Zasady ochrony danych osobowych na prywatnym sprzęcie pracownika

Co do zasady dane osobowe wykorzystywane przez pracownika winny być przetwarzane zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej nr 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (zwane dalej RODO). Dotyczy to zarówno przetwarzania takich danych na sprzęcie służbowym, jak i również na sprzęcie prywatnym pracownika, co potwierdził niedawno Wojewódzki Sąd Administracyjny w wyroku z 5 października 2023 roku.

Jaka jest zatem odpowiedzialność pracodawcy za dane osobowe, które pracownik przetwarza wykonując pracę na swym prywatnym sprzęcie?

Zasadniczo powszechnym wydaje się, iż pracodawca będący administratorem danych osobowych odpowiada za ich zgodne z prawem przetwarzanie wyłącznie wówczas, gdy dzieje się to w należącej do niego infrastrukturze. Tymczasem przepisy nie przewidują takiego ograniczenia, a wręcz przeciwnie, przepisy RODO wskazują, iż pracodawca będący administratorem ustala cele i sposoby przetwarzania danych osobowych, a więc także to, przy pomocy jakich narzędzi i w jakich obszarach ono się odbywa. Pracodawca winien również dokonać analizy ryzyka dla bezpieczeństwa przetwarzania danych i wdrożyć adekwatne do tego ryzyka środki bezpieczeństwa.

Na wyżej wskazane kwestie zwrócili również uwagę sędziowie Wojewódzkiego Sądu Administracyjnego w wyroku z 5 października 2023 roku, podkreślając, iż ochrona danych osobowych, jakie pracownik przetwarza na swoim prywatnym komputerze w celach związanych z pracą, jest obowiązkiem pracodawcy jako administratora tychże danych. Faktu tego nie zmienia również ustanie zatrudnienia danej osoby, stąd też tak istotna jest bieżąca weryfikacja tego, jakie sposoby przetwarzania w organizacji dopuszcza administrator, w tym czy przewiduje możliwość pracy na prywatnym sprzęcie pracowników, a jeśli tak, to jakie standardy bezpieczeństwa nakłada na nich w tym zakresie.

Sędziowie podkreślili, iż pracownik nie występuje jako odrębny podmiot prawa, a jego działania są de facto działaniami pracodawcy, za które ten ostatni ponosi odpowiedzialność. Pamiętać należy również, iż w zgodzie z art. 29 RODO na pracodawcy spoczywa obowiązek dopilnowania, by każda osoba działająca z jego upoważnienia i mająca dostęp do danych osobowych, przetwarzała je wyłącznie na jego polecenie jako administratora.

Tym samym to pracodawca decyduje o tym, w jaki sposób dane przetwarzane przez upoważnione przez niego osoby powinny być wykorzystywane, w tym również przy użyciu jakiego sprzętu. Poza tym aspekty takie winien pracodawca, będący administratorem danych osobowych, uwzględnić w prowadzonej analizie ryzyka, która towarzyszyć powinna każdemu procesowi przetwarzania danych osobowych.

Jak zatem podejść do zagadnienia wykorzystywania prywatnego sprzętu pracownika w kontekście odpowiedzialności za dane osobowe?

Warto podkreślić, iż zarówno w odniesieniu do płaszczyzny pracowniczej, jak i dotyczącej ochrony danych osobowych, pracownik wykonując swoje obowiązki działa w granicach polecenia i upoważnienia pracodawcy, występującego co do zasady w roli administratora danych osobowych. Tym samym działa on w więc w imieniu pracodawcy.

Jednocześnie to pracodawca decyduje o tym jakie sposoby przetwarzania danych osobowych oraz ich zabezpieczenia są u niego dopuszczalne. W sytuacji, gdy zezwoli on na przetwarzanie przez pracownika danych osobowych na jego prywatnym sprzęcie, powinien uwzględnić to jako dodatkowy czynnik ryzyka. Warto bowiem wiedzieć, iż wykorzystanie do pracy chociażby domowego komputera wiąże się z reguły z potencjalnymi zagrożeniami, jak chociażby:

• niższym poziomem zabezpieczeń informatycznych
• potencjalnym korzystanie z tego sprzętu przez członków rodziny pracownika
• zwiększonym ryzykiem kradzieży

