Praca zdalna, a ochrona danych osobowych

Dodano w dniu Autor
Podziel się z innymi

Pracodawcy powinni przede wszystkim pamiętać o tym, iż decydując się na pracę zdalną mierzą się z kwestią właściwego zabezpieczenia ochrony danych osobowych. I dotyczy to nie tylko danych osobowych pracownika wykonującego pracę w ten sposób, ale również i bezpieczeństwa przetwarzanych przez niego danych. Wskazanym zapewne będzie w tej sytuacji odpowiednie przeszkolenie pracowników, by zagwarantować poufność przetwarzanych informacji.

Jak należy spojrzeć na pracę zdalną w kontekście ochrony danych osobowych?

Otóż rozpatrując zagadnienie ochrony danych osobowych w kontekście pracy zdalnej, należy spojrzeć na ten element z dwóch płaszczyzn:

  • prawo pracownika pracującego zdalnie do ochrony jego danych osobowych
  • zapewnienie, by podczas świadczenia pracy w formie zdalnej, należycie zabezpieczyć przetwarzane dane osobowe

Biorąc pod uwagę pierwszy aspekt, należy pamiętać, iż zakres informacji pozyskanych przez pracodawcę od pracującego zdalnie pracownika powinien być ograniczony do celu (czyli przykładowo dane niezbędne do dokonania oceny czy pracownik ma możliwości świadczenia pracy w takiej formule). Pracodawca zatem ma prawo pozyskać informacje chociażby o takich sprawach, jak:

  • czy pracownik dysponuje dostępem do Internetu
  • jakie warunki lokalowe ma pracownik

Należy przy tym pamiętać, iż dane pozyskane przez pracodawcę na potrzeby pracy zdalnej nie powinny być wykorzystywane do innych celów po zakończeniu wykonywania pracy w tenże sposób. Do tej pory bowiem ta forma świadczenia pracy jest limitowana czasowo (do 3 miesięcy po ustaniu stanu epidemii lub zagrożenia epidemicznego), nie będąc też unormowaną w kodeksie pracy, choć prace na ten temat trwają.

Kolejnym ważnym elementem, na jaki powinien zwrócić uwagę pracodawca, jest bezpieczeństwo jej świadczenia z punktu widzenia informacji wykorzystywanych podczas pracy. W tym celu zatrudniający powinien chociażby zasięgnąć profesjonalnej opinii odnośnie zabezpieczeń samej sieci, jak i wykorzystywanych podczas pracy komunikatorów. W oparciu o taką opinię należałoby dobrać odpowiednie narzędzia do wymaganego poziomu poufności. Ponadto, pracodawca dążąc do zabezpieczenia poufnych danych (do których osoba pracująca zdalnie może mieć dostęp), powinien zastosować środki techniczne nienaruszające praw pracownika do prywatności i autonomii informacyjnej. Jeżeli natomiast ryzyko utarty dostępu do danych, czy też dostępu do nich osób nieupoważnionych, uznane zostanie za wysokie, wówczas należałoby się zastanowić, czy polecenie wykonywania pracy w formie zdalnej jest właściwym.

Co jeszcze jest istotne w kontekście dostępu i zabezpieczeń?

Generalnie praca zdalna zawsze może narażać pracodawcę na dodatkowe ryzyko i to niezależnie od tego, czy pracownik pracuje na sprzęcie własnym czy też służbowym. Należy bowiem pamiętać, iż pracownik korzystający ze zdalnego dostępu do infrastruktury pracodawcy nie podlega środkom bezpieczeństwa fizycznego stosowanym na terenie zakładu pracy, których celem jest ograniczenie i monitorowanie dostępu osób z zewnątrz. Jednocześnie pracodawca ma obowiązek zapewnić sprzęt lub oprogramowanie, które będzie pozwalało na uzyskanie takiego samego poziomu dostępu do sieci, systemów i zasobów, jakim pracownik dysponowałby na terenie zakładu pracy stacjonarnie. Ponadto, specustawa na podstawie której możliwym jest wykonywanie pracy w formie zdalnej przewiduje, iż pracownik może wykorzystywać narzędzia lub materiały niezapewnione przez pracodawcę, pod warunkiem wszakże, iż możliwe będzie poszanowanie i ochrona informacji poufnych oraz innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych. I wymóg ten skierowany jest do pracodawcy, bez możliwości przerzucenia oceny tej kwestii na podwładnego.

