Od 7 kwietnia 2023r praca zdalna została wskazana w Kodeksie Pracy jako jedna z możliwych form świadczenia pracy. Mogą z niej korzystać pracownicy na wszystkich stanowiskach pod warunkiem, że możliwe jest wykonanie ich pracy w formie zdalnej.
Praca zdalna zrobiła trochę zamieszania w zakresie ochrony danych osobowych, bo pojawiają się nowe ryzyka, nowe podatności z którymi musimy umieć sobie radzić np. utrata poufności, integralności, dostępności pamiętając równocześnie, że zarządzanie ryzykiem to proces, a nie projekt.
Wprowadzenie pracy zdalnej do polskiego porządku prawnego spowodowało, że osobom nadzorującym prawidłową ochronę danych osobowych przybyło obowiązków związanych z monitorowaniem przestrzegania przepisów rozporządzenia RODO.
Nawet jeżeli wcześniej w organizacji była możliwość pracy zdalna, to w aktualnej sytuacji jest konieczność weryfikacji, czy jest zorganizowana w sposób bezpieczny i wykazania, że przepisy o ochronie danych osobowych są przestrzegane.
Podczas pracy zdalnej, nie zależnie od jej rodzaju – całkowita, częściowa, okazjonalna – podstawą jest zachowanie bezpieczeństwa przetwarzanych danych osobowych zarówno przez pracodawcę jak i pracownika. Dlatego zarówno przepisy zarówno Kodeksu Pracy jak i rozporządzenia RODO nakładają na obie strony szereg obowiązków w tym zakresie i wprost mówią o procedurach ochrony danych osobowych, których należy przestrzegać
Co to oznacza dla organizacji w praktyce?
Konieczność wprowadzenia nowej dokumentacji w zakresie ochrony danych osobowych oraz zmian w już posiadanej.
Obowiązki wynikające z rozporządzenia RODO dla procesów określonych w nowelizacji Kodeksu Pracy
- Nowa dokumentacja
- Przygotowanie zmian w Regulaminie Pracy,
- Opracowanie załącznika „Procedury ochrony danych osobowych w pracy zdalnej”,
- Przygotowanie pracowników do ochrony danych osobowych w warunkach pracy zdalnej: Szkolenie + Test sprawdzający gotowość pracownika do świadczenia pracy zdalnej w zakresie ochrony danych,
- Przygotowanie Listy Kontrolnej pozwalającej na weryfikację bezpieczeństwa pracy zdalnej oraz wykazania, że przepisy RODO są w firmie monitorowane.
- Zmiany w posiadanej dokumentacji
- Wykonanie analizy privacy by design/default (art. 25),
- Szacowanie ryzyka naruszenia praw lub wolności osób, których dane dotyczą w celu doboru zabezpieczeń ( art.32),
- Wdrożenie środków techniczno-organizacyjnych zapewniających przetwarzanie zgodne z RODO ( art. 24),
- Wpisanie nowych procesów w RCP ( art.30),
- Aktualizacja Polityki Retencji (art.5),
- Przygotowanie klauzul informacyjnych dla osób których dane dotyczą (art. 13),
- Podpisanie umów powierzenia – jeżeli będzie taka potrzeba ( art.28).
Obowiązki wynikające z nowelizacji Kodeksu Pracy
- 67(26)&1 i 2 – określa procedury ochrony danych osobowych, przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie oraz odbiera od pracownika potwierdzenie dotyczące zapoznania się z procedurami oraz zobowiązanie do ich przestrzegania,
- 67(25) &1 – zapewnia pracownikowi wykonującemu pracę zdalną materiały i narzędzia pracy w tym urządzenia techniczne, niezbędne do wykonania pracy zdalnej,
- 67 (24) &1 pkt 4 – zapewnia pracownikowi szkolenia i pomoc techniczną.
Praca w domu jest wygodna, ale dla pracodawcy oznacza większe ryzyko ujawnienie informacji czyli powstania incydentu. Dlatego pracownicy muszą wiedzieć jak chronić przetwarzane dane osobowe w warunkach domowych.
