadbać o to, aby były one zabezpieczone – pozostawienie ich na biurku bez zabezpieczenia, nawet we własnym domu, nie gwarantuje zachowania ich w poufności.

Same regulacje jednak nie wystarczą – należy pamiętać aby pracownicy zdalni mieli świadomość obowiązujących zasad i posiadali praktyczną wiedzę jak prawidłowo chronić dane w trakcie pracy spoza biura. Dlatego też kolejnym elementem jest przeprowadzenie szkolenia lub instruktażu dla pracowników, tak aby zminimalizować ryzyko incydentu.

Powyższe kwestie nie mogą zostać pominięte, ponieważ za wszelkie naruszenia ochrony danych odpowiada pracodawca jako administrator danych osobowych. Dlatego też należy niezwłocznie wdrożyć zasady ochrony danych przy pracy zdalnej bez czekania na zmianę przepisów, czy też co gorsze, na pierwszy incydent związany z naruszeniem ochrony danych. Jest to również kwestia istotna dla pracowników, ponieważ za ujawnienie danych mogą odpowiedzieć dyscyplinarnie, łącznie ze zwolnieniem z winy pracownika.

 

 

Autor: Paweł Sych

Radca prawny, starszy prawnik zarządzający Zespołem Ochrony Danych, kancelaria PCS Paruch Chruściel Schiffter | Littler Global

Rekomendowane

Musisz być zalogowany aby dodać komentarz Login