W celu ograniczenia rozprzestrzeniania się wirusa SARS-CoV-2 podmioty sfery publicznej i prywatnej musiały zmierzyć się z nowymi wyzwaniami, dotyczącymi m.in. organizacji pracy, w tym z możliwością wykonywania pracy zdalnej. Aktualne stały się więc pytania: jak postępować podczas pracy zdalnej, aby nie naruszyć przepisów o ochronie danych osobowych, i jakie obowiązki ciążą nie tylko na administratorze, ale również (a może przede wszystkim) na pracownikach, którzy przetwarzają dane osobowe?
Stworzenie możliwości pracy zdalnej w istotny sposób ułatwiło pracownikom, dostosowanie się do nowej sytuacji, związanej z pandemią COVID-19. Jednak nie można marginalizować konieczności wprowadzenia odpowiednich środków bezpieczeństwa przy przetwarzaniu danych osobowych w celu spełnienia wymogów RODO. Zapewnienie bezpieczeństwa przetwarzania danych osobowych jest nieodzownym elementem pracy w formie zdalnej. Tylko w ten sposób zarówno administrator danych, jak i sam pracownik mogą zabezpieczyć się przed negatywnymi konsekwencjami naruszenia obowiązujących w tym zakresie zasad. Zapewnienie bezpieczeństwa danych osobowych jest procesem ciągłym, wymagającym systematycznej weryfikacji konieczności wprowadzenia nowych lub modyfikacji już funkcjonujących rozwiązań.
Źródło: Miesięcznik Państwowej Inspekcji Pracy Nr 9 2021
Ewa Zadłużna, młodszy specjalista, inspektor ochrony danych, OIP Olsztyn Prawo
Od marca 2020 r. Polska, podobnie jak wiele państw, mierzy się z nadzwyczajną sytuacją związaną z zagrożeniem, które niesie za sobą pandemia koronawirusa SARS-CoV-2. Stan wywołany epidemią w znaczący sposób zmienił rzeczywistość społeczno-gospodarczą, wpłynął również na funkcjonowanie instytucji. Nadzwyczajna sytuacja wymusiła wprowadzenie szczególnych regulacji prawnych, które m.in. pozwoliłyby pracodawcom na zorganizowanie pracy w sposób, który zwiększy ochronę życia i zdrowia pracowników. Jednym z takich rozwiązań było wprowadzenie możliwości pracy zdalnej, którą uregulowano w art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych [1].
Bezpiecznie poza biurem
Praca zdalna, która z założenia ma chronić pracownika, w przypadku wadliwego zorganizowania może zwiększać ryzyko naruszenia bezpieczeństwa jego danych osobowych. Organizując pracę zdalną i określając jej zasady, pracodawca powinien zatem brać pod uwagę nie tylko przepisy szeroko rozumianego prawa pracy, lecz także obowiązki wynikające z ogólnego rozporządzenia o ochronie danych osobowych (RODO) [2]. Rozporządzenie to nie stoi na przeszkodzie pracy zdalnej, nie zawiera również szczegółowych instrukcji w tym zakresie. Jednak gdy stwarza się pracownikom możliwość świadczenia pracy w formie zdalnej, celowe wydaje się wprowadzenie procedur, które zapewnią bezpieczeństwo danych osobowych podczas pracy poza biurem. Dlatego zgodnie z art. 32 RODO administrator i podmiot przetwarzający dane powinien wdrożyć takie zabezpieczenia techniczne i organizacyjne, które zapewnią stopień bezpieczeństwa odpowiadający określonemu ryzyku naruszenia praw lub wolności osób fizycznych. Należy przy tym pamiętać o zasadach dotyczących przetwarzania danych osobowych, o których mówi art. 5 RODO, a w szczególności:
- integralności i poufności – art. 5 ust. 1 lit. f RODO, zgodnie z którym przetwarzanie danych powinno się odbywać w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, a także zagwarantować ich ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
- rozliczalności – art. 5 ust. 2 RODO mówiący, iż administrator powinien być w stanie wykazać, że przyjęte środki są adekwatne i zostały odpowiednio wdrożone.
