Praca zdalna w czasie pandemii COVID-19 a ochrona danych osobowych w świetle przepisów RODO

Pandemia COVID-19 całkowicie odmieniła nasze życie. Ograniczenia i restrykcje, jakie w związku z nią zostały nałożone często wymagały wprowadzenia nowych lub częstszego zastosowania tych już znanych w celu zmniejszenia ryzyko rozprzestrzenienia się wirusa. Jednym z takich rozwiązań okazała się być praca zdalna, na którą – w miarę możliwości – zaczęło przechodzić coraz więcej pracodawców. W niedługim czasie, w niektórych firmach, tzw. home office stał się podstawowym sposobem wykonywania obowiązków pracowniczych.

Warto jednak pamiętać, że z pracą zdalną wiążą się pewne ryzyka, a jej wdrożeniu powinny towarzyszyć stosowne procedury mające na celu zarówno usprawnienie stosowanych procesów, jak i ochronę przed ewentualnymi zagrożeniami. Jednym z takich zagrożeń jest naruszenie bezpieczeństwa danych, a w tym danych osobowych zarówno pracowników, jak i osób, których dane pracownicy przetwarzają wykonując pracę. Niestety jednak wiele firm bagatelizuje ten problem, o czym świadczy fakt, że do urzędów ochrony danych osobnych na całym świecie wpływa coraz więcej skarg dotyczących przetwarzania danych osobowych podczas pracy zdalnej.

Praca zdalna w świetle postanowień tzw. Tarczy antykryzysowej

Do momentu wybuchu pandemii COVID-19, przepisy prawa polskiego nie regulowały kwestii świadczenia pracy w trybie zdalnym. Kodeks pracy zawierał przepisy dotyczące jedynie tzw. telepracy (tj. pracy wykonywanej regularnie poza zakładem pracy, z wykorzystaniem środków komunikacji elektronicznej), natomiast praca zdalna, polegająca niejednokrotnie na okazjonalnym i nieregularnym świadczeniu pracy z innego miejsca aniżeli stałe miejsce pracy (np. z domu), dopuszczalna była jedynie na podstawie wewnętrznych regulacji lub ustaleń pracodawcy z pracownikiem. Stan zagrożenia epidemicznego ogłoszony w marcu 2020 r. zmienił tę sytuacją, wymuszając wprowadzenia stosownych regulacji w tym zakresie.

Możliwość polecenia pracownikowi wykonywania pracy zdalnej została wprowadzona ustawą z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Zgodnie z art. 3 ust. 1 tejże ustawy, w celu przeciwdziałania COVID-19, pracodawca mógł polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem jej stałego wykonywania.
Przepis ten, we wskazanej wyżej treści, utracił moc po upływie 180 dni od dnia wejścia w życie rzeczonej ustawy, czyli 4 września 2020 r., po czym od 5 września 2020 r. zaczęła obowiązywać ustawa z dnia 24 lipca 2020 r. o zmianie ustawy o delegowaniu pracowników w ramach świadczenia usług oraz niektórych innych ustaw, która zmieniła treść art. 3 ust. 1 ustawy o COVID-19. W rezultacie, obecne, a zarazem obowiązujące, brzmienie tego przepisuje przewiduje, że pracodawca może zlecać pracownikowi pracę zdalną „do końca stanu zagrożenia epidemicznego albo stanu epidemii, ogłoszonego z powodu COVID-19” oraz „w okresie 3 miesięcy po ich odwołaniu”.

Niezależnie od powyższego, przepisy regulujące pracę zdalną zostały wprowadzone na mocy ustawy z dnia 4 czerwca 2020 r. o dopłatach do oprocentowania kredytów bankowych udzielanych na zapewnienie płynności finansowej przedsiębiorcom dotkniętym skutkami COVID-19, czyli tzw. tarczy antykryzysowej 4.0. Ustawa ta nałożyła na pracodawców wiele obowiązków związanych z przejściem na tryb pracy zdalnej.