Pracodawca, pozwalając pracownikowi na takie wykonywanie swych obowiązków i przetwarzanie danych osobowych, powinien dokonać kompleksowej analizy ryzyka dla ochrony danych na potrzeby procesu pracy zdalnej, która uwzględniać musi takie elementy, jak:

• posiadane zasoby
• zakres przetwarzania danych osobowych
• stosowane środki bezpieczeństwa
• wynikający z powyższych okoliczności poziom ryzyka naruszenia ich poufności, dostępności i integralności

Dopiero w sytuacji, gdy pracodawca uzna, że poziom ryzyka jest dla niego akceptowalny, może dopuścić możliwość pracy zdalnej przy użyciu prywatnego sprzętu, odpowiednio zabezpieczając stosowanie przez zatrudnionych przyjętych standardów bezpieczeństwa.

Istotnym jest, iż odpowiedzialność za bezpieczeństwo przetwarzania danych osobowych w pierwszej kolejności ponosi właśnie administrator danych, czyli pracodawca. Dotyczy to zarówno odpowiedzialności przed prezesem Urzędu Ochrony Danych Osobowych, jak i odpowiedzialności odszkodowawczej wobec samego podmiotu danych.

Dopiero w sytuacji, gdy mamy do czynienia z zawinionym naruszeniem przez pracownika przyjętych w organizacji zasad bezpieczeństwa, pracodawca egzekwować może jego odpowiedzialność. Jeśli osoba taka pozostaje jeszcze w zatrudnieniu, mówić można o odpowiedzialności porządkowej, materialnej bądź nawet o rozwiązaniu umowy o pracę, a gdy naruszenia dopuścił się były pracownik, to w grę wchodzi wyłącznie odpowiedzialność odszkodowawcza, na zasadach określonych w kodeksie cywilnym.

Ważnym jest, iż o odpowiedzialności pracownika mówić można jedynie w sytuacji, gdzie nie zastosował się on do poleceń i standardów bezpieczeństwa, określonych precyzyjnie przez pracodawcę. Nie będzie można mówić o odpowiedzialności pracownika, gdy pracodawca nie dopilnował tego, by pracownik w odpowiedni sposób zabezpieczył dane przetwarzane na jego prywatnym sprzęcie.

A co będzie w sytuacji, gdy doszło do kradzieży prywatnego sprzętu, na którym pracownik wykonywał pracę i przetwarzał dane osobowe?

Otóż należy wiedzieć, iż administrator danych osobowych jest najważniejszy w kwestii zapewnienia bezpieczeństwa danych osobowych w organizacji. To on ponosi odpowiedzialność za jego naruszenie i on ma również obowiązek dokonać zgłoszenia naruszenia do prezesa Urzędu Ochrony Danych Osobowych w sytuacji, gdy uzna, że dane zdarzenie pociąga realne ryzyko naruszenia praw lub wolności podmiotu danych.

Administrator zatem, by zrealizować swoje obowiązki, musi mieć wiedzę o wszelkich okolicznościach wpływających na poziom bezpieczeństwa administrowanych przez siebie danych, stąd też utrata przez pracownika nośnika, na którym przetwarza dane w imieniu pracodawcy, powinna zostać zgłoszona niezwłocznie, niezależnie od tego, czy jest to powierzony firmowy nośnik, czy też prywatny sprzęt, w tym komputer osobisty.

W takim przypadku znaczenia nie ma to czyją własnością jest nośnik danych, ale który podmiot jest odpowiedzialny za zapewnienie odpowiedniego poziomu bezpieczeństwa zgromadzonych danych jako administrator. Pracownik zatem powinien wiedzieć, iż jego obowiązkiem jest niezwłoczne zgłoszenie pracodawcy kradzieży, utraty bądź zaatakowania przez złośliwe oprogramowanie, również własnego sprzętu, gdy przetwarzane są na nim dane służbowe. Taki obowiązek należy wprost sformułować w wewnętrznych dokumentach, takich jak polityka bezpieczeństwa informacji lub ochrony danych, regulamin pracy zdalnej, czy też w indywidualnej umowie z pracownikiem.

