Bardzo popularna obecnie forma wykonywania pracy w sposób zdalny, w trybie tzw. home office, z uwagi na ciągłe zagrożenie zakażeniem wirusem SARS-CoV-2 wywołującym chorobę COVID-19, może mieć istotny wpływ na bezpieczeństwo danych osobowych. Otóż przetwarzane są one w związku z wykonywaniem obowiązków służbowych, a z uwagi na tryb pracy zdalnej mamy do czynienia z powstaniem nowych, całkiem innych ryzyk i zagrożeń dla ochrony danych, które nie występowały dotychczas w stacjonarnym modelu pracy.
Gdzie pojawia się zagrożenie dla ochrony danych osobowych i niebezpieczeństwo ich utraty bądź dostania się w „niepowołane ręce”?
Praca zawodowa w formie home office nie musi być wykonywana w domu pracownika czy zleceniobiorcy zlokalizowanym na terenie Polski, a na przykład w innym państwie, w tym także poza Europejskim Obszarem Gospodarczym (EOG). Bez względu jednak na to czy zatrudnienie jest na podstawie umowy o pracę czy też umowy cywilnoprawnej (jak chociażby umowa zlecenia lub kontraktu menedżerskiego), zdalna forma pracy z zagranicy wymaga weryfikacji dotychczas stosowanych rozwiązań organizacyjnych i technicznych, od których zależy bezpieczeństwo danych osobowych i ich poziom ochrony.
Czy historycznie raz przeprowadzona ocena ryzyka wystarczy w obecnych, zmieniających się warunkach?
Obecny model świadczenia pracy nie był wcześniej praktykowany i dotychczasowa ocena ryzyka naruszenia praw i wolności osób fizycznych dla konkretnych procesów przetwarzania danych najczęściej nie przewidywała elementów transgranicznych. Sytuacja ta zatem wymaga ponownego zdefiniowania i analizy wszystkich procesów i zasobów z nimi związanych, a także nowych potencjalnych zagrożeń. Konieczność ta jest podyktowana również wprost z zapisów rozporządzenia dotyczącego przetwarzania danych osobowych RODO przyjętego 24 maja 2016 roku przez Parlament Europejski oraz Radę Unii Europejskiej, którego artykuł 32 mówi, iż podstawowym obowiązkiem administratora danych jest wdrożenie odpowiednich środków ich ochrony w zależności od charakteru, zakresu, kontekstu i celów przetwarzania oraz zapewnienie stopnia bezpieczeństwa odpowiadającego temu ryzyku. Administrator ten jest także zobowiązany do samodzielnego określenia zastosowanych rozwiązań adekwatnych do skali ryzyka danych przetwarzanych w organizacji. Oznacza to, że w przypadku zmiany modelu pracy zdalnej, w tym z zagranicy, niezbędne jest ustalenie aktualnego poziomu ryzyka, z którego może wynikać, że ocena dokonana wcześniej, nie jest już adekwatna chociażby dlatego, że zmieniły się okoliczności. Zaktualizowana ocena ryzyka wymusi dobór dodatkowych środków, które będą mały wpływ na zminimalizowanie ryzyka wystąpienia możliwych zagrożeń.
Czy istotny jest moment, kiedy należy dokonać oceny ryzyka w przypadku chęci skorzystania przez pracownika z pracy zdalnej z zagranicy?
Otóż tak, ważnym jest by przeprowadzenie oceny ryzyka nastąpiło przed skorzystaniem przez pracownika z możliwego rozwiązania w postaci pracy zdalnej z zagranicy, a w przypadku przewidywania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, konieczna jest ocena skutków przetwarzania dla ochrony danych zgodnie z art. 35 RODO. Niezależnie od powyższych czynności, należy dokonać analizy i ewentualnej aktualizacji rejestru czynności przetwarzania danych osobowych prowadzonego przez administratora danych na podstawie art. 30 RODO.
Czy istotny jest poziom wrażliwości danych przetwarzanych przez pracownika świadczącego pracę zdalną za granicą?
To, że poziom wrażliwości danych przetwarzanych przez pracownika jest istotny w sprawie, nie ulega wątpliwości, z uwagi na fakt, że w marę wzrostu wrażliwości danych, rośnie także ryzyko dotyczące nadużyć w zakresie ochrony danych osobowych. Z uwagi na to, niezbędne jest przeanalizowanie rodzaju danych przekazanych pracownikowi i uwzględnienie wyników analizy w przeprowadzanej ocenie ryzyka.
