Od 7 kwietnia 2023 r. pracodawcy mogą wprowadzać wykonywanie pracy w formie pracy zdalnej na podstawie przepisów Kodeksu pracy. Praca zdalna może być wykonywana w pełnym wymiarze czasu pracy (całkowicie poza siedzibą pracodawcy) albo częściowo – zarówno w siedzibie pracodawcy, jak i poza nią (na przykład 2 dni w siedzibie pracodawcy i 3 dni w domu pracownika). Umożliwienie pracownikowi wykonywania pracy zdalnej nierozerwalnie wiąże się z koniecznością wdrożenia procedur właściwej ochrony danych osobowych przetwarzanych poza siedzibą pracodawcy. Z taką procedurą pracownik powinien zostać zapoznany, a w razie potrzeby należy przeprowadzić w tym zakresie niezbędne szkolenie.

Zasady ochrony danych

Pracodawca musi określić procedury ochrony danych osobowych przyjmowanych przez pracodawcę na potrzeby wykonywania pracy zdalnej oraz przeprowadzić – w miarę potrzeby – instruktaż i szkolenie. Natomiast pracownik jest zobowiązany potwierdzić w postaci papierowej lub elektronicznej zapoznanie się z tymi procedurami oraz przestrzegać ich. I tu zasadnicze znaczenie będzie mieć też kwestia, na jakim sprzęcie pracuje pracownik – własnym czy przekazanym przez pracodawcę. Jeżeli jest to sprzęt własny, to pracownik musi zapewnić pracodawcę, iż sprzęt ten oraz wykorzystywane oprogramowanie, aplikacje zapewniają bezpieczeństwo pracy. Tu decydującą rolę może odegrać prawo pracodawcy do kontroli pracownika pracującego zdalnie.

Kontrola pracy zdalnej podlega tym samym zasadom co kontrola pracownika wykonującego pracę stacjonarnie. W przeciwieństwie jednak do kontroli przeprowadzanej u pracownika wykonującego pracę stacjonarnie, kontrola pracownika przeprowadzona w miejscu pracy zdalnej jest ograniczona prawem pracownika do prywatności. Jeżeli pracodawca w trakcie kontroli pracy zdalnej, uzgodnionej w trakcie zatrudnienia, stwierdzi uchybienia w przestrzeganiu zasad w zakresie bezpieczeństwa i higieny pracy, w tym naruszenia procedur ochrony danych osobowych, może zobowiązać pracownika do usunięcia stwierdzonych uchybień we wskazanym terminie albo cofnąć zgodę na wykonywanie pracy zdalnej przez tego pracownika.

Nie ma możliwości przygotowania gotowego wzoru procedury ochrony danych osobowych. Jej forma i zapisy zależą bowiem od zakresu i charakteru danych osobowych, jakie będzie przetwarzał pracownik podczas pracy zdalnej. Ponadto zależą od tego czy będzie pracował na systemach informatycznych czy też z dokumentacją papierową. Znaczenie będzie mieć również charakter samego administratora danych, to, czy jest jednostką publiczną, czy prywatnym podmiotem. Wybrane zapisy, które w takiej procedurze można wykorzystać, przedstawiono w ramce.

Etapy pracy zdalnej

Kluczowe etapy wprowadzania pracy zdalnej to:

1) zawarcie porozumienia ze związkami zawodowymi albo wydanie regulaminu określającego zasady wykonywania pracy zdalnej (w tym zasady pokrywania kosztów, zasady kontroli wykonywania pracy czy warunków bhp); jeżeli takich dokumentów nie przyjęto, to pracodawca określa zasady wykonywania pracy zdalnej w indywidualnym porozumieniu zawartym z pracownikiem,

2) opracowanie oceny ryzyka zawodowego dla pracy zdalnej i opracowanie informacji dla pracowników na podstawie wyników tej oceny,

3) określenie procedur ochrony danych na potrzeby wykonywania pracy zdalnej,

4) przekazanie pracownikowi informacji opracowanej na podstawie oceny ryzyka zawodowego i odebranie od niego oświadczeń przed dopuszczeniem do wykonywania pracy zdalnej, iż:

  • zapoznał się z przygotowaną przez pracodawcę oceną ryzyka zawodowego i informacją zawierającą zasady bezpiecznego i higienicznego wykonywania pracy zdalnej oraz zobowiązuje się do ich przestrzegania,
  • na stanowisku pracy zdalnej w miejscu wskazanym przez pracownika i uzgodnionym z pracodawcą są zapewnione bezpieczne i higieniczne warunki tej pracy,

5) odebranie od pracownika oświadczenia o zapoznaniu się z procedurami ochrony danych osobowych,

6) wymiana informacji niezbędnych do porozumiewania się za pomocą środków bezpośredniego porozumiewania się na odległość lub w inny sposób uzgodniony z pracodawcą.