Wdrożenie pracy zdalnej powoduje szereg zmiany w procesie przetwarzania danych na które musimy zwrócić uwagę np. zmiana miejsca jej wykonywania, sposobu komunikacji, dostęp zdalny do infrastruktury organizacji, wykorzystywanie dokumentów w formie papierowej lub nośników dla formy elektronicznej, utylizacja danych czy sposób przenoszenia sprzętu i dokumentów. Praca zdalna może być korzystna i dla pracodawcy i dla pracownika pod warunkiem, że jest bezpieczna.
Jak zapewnić to bezpieczeństwo? Kilka porad praktycznych.
- Bezpieczeństwo fizyczne i środowiskowe pracy zdalnej
Należy wydzielić odpowiednią przestrzeń do pracy, aby osoby postronne nie miały dostępu do sprzętu, dokumentów oraz służbowych danych przetwarzanych przez zdalnego pracownika. Jego obowiązkiem jest zadbanie, żeby był jedyną osobą, która ma dostęp do informacji będących własnością pracodawcy. Domownicy nie mogą korzystać z jego sprzętu służbowego, znać jego loginy czy hasła.
- Bezpieczeństwo sprzętu komputerowego
Urządzenia i oprogramowanie przekazywane przez pracodawcę służą wyłącznie do wykonywania obowiązków służbowych. Dlatego należy postępować zgodnie z przyjętą w organizacji procedurą bezpieczeństwa tzn. nie instalować dodatkowych aplikacji czy oprogramowania, sprawdzić czy urządzenia mają niezbędne aktualizacje systemowe i antywirusowe, blokować komputer odchodząc od stanowiska pracy oraz zabezpieczać komputer silnymi hasłami dostępu i wielopoziomowym uwierzytelnianiem. Ograniczy to ryzyko w przypadku kradzieży lub zgubienia na sprzętu. W momencie zaistnienia takiej sytuacji należy natychmiast podjąć kroki przewidziane w Regulaminie Bezpieczeństwa, a o ile jest to możliwe wyczyścić zdalnie pamięć urządzenia.
- Bezpieczna poczta e mailowa
Należy używać przede wszystkim służbowych kont e mailowych, a jeśli zdarzy się konieczność wykorzystania prywatnej poczty, trzeba treść i załączniki zaszyfrować. Należy też sprawdzać czy wysyłana przez nas informacja ma właściwego adresata zwłaszcza, jeżeli wiadomość zawiera dane szczególnej kategorii. Podobnie należy sprawdzać nadawcę e maila i nie otwierać wiadomości od nieznanego adresata, a zwłaszcza załączników oraz nie klikać w link dołączony do tej wiadomości bo to może być atak phishingowy. Nie można przesyłać e mailem zaszyfrowanej informacji i hasła. Trzeba to zrobić na innym urządzeniu bo ten kto ma dostęp do poczty bez problemu odszyfruje obie wiadomości.
4.Bezpieczeństwo sieci
Należy sprawdzić sposób łączenia z Internetem (domowe łącze pracownika czy Internet dostarczony przez pracodawcę) oraz sposób zabezpieczenia Wi-Fi.
Ważne aby używać tylko zaufanego dostępu do sieci lub chmury i przestrzegać zasad i procedur dotyczących logowania i udostępniania danych oraz zadbać o bezpieczny sposób archiwizacji danych.
PODSUMOWUJĄC
Obowiązkową Zasadę rozliczalności ( art.5.ust.1 ) realizujemy poprzez stosowanie odpowiednich środków technicznych i organizacyjnych tzn. wprowadzamy niezbędne procedury, dokumentację oraz konfigurujemy środowisko informatyczne tak, aby zapewnić nie tylko ochronę danych osobowych, ale również poczucie bezpieczeństwa podmiotom danych(właścicielom danych).
Konsekwencje niewdrożenia przepisów rozporządzenia RODO to:
- generowanie incydentów bezpieczeństwa,
- możliwość wycieku danych osobowych,
- zmniejszenie wydajności i efektywności pracy oraz narażenie się na dodatkowe koszty,
- kontrola UODO + potencjalna kara administracyjna.
Oczywiście jeszcze nie wiemy jakie działania kontrolne podejmie Prezes UODO w tym zakresie, ale na pewno warto się wcześniej przygotować zwłaszcza, że jak pokazuje niniejszy artykuł zadań do realizacji jest sporo.
Teresa Grabowska
TG-Doradztwo i Zarządzanie