Kategorie

Praca zdalna - procedury, regulaminy i zabezpieczenia RODO

Chałas i Wspólnicy
Kancelaria Prawna
Wysłanie pracowników do pracy zdalnej wymaga od pracodawcy przedsięwzięcia nawet większej ilości środków zapobiegawczych i ochronnych niż w sytuacji, gdy wszyscy pracownicy byliby normalnie w biurze – trzeba zadbać o odpowiednie procedury wewnętrzne./Fot. Shutterstock
Wysłanie pracowników do pracy zdalnej wymaga od pracodawcy przedsięwzięcia nawet większej ilości środków zapobiegawczych i ochronnych niż w sytuacji, gdy wszyscy pracownicy byliby normalnie w biurze – trzeba zadbać o odpowiednie procedury wewnętrzne./Fot. Shutterstock
Pracodawcy, którzy wysłali pracowników do pracy zdalnej powinni pamiętać o odpowiednich procedurach, regulaminach i zabezpieczeniach RODO. Przyjmowane rozwiązania pracy zdalnej już w fazie projektowania muszą być zgodne z rozporządzeniem RODO.

Praca zdalna: Czy masz wdrożone procedury, regulaminy i zabezpieczenia RODO?

Epidemia koronawirusa obfituje w sytuacje dotąd nieznane i stanowi duże wyzwanie również z perspektywy ochrony danych osobowych. Na najczęściej zadawane pytania w tym zakresie odpowiada: radca prawny, mec. Andrzej Piotr Wilk oraz aplikant radcowski, mec. Katarzyna Świerkot, eksperci ds. ochrony danych osobowych z kancelarii prawnej Chałas i Wspólnicy.

Polecamy: Kodeks pracy 2020. Praktyczny komentarz z przykładami

 „(…) nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych i we wszystkich przypadkach należy przypomnieć, że wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne. Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego.”

(dostęp: https://uodo.gov.pl/pl/138/1463)

Wysłanie pracowników do pracy zdalnej wymaga od pracodawcy przedsięwzięcia nawet większej ilości środków zapobiegawczych i ochronnych niż w sytuacji, gdy wszyscy pracownicy byliby normalnie w biurze – trzeba zadbać o odpowiednie procedury wewnętrzne.

Przyjmowane rozwiązania pracy zdalnej muszą już w fazie ich projektowania być zgodne z rozporządzeniem RODO – zasada privacy by design (art. 25 rozporządzenia RODO).

Należy pamiętać, że pracownicy mają dostęp do szczególnie istotnych danych, stanowiących nierzadko tajemnicę przedsiębiorstwa. Ich wyciek może narazić firmę na ogromne straty.

W dodatku pracownicy mają dostęp do danych osobowych. Z tego względu należy zapewnić każdemu z pracowników odpowiednie szkolenie z zakresu obowiązującej w firmie procedury bezpieczeństwa oraz zasad korzystania z narzędzi. Jak również zadbać o udokumentowanie tego faktu. Dobrze wdrożyć jest (o ile jeszcze tego nie zrobiono) oświadczenia o zachowaniu poufności oraz upoważnienia do przetwarzania danych osobowych, jak również sam rejestr takich upoważnień.

