Praca zdalna a RODO

Konieczność zapewnienia odpowiedniej ochrony danych osobowych nabiera szczególnego znaczenia, w sytuacji gdy dane osobowe są przetwarzane w ramach wykonywanej przez pracownika pracy zdalnej. O ile bowiem w trakcie pracy w trybie stacjonarnym to pracodawca jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, które pozwolą zapewnić odpowiedni stopień ochrony danych osobowych, o tyle w trakcie wykonywania zadań poza siedzibą administratora danych to niejako na pracownika zostaje przeniesiony obowiązek zadbania o odpowiednie zabezpieczenia danych osobowych.

Należy jednak rozróżnić sytuacje, w których to pracodawca dostarcza pracownikowi odpowiednie narzędzia do bezpiecznej pracy zdalnej, np. możność łączenia się z użyciem technologii VPN, od możliwości, gdy pracownik pracuje w domu z użyciem własnego sprzętu. W tym pierwszym przypadku obowiązki pracownika w zakresie ochrony danych osobowych ograniczają się w zasadzie do przestrzegania wdrożonych procedur i używania wyłącznie dostarczonych przez pracodawcę narzędzi.

W tym drugim przypadku pracownik musi nie tylko stosować się do procedur i wytycznych przygotowanych przez pracodawcę, ale też samodzielnie zadbać o odpowiednie zabezpieczenia wykorzystywanego sprzętu i narzędzi do przetwarzania danych osobowych.

Podstawowe środki bezpieczeństwa rekomendowane pracownikom

Z myślą o pracownikach, którzy wykonują pracę zdalną, z użyciem własnego sprzętu, Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) w komunikacie z dnia 17 marca 2020 r., pt. „Ochrona danych osobowych podczas pracy zdalnej”[1], wydał rekomendacje, w których zawarł podstawowe zasady, jakim należy się kierować w trakcie pracy zdalnej, w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych.

Wśród najważniejszych wytycznych wskazanych przez PUODO znalazły się następujące zalecenia:

  • postępowanie zgodnie z przyjętą w organizacji procedurą bezpieczeństwa danych osobowych,
  • korzystanie wyłącznie z zaufanych źródeł dostępu do sieci oraz w miarę możliwości stosowanie VPN, szyf­rowania komunikacji,
  • zabezpieczenie sprzętu i dokumentów przed dostępem osób postronnych, w tym zabezpieczenie sprzętu odpowiednimi hasłami, wylogowanie się z programu, w którym przetwarzane są dane osobowe przed opuszczeniem miejsca pracy, w miarę możliwości ograniczenie ryzyka utraty lub kradzieży sprzętu,
  • aktualizowanie systemu operacyjnego i oprogramowania wykorzystywanego do pracy,
  • aktualizowanie programu antywirusowego,
  • w przypadku utraty lub kradzieży sprzętu lub dokumentów podjęcie, w miarę możliwości, niezbędnych kroków, aby przeciwdziałać skutkom utraty danych (zgłoszenie kradzieży policji, pracodawcy), jeśli to możliwe wyczyszczenie zdalnie pamięci urządzenia, zmiana hasła dostępu do aplikacji, chmury itp.

Wykorzystanie dokumentacji papierowej zawierającej dane osobowe w pracy zdalnej

W kontekście pracy zdalnej należy też zwrócić uwagę na komunikat PUODO z dnia 4 maja 2020 r., pt. „Dokumentacja papierowa zawierająca dane osobowe a praca zdalna”[2], w którym PUODO szczegółowo wyjaśnia, kiedy i na jakich zasadach pracownicy mogą wykorzystywać papierową dokumentację w trakcie pracy zdalnej.

Przede wszystkim PUODO wskazuje, że „pracodawca, decydując się na umożliwienie pracownikom korzystania podczas pracy zdalnej z dokumentacji papierowej, musi podjąć działania mające na celu ograniczenie ryzyka związanego z utratą dostępności, integralności oraz poufności danych. Pracodawca musi ocenić niezbędność wykorzystywania dokumentacji papierowej podczas p...

Dalsza część jest dostępna dla użytkowników z wykupionym planem