Przykładowe zapisy procedury ochrony danych osobowych w pracy zdalnej
Zasady bezpieczeństwa w miejscach świadczenia pracy zdalnej
1.Pracując w miejscu pracy zdalnej, należy zapewnić, aby osoby nieuprawnione nie posiadały wglądu/dostępu do treści danych służbowych na nośnikach, komputerach, laptopach i w dokumentacji papierowej.
2.W miejscach publicznych, jak kawiarnie, restauracje, galerie handlowe, kolej, należy zabezpieczać się przed dostępem osób nieupoważnionych.
3.W miejscach publicznych nie należy pozostawiać bez nadzoru dokumentów, nośników i sprzętu.

____________________________
Warunki pracy zdalnej

1.Pracodawca zapewnia pracownikowi wsparcie w ustanowieniu bezpiecznego dostępu do infrastruktury IT organizacji poprzez np. użycie zdalnego pulpitu/VPN/innych aplikacji.
2.Do pracy zdalnej pracownik powinien wykorzystywać tylko i wyłącznie służbowe programy i systemy udostępnione mu przez pracodawcę.
3.Pracodawca zastrzega możliwość stosowania oprogramowania służącego do monitorowania wykonywania pracy przez pracownika.
4.Zgodnie z ustaleniami między pracodawcą a pracownikiem, pracodawca zapewnia pracownikowi służbowe urządzenia, jak komputer stacjonarny, laptop, smartfon, tablet, inne.
5.Urządzenia służbowe mogą być wydawane pracownikowi zgodnie z procedurą korzystania ze sprzętu przenośnego.
6.Urządzenia posiadają włączone automatyczne aktualizacje, zapory systemowe (firewall), program antywirusowy oraz tryb automatycznego blokowania urządzenia po dłuższym braku aktywności oraz blokadę portów USB.
7.Logowanie do systemu operacyjnego urządzeń wymaga uwierzytelnienia, np. poprzez indywidualny login i hasło użytkownika, kod PIN, token.
8.W sytuacji gdy urządzenia zawierają na nośnikach dane osobowe, powinny być przechowywane na zaszyfrowanym dysku/partycji.
9.W przypadku przesyłania plików zawierających dane osobowe lub dane operacyjne organizacji, należy korzystać z narzędzi/aplikacji zapewnionych przez pracodawcę lub za wyrażeniem zgody na użycie aplikacji zewnętrznych (np. serwer sieciowy, FTP, weTransfer, Google Drive, DropBoX, inne), zabezpieczonych co najmniej hasłem. Rekomendowane jest zastosowanie w tych przypadkach mechanizmu podwójnego uwierzytelnienia.
10.W aplikacjach użytych do pracy zdalnej w przeglądarce internetowej należy wyłączyć autouzupełnianie i zapamiętywanie hasła.
11.Pracownik w ramach uzgodnień z pracodawcą może być zobowiązany do wykonywania kopii bezpieczeństwa, którą powinien przechowywać na odrębnym nośniku danych, za którego zabezpieczenie odpowiada.
12.Problemy w działaniu udostępnionego sprzętu lub oprogramowania należy zgłaszać niezwłocznie służbom IT.

____________________________
Zasady postępowania z dokumentami w formie papierowej

1.Jeżeli do pracy zdalnej niezbędny jest dostęp do dokumentów papierowych, pracownik zgłasza do pracodawcy prośbę o możliwość ich zabrania do domu na czas wykonywania pracy zdalnej lub wykonania niezbędnych kopii.
2.Podczas przewożenia dokumentów do miejsca wykonywania pracy zdalnej należy zachować szczególną ostrożność, aby nie doszło do ich zagubienia lub kradzieży. Trzeba zapewnić bezpieczne przewożenie dokumentacji papierowej np. w teczkach, aktówkach, plecakach.
3.Dokumentacja w miejscu wykonywania pracy zdalnej powinna być zabezpieczona przed dostępem nieupoważnionych osób tam przebywających, np. w szafie, biurku zamykanym na klucz.
4.Zabrania się poza miejscem wykonywania pracy zdalnej, pozostawiania dokumentów w miejscach dostępnych dla osób nieupoważnionych.
5.Po zakończeniu pracy dokumenty należy zwrócić pracodawcy lub zniszczyć je w niszczarce, zgodnie z przyjętymi u pracodawcy zasadami niszczenia dokumentacji papierowej, zawierającej dane osobowe.