Pracodawcy, biorąc pod uwagę zawodowy charakter ich działalności i obowiązek dołożenia należytej staranności, powinni uregulować kwestie pracy zdalnej w dokumentacji wewnętrznej  tj. wdrożyć regulamin pracy zdalnej.  Jeżeli u Pracodawcy nie wdrożono jeszcze Polityki Ochrony Danych Osobowych lub Instrukcji Zarządzania Systemem Informatycznym to właśnie jest ten moment gdzie wdrożenie tych dokumentów (wobec pracy zdalnej) wydaje się niezbędne. Należałoby przemyśleć kwestie stworzenia lub aktualizacji dokumentu zawierającego wykaz zabezpieczeń, jak również dokumentacji dot. wykonywania sprawdzeń okresowych zabezpieczeń. Uzasadnione wydaje się również prowadzenie ewidencji urządzeń przenośnych, które mają dostęp do danych firmowych. Wobec rozproszenia struktury organizacji ze względu na pracę zdalną istotne jest również zadbanie o odpowiednie ewidencjonowanie pozyskanych zgód na przetwarzanie danych osobowych np. w formie ewidencji zgód. Pracodawca powinien przypominać pracownikom o konieczności dopełniania obowiązku informacyjnego wobec klientów, kontrahentów. W tym zakresie dobrze byłoby wdrożyć instrukcję lub choć krótki komunikat.  Wdrożenie ww. dokumentów nie jest tylko zbędną biurokracją. Przypomnieć, trzeba, iż art. 24 ust. 2 rozporządzenia RODO przewiduje obowiązek wdrożenia polityk ochrony danych osobowych, gdy jest to proporcjonalne w stosunku do czynności przetwarzania. Wydaje się, iż sytuacja taka ma miejsce właśnie w obecnym czasie walki z epidemią koronawirusa. Konieczność pracy zdalnej i związane z tym ryzyka i wyzwania w zakresie ochrony danych osobowych stanowią o podstawie do samoregulacji przez Administratorów danych osobowych.

Warto wskazać, że to na nich (Administratorach) spoczywa na podstawie art. 5 RODO obowiązek wykazania Urzędowi Ochrony Danych Osobowych, iż przetwarzają dane osobowe zgodnie z RODO i w tym zakresie podjęli wszystkie niezbędne kroki i narzędzia. Zwrócił na to uwagę Prezes UODO w komunikacie z dnia 17.03.2020 r. podkreślając wagę wewnętrznych zasad i procedur organizacyjnych dot. logowania, udostępniania danych i przetwarzania danych (dostęp: https://uodo.gov.pl/pl/138/1459).

Pracodawcy powinni udostępniać pracownikom odpowiedni sprzęt i oprogramowanie. Wprawdzie w komunikacie z dnia 17.03.2020 r. Prezes UODO dopuścił możliwość wysyłki korespondencji służbowej z maila prywatnego, to sytuacja ta powinna występować w drodze wyjątku i mieć charakter awaryjny. Dodatkowo Prezes UODO zwrócił również uwagę na kwestie szyfrowania i przestrzegania zasad przetwarzania danych osobowych w komunikacji mailowej – odpowiednie tytuł wiadomości itp.

Zgodnie z treścią art. 32 rozporządzenia RODO uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych;  b)zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, powinno uwzględniać się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Komunikat UODO ww. kontekście  przypomina również o kwestiach:

  • nie instalowania dodatkowych aplikacji i oprogramowania niezgodnego z wewnętrzną procedurą organizacji, np. dokumentem polityka pracy zdalnej w organizacji;
  • ciągłego zapewnienia aktualności oprogramowania, w tym systemu antywirusowego, sytemu operacyjnego;
  • zapewnienia bezpiecznej przestrzeni do pracy z danymi osobowymi;
  • stosowaniu adekwatnych haseł, wielopoziomowych uwierzytelnień;
  • podejmowaniu szczególnych środków ochrony sprzętów na których przetwarzane są dane osobowe;
  • nie przesyłaniu mailem informacji zaszyfrowanej razem z hasłem pozwalającym na jej odszyfrowanie;
  • odpowiedniej organizacji miejsca pracy w domu tak by zapewnić poufność danych osobowych (nasi domownicy, współlokatorzy nie powinni mieć do nich dostępu);
  • łączenia się z zaufanymi źródłami dostępu do sieci, oraz stosowania VPN, szyfrowania komunikacji.

Pamiętać należy również o urządzeniach przenośnych, które również powinny być aktualizowane i zawierać oprogramowanie antywirusowe, czy o odpowiedniej polityce haseł, w tym ich długości i częstotliwości zmiany, jak również sprawdzeniu czy nowe aplikacje, narzędzia, oprogramowanie, które stosujemy nie spowoduje konieczności wprowadzenia zmian w klauzulach informacyjnych czy rejestrze czynności przetwarzania ze względu np. na transfer danych poza obszar EOG (Unia Europejska, Norwegia, Islandia i Liechtenstein) – w tym zakresie należy zadbać o kwestia podstawy transferu (decyzja Komisji o adekwatnych zabezpieczeniach,  czy standardowe klauzule umowne).  Licencje na oprogramowanie powinny mieć charakter komercyjny, a nie osobisty w grę wchodzi nie tylko kwestia pozostawania w zgodzie z licencjami, ale również zawierania umów powierzenia przetwarzania danych osobowych. Często takie postanowienia zawarte są w regulaminach usługi. Oprogramowanie do użytku osobistego może nie spełniać kryteriów bezpieczeństwa w zakresie przetwarzania danych osobowych.