Generalnie w sytuacji niewdrożenia przez pracodawców odpowiednich środków technicznych, znacznie wzrasta ryzyko uzyskania nieuprawnionego dostępu do danych, co może prowadzić do utraty lub zniszczenia informacji znajdujących się w posiadaniu pracodawcy (w tym danych osobowych pracowników, jak i konsumentów). Taka sytuacja jednocześnie nie uprawnia pracodawców do stosowania wszelkich dostępnych metod monitorowania pracowników, jak chociażby:

  • rejestrowanie naciśnięć klawiszy lub ruchu myszy
  • przechwytywanie ekranu w losowych albo regularnych odstępach czasu
  • rejestrowanie uruchamianych aplikacji i czasu korzystania z nich
  • włączania kamer internetowych i nagrywania za ich pomocą materiałów

Co jeszcze jest ważne w kontekście wykonywania pracy w formie zdalnej?

W kontekście tej formy wykonywania pracy warto też wziąć pod uwagę przepisy dotyczące telepracy (a więc rozwiązania unormowanego w kodeksie pracy), gdyż mogą w niektórych przypadkach znaleźć zastosowanie również do pracy zdalnej. Regulacje dotyczące telepracy nakładają na pracodawcę wprost obowiązek określenia zasad ochrony danych przekazywanych telepracownikowi, jak i przeprowadzania, w miarę potrzeb, instruktażu i szkolenia w tym zakresie. Telepracownik z kolei ma obowiązek potwierdzenia na piśmie, iż zapoznał się z zasadami ochrony danych i będzie ich przestrzegał. W powyższym kontekście należy jednak pamiętać, iż w odróżnieniu od telepracy, gdzie wymagane jest porozumienie pracownika z pracodawcą, praca zdalna jest pracownikowi narzucona przez pracodawcę.

Co też ważne to fakt, iż nie każda dokumentacja zawierająca dane osobowe obejmuje takie, co do których stosuje się przepisy RODO. Zgodnie bowiem z art. 2 RODO ma ono zastosowanie do danych przetwarzanych w sposób całkowicie zautomatyzowany lub częściowo zautomatyzowany oraz do przetwarzania w inny sposób danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

W tym kontekście Urząd Ochrony Danych Osobowych (UODO) w swych wyjaśnieniach w dniu 4 maja 2020 roku opublikował jakie obowiązki ciążą na pracodawcy przy poleceniu wykonywania pracy w formie zdalnej z wykorzystaniem dokumentacji papierowej. Niestety jednak UODO nie wziął pod uwagę powołanego wyżej art. 2 ustawy o RODO, w myśl którego nie zawsze mamy do czynienia z ochroną danych osobowych podlegającą pod RODO. Generalnie UODO powinien wyznaczać kierunki i zasady postępowania, a nie wchodzić w kompetencje organów stanowiących prawo.

