Czy świadczenie przez pracownika pracy zdalnie musi oznaczać, że pracodawca narusza RODO i mniej dba o ochronę danych osobowych? Uspokajamy – nie musi.
W opinii wielu pracodawców RODO uniemożliwia podjęcie działań związanych z zapobieganiem rozprzestrzenianiu się COVID-19. Wielu z nich wskazuje m.in. na ograniczenia związane z monitorowaniem stanu zdrowia pracowników (o czym piszemy szerzej w tym artykule), inni obawiają się o bezpieczeństwo danych przetwarzanych poza siedzibą przedsiębiorcy.
Praca zdalna nie musi oznaczać utraty przez przedsiębiorcę kontroli nad pracownikiem oraz poufnymi informacjami, pod warunkiem przestrzegania kluczowych obowiązków spółki jako pracodawcy oraz administratora danych osobowych.
Bezpieczeństwo danych kontrahentów i pozostałych pracowników – jak je pogodzić z pracą zdalną?
Pracodawca zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia bezpieczeństwa danych. O tym obowiązku należy pamiętać w szczególności w przypadku gdy praca jest wykonywana poza siedzibą / lokalem przedsiębiorcy, ponieważ w takich okolicznościach przedsiębiorca ma mniejszy wpływ na bezpieczeństwo danych – poczynając od sposobu łączenia się z serwerem, a na bezpieczeństwie sieci Internet kończąc.
Wśród przykładowych zapieczeń RODO wymienia w szczególności pseudonimizację i szyfrowanie danych osobowych oraz zdolność do ciągłego zapewnienia poufności systemów przetwarzania. Te kryteria spełniają w szczególności takie rozwiązania jak:
- połączenia VPN i SSL,
- szyfrowanie nośników urządzeń mobilnych oraz pamięci wewnętrznej, w tym kart pamięci,
- dbałość o bieżące aktualizacje oprogramowania,
- wymuszanie okresowej zmiany haseł oraz ich odpowiedniego stopnia skomplikowania,
- skonfigurowane ekranu blokady urządzeń mobilnych (pin / hasło / symbol graficzny / inne),
- zakaz korzystania z urządzeń służbowych do celów prywatnych,
- blokada łączenia się komputera z niezabezpieczonymi / publicznymi sieciami Wi-Fi,
- dwuetapowa weryfikacja tożsamości użytkownika,
- gradacja dostępów do poszczególnych obszarów serwera.
Ponadto pracownicy użytkując przenośne nośniki danych osobowych, takie jak laptop czy telefon komórkowy powinny zachowywać szczególną ostrożność podczas ich transportu, przechowywania i użytkowania poza obszarem pracodawcy.
Przestrzeganie powyższych reguł ogranicza ryzyko naruszania wymogów ochrony danych osobowych
Dokumentacja obowiązków i uprawnień pracowników kluczem do sprawnej i bezpiecznej organizacji pracy zdalnej
W zapewnieniu bezpieczeństwa danych osobowych oraz informacji mogących stanowić tajemnicę przedsiębiorstwa podczas pracy zdalnej może pomóc zwłaszcza:
- wdrożenie polityki pracy zdalnej,
- opisanie obowiązków pracownika związanych z pracą zdalną w poleceniu takiej pracy,
- wprowadzenia stosownych postanowień do regulaminu pracy,
- odpowiednio dobrana komunikacja kierowana do załogi.
Monitoring pracowniczy a prywatność pracownika
Od poniedziałku pracuję w domu w związku z koronawirusem. Mój pracodawca powiedział, że w godzinach pracy mam mieć włączoną kamerkę w komputerze, tak aby widział, czy jestem przed monitorem. Czy to jest zgodne z RODO?
– czytamy na jednym z forów internetowych.
Tego typu działania pracodawcy należy uznać za monitoring wizyjny pracownika. Nie są one jednak zgodne z przepisami prawa pracy, które zakazują stosowania monitoringu jako środka wykonywania pracy przez pracownika. Mogą ponadto naruszać one prawo do prywatności pracownika, szczególnie w sytuacji, w której pracownik pracuje zdalnie z domu (w obszar kamery mogą wchodzić np. domownicy / szczegóły mieszkania itp.).
Kodeks pracy umożliwia natomiast zastosowanie innych form monitoringu podczas pracy zdalnej, w szczególności w celu zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Do takich form monitoringu można zaliczyć monitorowanie poczty e-mail oraz inne, nowoczesne formy monitorowania systemów informatycznych.
Pracodawca może stosować taki „inny” monitoring, jeśli ma służyć on ww. celowi. Należy jednak pamiętać, że zasady monitoringu powinny być uregulowane w regulaminie pracy lub w obwieszczeniu, jeżeli pracodawca nie jest obowiązany do ustalenia regulaminu.
Doradcy O&W służą wsparciem w przygotowaniu odpowiednich dokumentów lub weryfikacji komunikatów stosowanych przez pracodawców.
Autor
Zuzanna Prandecka-Walek
Senior Consultant | Adwokat
zuzanna.prandecka-walek@olesinski.com
+48 539 737 521
Opiekun Zagadnienia
Ludmiła Łuczak
Manager | Radca prawny
ludmila.luczak@olesinski.com
+48 602 721 249
Prawo pracy, Dane osobowe