Nie można zaniedbywać rejestru czynności przetwarzania czy rejestru kategorii czynności przetwarzania – dokumenty te powinny być stale aktualizowane. Warto zadbać o stworzenie także rejestru obszarów przetwarzania tak by zapanować nad rozproszeniem miejscowym w zakresie przetwarzanych danych osobowych.  Najczęstszym i bardzo poważnym błędem są zaniedbania w zakresie obowiązku zapewnienia aktualności danych osobowych (zasada prawidłowości) jak również o wykonywaniu odpowiednich kopii, aby nie doszło do ich przypadkowej utraty lub zniszczenia lub uszkodzenia (zasada integralności i poufności).

Polecamy serwis: Odpowiedzialność, prawa i obowiązki

Chcesz dowiedzieć się więcej, sięgnij po naszą publikację
Umowy o pracę – zawieranie i rozwiązywanie
Umowy o pracę – zawieranie i rozwiązywanie
Tylko teraz
Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Kadry
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Potrącenie zaległości ZUS z emerytury od 2022 r.

    Potrącenie zaległości składkowych z emerytury, renty i zasiłku będzie możliwe od 2022 r. ZUS odliczy składkę zdrowotną, podatek i należności składkowe nieopłacone w terminie. Do jakiej wysokości?

    Niemcy: niezaszczepieni bez rekompensaty za czas kwarantanny

    Niezaszczepieni nie otrzymają rekompensaty za czas kwarantanny. Nowe przepisy w Niemczech zaczną obowiązywać od 1 listopada 2021 r.

    Praca zdalna a work-life balance

    Praca zdalna a work-life balance - za dużo work i za mało life? Z badania "Candidate Pulse" wynika, ze praca zdalna zachwiała balansem między życiem prywatnym i zawodowym. Pracownicy odczuwają również więcej presji ze strony pracodawców.

    Pracodawca sprawdzi certyfikat covid [VIDEO]

    Pracodawca sprawdzi certyfikat covid? Najpewniej tak, ale na zasadzie dobrowolności. Co to oznacza? Na to i inne pytania odpowiada Stanisław Szwed, wiceminister pracy, polityki społecznej i rodziny.

    Obniżenie wieku emerytalnego jako fatalna decyzja [VIDEO]

    Obniżenie wieku emerytalnego było fatalną decyzją. Ekonomiści negatywnie oceniają niższy i zróżnicowany dla kobiet i mężczyzn wiek emerytalny w Polsce.

    Co pandemia uświadomiła menadżerom? [VIDEO]

    Pandemia a zarządzanie - co kryzys wywołany pandemią uświadomił menadżerom? Okazało się, że kapitał ludzki jest niezwykle ważny. Duże znaczenie ma także zdolność do szybkich zmian.

    Kodeks pracy art. 30

    Kodeks pracy w art. 30 wylicza sposoby rozwiązania umowy o pracę: porozumienie stron, wypowiedzenie, dyscyplinarka i upływ czasu.

    Kontroferta dla pracownika - co to jest?

    Kontroferta dla pracownika - co to jest i w jakim celu się ją stosuje? Czy warto przyjąć kontrofertę?

    Jesienna rekrutacja w logistyce - jak zachęcić do pracy w firmie?

    Startuje jesienna rekrutacja w logistyce. Jakich pracowników brakuje? Jak zachęcić do pracy w danej firmie? Co przyciąga pracowników?

    Kontrole PIP na małych budowach 2021 - wyniki

    Kontrole PIP na małych budowach zostały wzmożone w 2021 r. Z danych statystycznych wynika, że to właśnie na małych budowach jest najwięcej wypadków przy pracy. Jakie są wyniki kontroli PIP?