Co do zasady bowiem, w sytuacji przetwarzania danych z kategorii zwykłych, możliwe jest poprzestanie na standardowych środkach ochrony, jakimi są na przykład:
- silne hasła dostępu do urządzeń
- korzystanie z bezpiecznego łącza VPN
- stosowanie oprogramowania antywirusowego
- firewall
Stosowanie powyższych zasad nie jest wystarczające w przypadku przetwarzania danych osobowych z kategorii szczególnych, na przykład dotyczących zdrowia, finansów lub behawioryzmu. Tu trzeba zastosować dodatkowe zabezpieczenia, jak:
- szyfrowanie danych podczas ich używania i przechowywania
- uwierzytelnianie wielopoziomowe
Ważnym jest, by ustrzec się przed możliwością niezabezpieczenia danych, z których można skomponować profil społeczny lub finansowy jakiejkolwiek osoby.
Skoro w państwach EOG stosuje się jednolite zasady ochrony danych osobowych w ramach RODO, to jak chronione są dane w przypadku państw trzecich?
Wykonywanie pracy zdalnej poza granicami Polski, ale dalej w obrębie EOG (UE, Islandia, Norwegia, Lichtenstein) nie budzi zastrzeżeń z punktu widzenia bezpieczeństwa danych przetwarzanych podczas świadczenia pracy, a więc uznać można, iż są bezpieczne.
Co do zasady, ryzyka w tym zakresie nie zwiększa również praca zdalna w trybie home office wykonywana z terytorium państw nienależących do EOG, co do których Komisja Europejska (KE) wydała decyzję potwierdzającą, że kraj ten zapewnia adekwatny i analogiczny do UE stopień ochrony danych (Andora, Argentyna, Kanada, Wyspy Owcze, Guernsey, Izrael, Wyspa Man, Japonia, Jersey, Nowa Zelandia, Szwajcaria, Urugwaj).
W przypadku państw trzecich, bez pozytywnej decyzji KE, przepisy RODO wymagają zapewnienia dodatkowych procedur i odpowiednich środków zabezpieczających dane osobowe, a jeśli niemożliwym okaże się ich zapewnienie, praca w trybie zdalnym z terytorium danego państwa trzeciego nie jest możliwa.
W jakie narzędzia i zabezpieczenia należy wyposażyć pracownika wykonującego pracę zdalną na odległość?
Od wyniku przeprowadzonej oceny ryzyka zależy jakie narzędzia i zabezpieczenia są konieczne, by można było uznać, że dane, które posiada i przetwarza pracownik wykonujący pracę zdalną, są w pełni bezpieczne. Wymaga to podjęcia wspólnych odpowiednich działań przez kadrę zarządzającą organizacją, dział IT, a także inspektora ochrony danych, jeśli takowy został powołany. Pracownik zdalny musi być wyposażony w:
- odpowiednio przygotowany i należycie zabezpieczony sprzęt służbowy
- aktualne oprogramowanie wraz z przeszkoleniem z zasad bezpiecznego korzystania z narzędzi pracy
- stosowne uprawnienia, w tym do dostępu do baz danych
- skuteczne kanały komunikacji
- wsparcie IT służące do zgłaszania problemów technicznych dotyczących sprzętu, systemów lub incydentów bezpieczeństwa
Czy pracownik świadczący pracę w trybie zdalnym na prywatnym sprzęcie może generować ryzyko niebezpieczeństwa danych osobowych chronionych RODO?
Bez wątpienia wykonywanie pracy przy użyciu własnego komputera czy laptopa wymaga wyraźnej zgody pracownika, jednakże konieczność zapewnienia obowiązujących w zakładzie pracy standardów systemu bezpieczeństwa może wiązać się z koniecznością ingerencji pracownika działu IT w ten prywatny sprzęt w celu jego sprawdzenia, tym bardziej jeśli pracownik ma mieć dostęp do danych wrażliwych. Na dodatek wartym jest podkreślenia, że korzystanie przez pracownika z prywatnego sprzętu nie zwalnia pracodawcy jako administratora danych osobowych z zapewnienia stosownych środków ochrony danych, których nie może on przerzucić na pracownika.
Podsumowując, w sytuacji, kiedy pracownik świadczy pracę w formie zdalnej w trybie home office, co jest obecnie nagminne z uwagi na zagrożenie życia i zdrowia w obliczu pandemii wirusa SARS-CoV-2 wywołującego chorobę COVID-19, a czyni to spoza granic Polski, co nie jest wykluczone, koniecznym jest szersze zadbanie o ochronę danych osobowych. Na nowo trzeba ocenić ryzyko ewentualnego naruszenia praw i wolności osób, których dane są przetwarzane. Istotne jest przy tym szczególnie to, do jakiej grupy państw należy kraj, z którego pracownik świadczy dla pracodawcy pracę zdalną.
Ekspert Łukasz swoje wieloletnie doświadczenie na rynku pracy postanowił przekazać także na naszym blogu. Jego artykuły dotyczą aktualnych zmian gospodarczych a także tych na rynku pracy. Z chęcia udzieli porad pracodawcą, którzy prężnie rozwijają swoje firmy.