Aby z kolei odpowiednio zabezpieczyć dane przechowywane przez pracownika na prywatnym sprzęcie należałoby działać profilaktycznie i zapobiegawczo, a nie jedynie następczo. Kluczowym jest tutaj odpowiednie zaprojektowanie samego procesu przetwarzania danych przy użyciu prywatnego sprzętu, jak i również podjęcie odpowiednich działań w zakresie infrastrukturalnym i informatycznym. Służyć temu winna analiza ryzyka tego procesu, która powinna mieć charakter ciągły i uwzględniać wszystkie pojawiające się nowe czynniki ryzyka, jak chociażby:

• wykorzystanie własnego sprzętu pracownika
• wykonywanie pracy zdalnej za granicą
• nowe rozwiązania informatyczne
• nowe rodzaje zagrożeń cybernetycznych

Istotna jest również świadomość pracowników, zarówno pod kątem zagrożeń wiążących się z pracą w środowisku informatycznym, jak i tych związanych z pracą zdalną, wykonywanych najczęściej w warunkach domowych.

Jakie zasady dotyczą odpowiedniego zabezpieczenia prywatnego komputera używanego w związku z pracą?

Zgodnie z przepisami kodeksu pracy dotyczącymi pracy zdalnej, wewnętrzny regulamin bądź też porozumienie z pracownikiem powinny ustalać zasady kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur dotyczących ochrony danych osobowych. Ważne jest, by zasady te były dla pracowników jasne i zrozumiałe.

Obowiązkiem pracodawcy jest określenie procedur ochrony danych osobowych i przeprowadzenie w miarę potrzeby instruktażu oraz szkolenia na potrzeby wykonywania pracy zdalnej. Dotyczy to sytuacji zarówno wykonywania pracy zdalnej w zakresie wykorzystania do tego własnego sprzętu, jak i również sprzętu powierzonego przez pracodawcę.

Aby pracodawca mógł skutecznie dochodzić potencjalnej odpowiedzialności od pracownika za naruszanie zasad bezpieczeństwa ochrony danych podczas wykonywania pracy zdalnej, koniecznym jest potwierdzenie przez pracownika, iż zapoznał się on z procedurami oraz jest świadomy swojego obowiązku ich przestrzegania. Jednocześnie pracodawca wyrażając zgodę na pracę zdalną na własnym sprzęcie pracownika, w razie potencjalnego incydentu ochrony danych, nie może pociągnąć go do odpowiedzialności z powodu niezastosowania metod zabezpieczenia danych, do których uprzednio wyraźnie go nie zobowiązał.

Wątpliwym jest również skuteczność zobowiązania pracownika do zastosowania metod zabezpieczeń, których obiektywnie nie jest on w stanie zapewnić, chociażby z uwagi na brak dostępności danego oprogramowania w wersji osobistej, bądź też wysoki koszt dostępnych na rynku zabezpieczeń. W takim przypadku pracodawca winien rozważyć czy okoliczności te nie oznaczają braku możliwości wykorzystywania własnych narzędzi do pracy zdalnej, bądź też konieczności zapewnienia pracownikowi środków na sfinansowanie zabezpieczeń.

Powyższe kwestie poruszone zostały również w wyroku Wojewódzkiego Sądu Administracyjnego z 5 października 2023 roku, gdzie sędziowie zaznaczyli, iż pracodawca powinien być w stanie wykazać, że prywatny komputer pracownika został odpowiednio zabezpieczony przed potencjalnym nieuprawnionym dostępem do zgromadzonych na nim danych osobowych. Ważne jest, by pracownik łączył się poprzez VPN, korzystał z odpowiednich programów do szyfrowania plików oraz stosował hasło do logowania. Okoliczności te są o tyle istotne, iż dopiero wówczas zawinione naruszenie obowiązków przez pracownika pozwala pracodawcy skutecznie pociągnąć go do odpowiedzialności porządkowej bądź materialnej, a nawet na rozwiązanie umowy o pracę.

Podsumowując, zasadniczo dane osobowe wykorzystywane przez pracownika powinny być przetwarzane zgodnie z zasadami RODO i dotyczy to nie tylko pracy zdalnej wykonywanej na służbowym sprzęcie, lecz również na sprzęcie prywatnym pracownika, o ile pracodawca wyraził na to zgodę. Istotnym jest, iż pracodawca jako administrator danych osobowych odpowiada za ich zgodne z prawem przetwarzanie, a więc także to on określa przy pomocy jakich narzędzi i w jakich obszarach owo przetwarzanie się odbywa. Pracodawca zobowiązany jest również do przeprowadzenia analizy ryzyka dla bezpieczeństwa przetwarzanych danych oraz wdrożenia adekwatnych do tego ryzyka środków bezpieczeństwa.