Zasady korzystania z poczty elektronicznej

1.Komunikacja powinna odbywać się za pomocą elektronicznej poczty służbowej.
2.Pliki zawierające dane osobowe przed wysłaniem ich do odbiorców, powinny być zabezpieczone hasłem, które należy przekazać odbiorcy telefonicznie, SMS lub inną drogą komunikacji.
3.W przypadku zabezpieczenia plików hasłem, należy stosować się do obowiązującej u Pracodawcy Polityki haseł, tj. hasło powinno składać się z minimum (np. 12) znaków: duże i małe litery i cyfry oraz znaki specjalne.
4.Przy wysłaniu wiadomości należy upewnić się, że jest ona kierowana do odpowiedniego odbiorcy.
5.Nie należy otwierać załączników poczty pochodzącej z nieznanych, nietypowych źródeł lub podszywających się pod rzeczywistych nadawców.
6.Zakazane jest otwieranie hiper-linków, gdyż grozi to zainfekowaniem komputera.
7.Nie wolno wprowadzać loginów i haseł do formularzy zawartych w poczcie.
8.Należy zgłaszać służbom IT wszystkie przypadki podejrzanych e-maili, plików w e-mailach, prób wyłudzeń haseł dostępowych, kontaktów podejrzanych osób o próby uzyskania nieuprawnionego dostępu do danych.
9.W przypadku wysyłania informacji do odbiorców, z zastrzeżeniem ich poufności lub gdy ich adresy e-mail są adresami prywatnymi, należy skorzystać z opcji Ukrytej kopii (UDW/BCC), tzn. adresy należy wpisać w ww. pole.

___________________________
Obowiązek zachowania poufności i ochrony danych osobowych przez pracownika

1.Pracownik wykonujący pracę zdalną jest zobowiązany do zabezpieczenia danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem, nieuprawnionym dostępem do danych osobowych oraz przetwarzaniem.
2.Pracownik jest zobowiązany do zachowania w tajemnicy danych osobowych, do których ma dostęp.
3.Pracownik jest zobowiązany do niewykorzystywania danych osobowych w celach niezgodnych z zakresem i celem powierzonych zadań.
4.Pracownik jest zobowiązany do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych.
5.Zabrania się przekazywania bezpośrednio lub przez telefon danych osobowych osobom nieupoważnionym lub osobom, których tożsamości nie można zweryfikować.
6.Zabrania się przekazywania lub ujawniania danych osobom lub instytucjom, które nie mogą wykazać się podstawą prawną do dostępu do takich danych. W przypadkach wątpliwych należy skontaktować się z bezpośrednim przełożonym lub Inspektorem Ochrony Danych.

____________________________
Postępowanie w przypadku naruszenia ochrony danych osobowych

1.Każdy pracownik zobowiązany jest do powiadomienia pracodawcy lub bezpośredniego przełożonego, informatyka lub Inspektora Ochrony Danych w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych.
2.Do incydentów wymagających powiadomienia należą:
 a)zdarzenia losowe zewnętrzne (utrata zasilania, utrata łączności),
 b)zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki użytkowników, utrata/zagubienie danych),
 c)umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, nieświadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania),
 d)telefoniczne próby wyłudzenia danych osobowych,
 e)kradzież, zagubienie komputerów, CD, DVD, dysków przenośnych, pendrive z danymi osobowymi,
 f)e-maile zachęcające do ujawnienia identyfikatora oraz hasła.
3.W przypadku zgubienia lub kradzieży sprzętu, dokumentów lub innych nośników informacji należy niezwłocznie zgłosić zdarzenie do pracodawcy, służbom IT, oraz jeśli jest powołany, Inspektorowi Ochrony Danych.

Źródło: gofin.pl, Gazeta Podatkowa nr 45 (2024) z dnia 5.06.2023

Autor: Marta Stefanowicz – Wasilewska