Obecna sytuacja na świecie zmusiła wiele osób do pracy zdalnej. Ten rodzaj wykonywania obowiązków zawodowych wiąże się jednak z pewnymi komplikacjami jeśli chodzi o bezpieczeństwo danych. Co zrobić, by dane te były bezpieczne i jak pracować zdalnie, nie naruszając prawa?
Praca poza siedzibą pracodawcy niesie ze sobą wiele zagrożeń. Są one związane z bezpieczeństwem danych, których używamy na co dzień. W niektórych branżach ten rodzaj pracy nie jest niczym nowym. Pewne z nich musiały przenieść się w bardzo szybkim tempie na home office. Nie zawsze pracownicy wykonujący swoje obowiązki z domu, mają do dyspozycji sprzęt od pracodawcy. To z kolei sprawia, że są oni zmuszeni pracować na swoim domowym sprzęcie. Domowe komputery często są gorzej zabezpieczone, co wiąże się z ryzykiem związanym z bezpieczeństwem danych.
Polecenie wykonywania pracy w sposób zdalny usankcjonowano w ustawie o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, konkretniej w artykule 3, ust. 1. Polecenie pracy zdalnej nie jest jednak obowiązkiem pracodawcy. Nie wszędzie istnieje bowiem możliwość wykonywania obowiązków służbowych w taki sposób. Jeżeli natomiast pracodawca podejmie decyzję o delegowaniu pracownika do pracy zdalnej, decyzja ta będzie miała wpływ na wiele aspektów. Jednym z nich jest przetwarzanie danych osobowych.
Polecenie pracy zdalnej wiązało się z koniecznością ograniczenia rozprzestrzeniania się wirusa. Ustawodawca nie określił szczegółowo w ustawie warunków dotyczących pracy zdalnej. Wydawać by się mogło, że pozostawił decyzje dotyczące pracy zdalnej pracodawcy. Nie należy jednak zapominać, że obowiązujące regulacje prawne nakładają na pracodawcę konieczność zadbania o odpowiednie bezpieczeństwo danych. Do możliwych rozwiązań stosowanych przez pracodawcę należą różnego rodzaju środki techniczne oraz organizacyjne.
Jednym z obowiązków administratora jest zapewnienie należytego poziomu bezpieczeństwa danych. Administrator danych jest odpowiedzialny za realizowanie zasad dotyczących przetwarzania danych osobowych. Zasady te zawarto w artykule 5. ustawy o ochronie danych osobowych. Administrator ponadto musi być w stanie wykazać przestrzeganie owych zasad. Oznacza to, że powinien dysponować dowodami potwierdzającymi zastosowanie adekwatnych środków oraz ich wdrożenie.
Przetwarzanie danych powinno być zgodne z RODO. Ponadto należy je aktualizować w zależności od potrzeb. Przepisy dotyczące RODO nie zabraniają przy tym pracy zdalnej. Warto zaznaczyć, że przed wdrożeniem pracy zdalnej administrator danych powinien zweryfikować i ocenić ryzyko, z jakim wiąże się zmiana sposobu świadczenia pracy. Konieczne jest również dobranie odpowiednich środków organizacyjnych i technicznych. Ich celem jest zapobieganie niebezpieczeństwom. Oznacza to, że każdy administrator danych powinien nawet po rozpoczęciu pracy zdalnej, dokonywać przeglądu rozwiązań, które stosuje się w danym przedsiębiorstwie.
W kontekście RODO bardzo ważne jest zwrócenie uwagi na art. 5 ust. 1 lit. f, w którym zaznaczono, że wszelkie informacje o szczególnym znaczeniu muszą być przetwarzane w sposób, który zapewni odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem i uszkodzeniem, za pomocą odpowiednich środków.
Znaj swoje prawa. Sprawdź artykuły z zakresu prawa pracownika oraz prawa pracodawcy.
Wytyczne dotyczące pracy zdalnej przygotował Urząd Ochrony Danych Osobowych. W dokumencie zawarto informacje na temat zapewnienia odpowiedniego bezpieczeństwa danych, które jest szczególnie zagrożone ze względu na pracę zdalną.
Ze względu na konieczność pracy zdalnej zaleca się sporządzanie odpowiednich dokumentów, zawierających stosowne regulacje dotyczące pracy zdalnej. Regulaminy oraz instrukcje pracy zdalnej powinny zawierać zasady dotyczące dostępności pracowników podczas dnia pracy (przedziały godzinowe, w których pracują). W tego typu regulacjach należy zawrzeć również zasady raportowania wykonanych obowiązków służbowych, metody komunikacji pomiędzy pracownikami. Dużą rolę w zapewnieniu bezpieczeństwa danych podczas pracy zdalnej odgrywają także ustalenia dotyczące przesyłania i zapisywania istotnych dokumentów. Ważne jest także określenie zasad odpowiedzialności za powierzoną dokumentację.