    Praca sezonowa - prawa cudzoziemców przez cały rok

    Praca sezonowa - prawa cudzoziemców nie są sezonowe. Przypomina o tym PIP w kampanii "Prawa przez cały rok". Jak zatrudnić cudzoziemca na podstawie zezwolenia na pracę sezonową? Czym jest umowa o pomocy przy zbiorach?

    Europejskie Porozumienie dotyczące aktywnego starzenia się

    Europejskie Porozumienie podpisane w 2017 r. dotyczy aktywnego starzenia się i podejścia międzypokoleniowego w pracy. Realizując je, w Polsce powstało "Porozumienie strony pracowników oraz strony pracodawców RDS na rzecz aktywnego starzenia". Wypracowano w nim szereg rozwiązań na rzecz aktywnego starzenia się.

    Kiedy zmiana czasu na zimowy w 2021?

    Kiedy jest zmiana czasu na zimowy w 2021 r.? Czy ostatni raz przestawiamy zegarki jesienią? Jak zmiana czasu wpływa na czas pracy w nocy?

    Wypłata wynagrodzenia za pracę w sobotę, niedzielę

    Wypłata wynagrodzenia za pracę to podstawowy obowiązek pracodawcy. Co w przypadku, gdy dzień wypłaty wynagrodzenia wypada w sobotę lub niedzielę?

    Jak niemieccy pracodawcy przygotowują się na 4 falę covid?

    4 fala covid przewidywana jest na jesień 2021 r. Statystyki wskazują na tendencję wzrostową zakażeń. Jak niemieccy pracodawcy przygotowują się na ten trudny czas?

    Weryfikacja szczepień pracowników - projekt

    Weryfikacja szczepień pracowników - trwają prace nad projektem nowych przepisów. Czy pracodawcy będą mogli sprawdzić fakt zaszczepienia się przeciw COVID-19 przez pracowników?

    Umowa o dzieło - ZUS, zgłoszenie

    Umowa o dzieło - zgłoszenie do ZUS jest obowiązkowe od 2021 r. Jaki jest termin na zgłoszenie? Kto musi zgłosić umowę do ZUS?

    Zmiany w ubezpieczeniach społecznych od 18 września 2021 r.

    Najnowsze zmiany w ubezpieczeniach społecznych weszły w życie 18 września 2021 r. Sprawdź, co się zmieni.

    Wypalenie zawodowe podstawą zwolnienia lekarskiego od 2022 r.

    Wypalenie zawodowe od 2022 r. będzie podstawą do otrzymania zwolnienia lekarskiego (l4). Czym jest wypalenie? Jakie są objawy? Jak przeciwdziałać?

    Przeniesienie urlopu na kolejną umowę - wzór porozumienia

    Przeniesienie urlopu wypoczynkowego na kolejną umowę o pracę może nastąpić na mocy porozumienia stron. Jak je prawidłowo sporządzić? Oto wzór porozumienia.

    Ostatnie dni na wniosek o zwolnienie z ZUS!

    Wniosek o zwolnienie z ZUS - sklepiki szkolne i piloci muzealnych wycieczek mają ostatnie dni na ubieganie się o zwolnienie z obowiązku opłacania składek ZUS.

    Podwyższona kwota wolna od potrąceń - covid

    Podwyższona kwota wolna od potrąceń została przewidziana w tarczy na czas pandemii COVID-19. Kogo dotyczy? Ile wynosi?

    Usprawiedliwienie nieobecności w pracy - szczepienie

    Usprawiedliwienie nieobecności w pracy z powodu szczepienia - kiedy jest możliwe? Czy szczepienie dziecka uzasadnia zwolnienie od pracy?

    Kobiety najwięcej ucierpiały na pandemii

    Kobiety najwięcej straciły w czasie pandemii. To one częściej były zwalniane. Spadł na nie ciężar opieki nad dziećmi i pracy jednocześnie. Jak wpłynęło to na ich zdrowie?

    Płace rosną, bo firmy walczą o pracowników

    Płace rosną wszędzie. Wszystkie kody PKD odnotowały w sierpniu 2021 r. podwyżki wynagrodzeń. Firmy walczą w ten sposób o pracowników.