Po pierwsze, stanowi ona, że pracodawca powinien sprawdzić, czy pracownicy posiadają warunki techniczne oraz lokalowe do wykonywania pracy poza biurem, a także czy pracownik jest zdolny do wykonywania pracy na odległość oraz czy posiada umiejętności do posługiwania się systemem informatyczny. Oznacza to, że zanim nastąpi polecenie świadczenia pracy zdalnej, pracodawca powinien sprawdzić zarówno umiejętności pracowników, jak i warunki, w których praca zdalna będzie wykonywana.
Jednocześnie, na pracodawcę został nałożony obowiązek zapewnienia pracowników środków i materiałów potrzebnych do pracy zdalnej oraz obsługi logistycznej. Ustawodawca dopuścił przy tym możliwość wykorzystywania przez pracowników środków własnych pod warunkiem, że umożliwi to zachowanie tajemnic, poufności i ochronę danych osobowych. Dodatkowo, wprowadzono obowiązek przeszkolenia pracowników w zakresie wykonywania pracy zdalnej, w tym z ochrony danych osobowych oraz kwestii z tym związanych.

Praca zdalna a ochrona danych osobowych w świetle przepisów RODO

Od maja 2018 r. obowiązuje Ogólne rozporządzenie o ochronie danych osobowych („RODO”), które wprowadziło szereg nowych obowiązków, związanych m.in. z analizą wewnętrznych procesów przetwarzania danych oraz sporządzeniem niezbędnej dokumentacji. W świetle nowych przepisów administrator danych osobowych musi dostosować poziom ich bezpieczeństwa do obowiązujących wytycznych i regularnie go kontrolować.
Rozważając te kwestie w kontekście pracy zdalnej, konieczne jest przede wszystkim określenie czym jest przetwarzanie danych osobowych. I tak, zgodnie z art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Następnie, należy określić zakres, w jakim pracownik może przetwarzać dane, gdyż w związku z pracą zdalną może się on różnić od związanego z pracą wykonywaną stacjonarnie. W tym kontekście, konieczne jest upewnienie się, czy dany pracownik posiada wszelkie wymagane upoważnienia do dokonywania danych czynności, a w razie potrzeby – dokonanie ich stosownej zmiany.

Kolejną kwestią jest wprowadzenie stosownych zabezpieczeń technicznych i organizacyjnych, o czym mowa jest w art. 32 RODO. W tym celu, warto kierować się zasadami ogólnymi RODO, do których należą:

Co istotne, prowadzenie skrupulatnego zapisu tego, kto, kiedy, w jakim zakresie i na jakich zasadach przetwarza dane osobowe w przypadku pracy zdalnej, nie tylko świadczy o respektowaniu zasady rozliczalności, ale także stanowi wypełnienie obowiązku, jaki spoczywa na administratorze na mocy art. 32 ust. 4 RODO. Zgodnie bowiem z tym przepisem, administrator oraz podmiot przetwarzający dane podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii Europejskiej lub prawo państwa członkowskiego.

Powyższe pokazuje, że zagadnienie ochrony danych osobowych w związku z pracą zdalną jest zagadnieniem znacznie bardziej skomplikowanym, niż mogłoby się wydawać. Najważniejsze jest jednak to, aby praca zdalna była pod odpowiednio kontrolę, co ma na celu uniknięcie jakichkolwiek późniejszych problemów. Odpowiednia ochrona danych służy nie tylko zabezpieczeniu interesów osób, których dane te dotyczą, ale także pracodawcy w kontekście odpowiedzialności prawnej. Jeśli zasady i procedury nie zostaną spisane, pracodawca może napotkać trudności z wykazaniem, że jako administrator danych działa zgodnie z przepisami RODO.

Warto w tym miejscu dodać, że również pracownicy powinni zostać poinstruowani, w jaki sposób praca zdalna ma być wykonywana i jakie zagrożenia za sobą niesie, aby także oni czuli się w obowiązku ochrony danych, z którymi mają do czynienia. Dlatego też, rekomenduje się, aby w firmach, które przechodzą na tryb zdalny, wszyscy pracownicy zostali poinformowani o zasadach i procedurach obowiązujących w czasie wykonywania pracy w trybie zdalnym, zawierający m.in. informacje na temat bezpieczeństwa i ochrony danych; a także dodatkowo, aby, po przyjęciu zlecenia pracy zdalnej, każdy z pracowników podpisał oświadczenie dotyczące zasad ochrony danych osobowych zgodnie z RODO.

Artykuł ten ma charakter wyłącznie informacyjny i w żadnym wypadku nie powinien być traktowany jak opinia lub porada prawna. W celu uzyskania bardziej szczegółowych informacji lub pomocy prawnej, skontaktuj się z prawnikiem DT.

Kontakt:

2020-12-18 09:35

© 2024 Drzewiecki, Tomaszek i Wspólnicy sp.j.

projekt i realizacja: Legion