Pracownik delegowany do pracy zdalnej powinien mieć zapewniony odpowiedni sprzęt. Konieczne jest, by sprzęt ten spełniał określone normy bezpieczeństwa. Sprzęt powinien ponadto posiadać rozwiązania umożliwiające komunikację pracownika z pracodawcą czy weryfikowanie wypełnianych przez pracownika obowiązków. W praktyce jednak nie wszyscy pracownicy mają możliwość wykonywania obowiązków zawodowych ze sprzętu służbowego. Możliwe jest dopuszczenie przez organizację możliwości pracy na własnym sprzęcie komputerowym (BYOD — Bring Your Own Device). RODO nie zabrania stosowania takiej praktyki. Pracodawca jednak często nie wie, jakie zabezpieczenia ma sprzęt należący do pracownika. Nie ma również możliwości sprawdzenia, czy funkcjonujące na nim programy zapewnią skuteczne bezpieczeństwo danych.
Istotne jest, by pracownicy mieli świadomość, że sprzęt służbowy może być wykorzystywany wyłącznie do wypełniania obowiązków służbowych. Nie należy go wykorzystywać do celów prywatnych, a osoby postronne nie powinny mieć dostępu do dokumentów pracodawcy, ze szczególnym uwzględnieniem dokumentów zawierających dane osobowe. Należy przy tam pamiętać, że osoby postronne to między innymi pozostali domownicy. Należy przy tym zaznaczyć, że prowadząc z domu rozmowy na istotne tematy służbowe, należy zachować poufałość. Podczas pracy na sprzęcie służbowym niedopuszczalne jest wykorzystywanie go do czynności niezwiązanych z pracą. Dodatkowo nie powinny korzystać z niego inne osoby. Zatem udostępnianie służbowego komputera dzieciom w celu umożliwienia im uczestnictwa w zajęciach zdalnych może nieść poważne konsekwencje dla pracownika.
Jak zaznaczono w dokumencie stworzonym przez UODO, nie należy również instalować dodatkowych aplikacji i oprogramowania, które niezgodne są z procedurą bezpieczeństwa organizacji. Ponadto urządzenia, z których korzystamy, powinny mieć zainstalowane wszystkie niezbędne aktualizacje. Konieczne może być również zainstalowanie programów antywirusowych.
Poza możliwościami cyberataku istnieje prawdopodobieństwo, że padniemy ofiarami przestępstwa także w inny sposób, np. poprzez kradzież sprzętu komputerowego. Niektóre oprogramowania dają szansę zarządzania sprzętem w sposób zdalny. Dzięki temu możliwe jest wyczyszczenie danych ze sprzętu w przypadku jego utraty. Dodatkowo pracownicy zgodnie z zaleceniami UODO powinni zadbać w sposób szczególny o to, by nie zgubić urządzeń wykorzystywanych do pracy zdalnej. Jeśli natomiast pracownik zgubi urządzenie, na którym znajdują się istotne informacje, powinien zadbać o jego wyczyszczenie w sposób zdalny.
Pracując zdalnie, powinniśmy zadbać o odpowiednią organizację miejsca pracy. Ma ona na celu zabezpieczenie danych, z których korzystamy przed wglądem osób trzecich. Jednym z tego typu zabezpieczeń jest wylogowanie się ze służbowego sprzętu w momencie, kiedy z niego nie korzystamy. Konieczne jest również chronienie służbowych dokumentów przed pozostawianiem ich w widocznych miejscach, gdzie mogą mieć do nich dostęp inne osoby. Jeśli w celu wykonania naszej pracy musimy korzystać z dokumentacji w formie papierowej, powinniśmy zgłosić ten fakt naszemu przełożonemu.
Należy jednak pamiętać, że wynoszenie papierowych nośników należy ograniczyć do minimum. Działanie to ma na celu zapewnienie bezpieczeństwa danych na nich zawartych. Warto zwrócić uwagę również na problem drukowania dokumentów firmowych poza miejscem pracy. Zdarza się, że pracownicy pracujący z domu drukują u siebie istotne dokumenty służbowe. To z kolei może stwarzać problem z ich zniszczeniem. Materiały takie należy zniszczyć w domu w bezpieczny sposób. Jeśli ze względu na pracę zdalną nie mamy takich możliwości, dokumenty te należy zachować w bezpiecznym miejscu. Nie należy ich wyrzucać do domowego kosza na śmieci. Po zakończeniu pracy zdalnej dokumenty takie należy zwrócić do firmy, a następnie profesjonalnie zniszczyć przy pomocy odpowiedniego sprzętu. Dokumenty służbowe nie powinny być ponadto zapisywane na urządzeniach prywatnych.
Zapoznaj się również z artykułem: Zniesławienie w Internecie – co należy wiedzieć?
Jeśli pracujemy zdalnie, powinniśmy zadbać o odpowiednie zabezpieczenie wysyłanych danych w sytuacji, gdy nieprawidłowo zaadresujemy korespondencję. Pracownicy powinni natomiast mieć zapewnione odpowiednie możliwości wymiany istotnych plików. Niewskazane jest korzystanie z prywatnych kont mailowych. Pracownicy powinni ponadto być wyczuleni na możliwość padnięcia ofiarą cyberataku ze względu na rosnące ryzyku phishingu w dobie pracy zdalnej. Każdy mail, który wymaga kliknięcia w link lub podania istotnych danych powinien wzbudzić szczególną uwagę.
Koronawirus wymusił przystosowanie się do nowej rzeczywistości, także w aspektach takich, jak bezpieczeństwo danych podczas pracy zdalnej. Jeśli interesują Cię również inne wpisy, dotyczące regulacji prawnych związanych z wirusem, zapraszamy do przeczytania pozostałych wpisów na naszym blogu prawniczym.
