Zmiany kodeksu pracy – praca zdalna w świetle RODO

Jarosław Peplinski – radca prawny

Wprowadzenie kodeksowych regulacji pracy zdalnej powoduje konieczność wprowadzenia zmian w dokumentacji wewnętrznej. Są to przede wszystkim zadania związane z prawem pracy, ale ten artykuł będzie dotyczył nie mniej ważnej, choć często pomijanej, sfery ochrony danych osobowych.

W punktowej formie zaprezentuję Państwu najistotniejsze elementy ochrony danych osobowych, o których należy pamiętać w związku z wprowadzeniem pracy zdalnej.

Szacowanie ryzyka

Przetwarzanie danych osobowych powinno zostać poprzedzone szacowaniem ryzyka. Chodzi o przeanalizowanie potencjalnych zagrożeń dla czynności przetwarzania i oszacowanie ryzyka ich wystąpienia. W tym wypadku czynnością podlegającą ocenie jest praca zdalna. Nadmienię w tym miejscu jeszcze o ocenie skutków. Przeprowadzenie tej rozszerzonej formy szacowania ryzyka z uwzględnieniem wpływu zagrożeń na prawa lub wolności osób fizycznych może być konieczne np. w przypadku wprowadzenia innowacyjnych rozwiązań technologicznych lub monitorowaniu pracy.

Wprowadzenie pracy zdalnej może wiązać się z różnymi zagrożeniami. Przede wszystkim należy wskazać wszelkiego rodzaju zagrożenia wynikające z korzystania z Internetu i transmisji danych, a także wynoszeniem danych, mniej lub bardziej dosłownym, danych poza obszar administratora. Dotyczy to oczywiście także dokumentów, których przeniesienie do miejsca wykonywania pracy zdalnej jest niezbędne do realizacji zadań.

Niezależnie od ich formy, dane powinny być zabezpieczone przed dostępem do nich osób nieuprawnionych, zniszczeniem, modyfikacją lub całkowitą utratą. Rzetelna ocena ryzyka pozwala na wczesne wykrycie zagrożeń i dostosowanie stosowanych zabezpieczeń, aby jak najlepiej spełniały swoje zadanie.   

Wprowadzenie adekwatnych środków zabezpieczeń

Kolejnym krokiem po przeprowadzeniu analizy ryzyka jest wprowadzenie adekwatnych do zagrożeń i możliwości ich wystąpienia środków zabezpieczeń. Chodzi o wprowadzenie takich środków ochrony danych, które będą w stanie ograniczyć lub wręcz wyeliminować te ryzyka.

Skorzystać można zarówno ze środków technicznych, systemowych, jak organizacyjnych. Można wśród nich wskazać takie zabezpieczenia, jak oprogramowanie antywirusowe, zapory sieciowe, szyfrowanie dysków, czy odpowiednio skonstruowane hasła. Przyda się również ustalenie zasad ochrony danych w pracy zdalnej.

Niezależnie od wdrożonych rozwiązań, nie do przecenienia jest rola szkoleń personelu. Świadomość pracowników na temat zagrożeń i sposobów reagowania na nie może uchronić przed poważnymi konsekwencjami nie tylko osoby, których dane dotyczą, ale również pracodawcę – administratora.

Opracowanie procedury ochrony danych osobowych w pracy zdalnej

Niezależnie od tego, czy zamierzacie Państwo wprowadzić pracę zdalną, możliwość taką przewiduje Kodeks pracy w regulacjach dotyczących pracy zdalnej okazjonalnej. Jej funkcjonowanie uzasadnia wprowadzenie procedury pracy zdalnej nawet wtedy, gdy jej wykonywanie nie zostało przewidziane przez pracodawcę.  

Procedura taka może odwoływać się do istniejących już polityk ochrony danych. Jeżeli natomiast takich Państwo nie posiadacie, warto rozważyć ich opracowanie, choćby dla samej rozliczalności. Brak tego typu procedur znacząco utrudnia, jeżeli nie uniemożliwia, wykazanie zgodności z przepisami RODO.

Aktualizacja rejestru czynności przetwarzania

Praca zdalna uregulowana w Kodeksie pracy to inna praca zdalna niż ta, która funkcjonowała w okresie pandemii. Z tego względu należy traktować ją jako inną czynność przetwarzania. To z kolei powoduje obowiązek zaktualizowania rejestru czynności przetwarzania, do którego prowadzenia zobowiązana na podstawie RODO jest większość podmiotów.

Różnice występują już na poziomie podstawy prawnej, ale mogą pojawić się także rozbieżności w pozostałych wymaganych elementach rejestru, np. dotyczących stosowanych zabezpieczeń.

Monitorowanie pracy

Pracodawcy umożliwiający pracę zdalną chcą mieć kontrolę nad jej przebiegiem. Nadzór taki umożliwia monitorowanie pracy, które tak jak praca zdalna, uregulowane zostało w Kodeksie pracy. Chodzi m.in. o wprowadzenie systemów umożliwiających śledzenie ruchów użytkownika, rejestrujących odwiedzane przez niego strony, czy też liczące czas pracy.

Z punktu widzenia ochrony danych osobowych istotne jest, aby wprowadzone rozwiązania zostały uprzednio przetestowane (wspomniana ocena skutków dla praw lub wolności osób fizycznych) i nie ingerowały zbyt silnie w prywatność pracownika.

Bezpieczeństwo pracy zdalnej

To najistotniejsze w mojej ocenie elementy ochrony danych osobowych w pracy zdalnej. Wierzę, że zrealizowanie opisanych przeze mnie punktów pozwoli Państwu na zapewnienie bezpieczeństwa i zgodności z przepisami RODO. Jeżeli natomiast mielibyście Państwo wątpliwości lub potrzebowali wsparcia w zakresie RODO dla firm, nasza Kancelaria jest w stanie odpowiedzieć na te potrzeby.