Już ponad rok temu Prezes Urzędu Ochrony Danych Osobowych opublikował informacje dotyczące ochrony danych osobowych podczas pracy zdalnej. Problem ten jednak przez rok nie zniknął. Wręcz przeciwnie, wydaje się być jeszcze bardziej aktualny przez proponowany projekt nowelizacji, który ma na stałe wprowadzić pracę zdalną do Kodeksu Pracy. W projekcie mamy do czynienia z nieuregulowanym wcześniej w Kodeksie Pracy obowiązkiem pracodawcy, tj. określenia zasad ochrony danych, które przekazuje on pracownikowi wykonującemu pracę w trybie zdalnym.
Samo określenie zasad ochrony danych jednak nie wystarczy, pracodawca ma być również zobowiązany, w miarę potrzeby, do przeszkolenia pracownika w tym zakresie. Kolejną zmianą w tej kwestii ma być nałożony na pracownika wykonującego pracę zdalną obowiązek potwierdzenia zapoznania się z wewnętrznymi regulacjami i zasadami ochrony danych poprzez formę elektroniczną lub papierową oraz w następstwie przestrzeganie wewnętrznych regulacji.
Na ten moment Kodeks Pracy odnosi się jedynie do kwestii ochrony danych osobowych w odniesieniu do telepracy, przepisy szczególne również nie określają wymogów i obowiązków związanych z ochroną danych podczas pracy zdalnej. Obecnie przedsiębiorcy powinni zapewniać odpowiednie zabezpieczenia zgodnie z przepisami RODO.
Zanim wejdą w życie zmiany Kodeksu Pracy warto więc przypomnieć sobie przepisy wprowadzone Rozporządzeniem RODO i obowiązki, jakie ciążą na pracodawcach i pracownikach w związku z tą regulacją.
Niewątpliwie najczęstszym problemem jest fakt przetrzymywania dużych ilości informacji i danych poza siedzibą firmy (na przykład w prywatnym mieszkaniu pracownika). Ten problem ma miejsce zarówno w przypadku danych przechowywanych w formie elektronicznej, jak i różnego rodzaju dokumentów papierowych. W związku ze zwiększonym ryzykiem utraty danych podczas pracy zdalnej czujność pracodawcy powinna być podwyższona. W tym zakresie pracodawca powinien przedstawić swojemu pracownikowi procedury przesyłania i korzystania z danych poza siedzibą przedsiębiorstwa, nie czekając na nowelizację Kodeksu Pracy.
Samo RODO nie zawiera przepisów bezpośrednio dotyczących pracy zdalnej, zgodnie jednak z treścią art. 32 RODO ważne jest stosowanie adekwatnych środków zabezpieczeń technicznych i organizacyjnych, w celu zapewnienia stopnia bezpieczeństwa, które odpowiadać będzie konkretnemu ryzyku naruszenia praw lub wolności. Tak więc stosowanie środków zabezpieczających powinno zostać dobrane indywidualnie do danego przypadku i typu wykonywanej pracy.
W Polsce aktualnie wzrasta ilość skarg dotyczących przetwarzania danych osobowych w warunkach pracy zdalnej. Najczęstszym winowajcą jest prywatny komputer pracownika, na którym tymczasowo przechowuje on poufne informacje, np. dane osobowe klientów czy kontrahentów. Według ekspertów, pracodawcy bardzo często bagatelizują ten problem i ryzyko, które może wynikać z ich zaniedbania.
Kolejnym przepisem, na który powinni zwrócić uwagę przedsiębiorcy, jest art. 24 ust. 1 RODO. Nakłada się nim na administratora danych obowiązek wdrożenia odpowiednich środków zabezpieczających oraz ich uaktualniania, a w razie potrzeby – poddawania odpowiednim przeglądom. W związku z tym, że zmieniła się sytuacja, w której znajduje się przedsiębiorca oraz pracownik – zmienić powinny się też zabezpieczenia oraz regulacje wewnątrz firmy.
Należy też pamiętać, że administratorem danych osobowych, które przetwarzane są przez pracownika pracującego zdalnie, jest pracodawca i to na nim spoczywa główny obowiązek ochrony danych poprzez wdrożenie i przestrzeganie zasad bezpieczeństwa. Pracownikowi natomiast przysługuje prawo posługiwania się i przetwarzania danych wyłącznie w celach służbowych, czyli w związku z wykonywaniem powierzonej mu pracy, zgodnie z wytycznymi pracodawcy.
Podsumowując, przedsiębiorcy, zatrudniający pracowników świadczących pracę w formie zdalnej, powinni dostosować istniejące już regulacje wewnętrzne firmy lub wprowadzić nowe, oparte na zasadach wynikających z obowiązujących przepisów dotyczących ochrony danych.