Stanowisko UODO nie uwzględnia też faktu, iż pracodawca, polecając wykonywanie pracy w formie zdalnej, nie może nakładać na pracownika obowiązków, których realizacja wymaga od pracownika ponoszenia nakładów finansowych. Generalnie UODO poszedł tak daleko w swych wytycznych, iż dochodzimy do takiej sytuacji, gdy wykonywanie pracy w formie zdalnej nie powinno być w ogóle pracownikowi powierzone. Mowa jest tam bowiem o takich elementach, jak (w przypadku pracy zdalnej wykonywanej na podstawie dokumentacji papierowej):

  • szafki zamykane na klucz
  • ewidencja wynoszonych dokumentów
  • tworzenie kopii wynoszonych dokumentów
  • procedura niszczenia kopii dokumentów poza zakładem pracy

Pamiętać należy też generalnie, iż celem polecenia wykonywania pracy w formie zdalnej jest przeciwdziałanie zarażeniu COVID-19. Tymczasem zastosowanie się do wytycznych UODO odnośnie dokumentacji papierowej i wymóg systematycznego stawiania się w biurze pracownika, by pobrać dokumentację w wersji papierowej i ją zwrócić po wykorzystaniu (co zmusza do ciągłego przemieszczania się i mimowolnego kontaktu z innymi osobami) stoi w sprzeczności z podstawowym celem specustawy, jakim jest minimalizowanie ryzyka zakażenia.

Ważnym jest bowiem, iż jeśli podczas wykonywania pracy w formie zdalnej niezbędnym będzie korzystanie z dokumentacji papierowej zawierającej dane osobowe, to RODO nie ma tutaj kluczowego znaczenia, a niekiedy nawet może nie być w ogóle stosowane. Sam obowiązek zachowania w poufności informacji z dokumentacji papierowej wynika bowiem już z innych regulacji prawnych, jak chociażby z kodeksu pracy.

W jakim jeszcze zakresie interpretacja UODO jest zdaniem ekspertów nadmierna w stosunku do możliwości pracodawcy?

W swym stanowisku UODO uważa, iż dla zalegalizowania przetwarzania danych osobowych (jak chociażby w zakresie prywatnego adresu e-mail czy też prywatnego telefonu komórkowego), pracodawcy powinni pozyskać od pracowników pisemne zgody określające zasady kontaktu (stanowisko UODO z dnia 17 sierpnia 2020 roku). Ponadto urząd wskazuje też, iż „pracodawca, który dysponuje danymi kontaktowymi do pracownika pozyskanymi podczas rekrutacji (…) nie może ich wykorzystywać do kontaktów zawodowych z pracownikiem bez jego zgody”.

Również to stanowisko UODO nie znajduje uzasadnienia w przepisach. Jeżeli bowiem pracodawca dysponuje danymi osobowymi pracownika (wymienionymi a par.1 art. 22.1 kodeksu pracy), to nie żąda ich podania raz jeszcze, a podstawą ich przetwarzania jest par. 3 art. 22.1 kodeksu pracy.

W odniesieniu bowiem do danych osobowych kontaktowych nie zmienia się cel ich przetwarzania, mianowicie nadal służą one do kontaktowania się z pracownikiem. Co ważne, powinny być jednak wykorzystywane właśnie w tym jedynym celu. Istotnym jest też, iż praca zdalna nie zawsze musi być wykonywana przy wykorzystaniu środków bezpośredniego porozumiewania się na odległość. Lecz może również dotyczyć wykonywania części wytwórczych lub też usług materialnych. Gdyby jednak miała być wykonywania właśnie przy użyciu prywatnego e-mail lub telefonu komórkowego, wówczas zgoda pracownika na takie wykorzystanie jest konieczna.

Podsumowując, pracodawca polecając pracownikowi wykonywanie pracy w formie zdalnej musi pamiętać o ochronie danych osobowych. I to zarówno w kontekście danych pracownika taką pracę wykonującego, jak i danych które będzie on wykorzystywał podczas wykonywania pracy. W tym wszystkim nie pomaga też UODO, swymi interpretacjami często idąc zbyt daleko i ustawiając przepisy o RODO w roli nadrzędnych w stosunku do innych. Zresztą, to nie pierwszy przypadek, gdy przepisy o ochronie danych osobowych urzędnicy stawiają ponad innymi, gdyż podobna sytuacja ma miejsce również w odniesieniu do zasad bhp.