Zasady te mają charakter ogólny i nie przesądzają, jakie konkretne działania należy podjąć w związku z planowanym umożliwieniem świadczenia pracy w formie zdalnej. Również w przepisach prawa pracy, w tym w Kodeksie pracy [3] oraz specustawie covidowej, brak szczegółowych uregulowań dotyczących zasad pracy zdalnej. W art. 3 specustawy wskazano jedynie, że przy wykonywaniu pracy zdalnej pracownik może używać narzędzi lub materiałów niezapewnionych przez pracodawcę, pod warunkiem że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Zidentyfikować ryzyka
Poszukując wskazówek w zakresie zapewnienia bezpieczeństwa danych osobowych w czasie pracy zdalnej, warto posiłkować się informacjami publikowanymi przez Urząd Ochrony Danych Osobowych. UODO na swojej stronie zamieścił miniporadnik zawierający kilka kluczowych zasad dotyczących bezpieczeństwa danych osobowych w odniesieniu do urządzeń i oprogramowania, korzystania ze służbowej skrzynki elektronicznej oraz dostępu do sieci i chmury. Z oczywistych względów wskazówki te opisują jedynie niewielki zakres działań, które są niezbędne do zapewnienia bezpieczeństwa danych osobowych. Dlatego każdy administrator danych powinien sam w sposób kompleksowy zidentyfikować ryzyka istniejące w sferze bezpieczeństwa danych osobowych w jego firmie, co pozwoli w dalszej kolejności na dobór środków mających na celu ich zminimalizowanie. (…)
Bardzo ważne z punktu widzenia bezpieczeństwa jest systematyczne kształtowanie świadomości osób przetwarzających dane osobowe na podstawie upoważnienia udzielonego przez administratora. Nawet najlepiej przygotowane procedury mogą okazać się bowiem nieskuteczne, jeżeli osoby je stosujące nie znają wynikających z nich skutków lub co gorsze nie rozumieją ich.
Obowiązki administratora danych
Przygotowanie pracowników do takich zmian wiąże się z wyzwaniem nie tylko pod względem technicznym, ale również organizacyjnym. Dlatego przed wdrożeniem pracy zdalnej administrator danych winien podjąć działania mające na celu m.in.:
- opracowanie i wdrożenie wewnętrznych procedur określających zasady wykonywania pracy zdalnej, w tym również w zakresie zapewnienia bezpieczeństwa przetwarzania danych osobowych, zasad komunikacji itp.;
- przeszkolenie pracowników w zakresie obowiązujących zasad i przepisów dotyczących ochrony danych osobowych;
- automatyczne blokowanie ekranu; aktualny program antywirusowy z firewallem;
- ograniczenia w zakresie dokonywania zmian w konfiguracji systemu;
- możliwość szyfrowania danych.
Właściwe przygotowanie urządzeń niezbędnych do zdalnej realizacji obowiązków pracowniczych jest kluczowe dla spełnienia wymogów RODO. Należy jednak pamiętać, że równie istotne jest podnoszenie świadomości pracowników poprzez spotkania z przedstawicielem zespołu IT, a także szkolenia organizowane przez inspektora ochrony danych w danej jednostce. Administrator danych winien egzekwować od pracowników przestrzeganie podstawowej zasady, zgodnie z którą urządzenia im powierzone służą wyłącznie wykonywaniu obowiązków służbowych i nie powinny być wykorzystywane w celach prywatnych. Ponadto pracownicy powinni być informowani – w sposób niebudzący wątpliwości – o sposobie i zasadach świadczenia pracy w formie zdalnej.
(…)
Obowiązki pracowników
W zakresie „technicznej” strony wykonywania pracy, niezależnie od formy jej świadczenia, pracownicy zobowiązani są do przestrzegania obowiązujących w jednostce zasad bezpieczeństwa informacji, w szczególności poprzez zapewnienie ich poufności, dostępności i integralności. Jednak w przypadku pracy zdalnej pracownicy muszą zwrócić szczególną uwagę na element samokontroli, gdyż praca ta ogranicza możliwość bezpośredniego nadzoru. Rolą odpowiedzialnego pracownika jest więc takie zorganizowanie pracy, aby nie narazić siebie oraz pracodawcy na zarzut naruszenia bezpieczeństwa danych osobowych.
W pierwszej kolejności pracownicy powinni przestrzegać zasad, które mogą w znacznym stopniu zminimalizować ryzyko naruszenia danych osobowych, do których zalicza się:
- wydzielenie odpowiedniej przestrzeni do pracy – stanowiska pracy w taki sposób, aby ewentualne osoby postronne nie miały dostępu do danych;
- blokowanie urządzeń i zabezpieczanie dokumentów przy każdorazowym opuszczaniu stanowiska pracy;
- używanie udostępnionego sprzętu i infrastruktury tylko do zadań służbowych, w tym w szczególności nieudostępnianie komputerów osobom nieuprawnionym lub niewykorzystywanie sprzętu do rozrywki, np. do oglądania filmów, gier;
- niedrukowanie dokumentów bez zezwolenia na prywatnych drukarkach;
- nieprzenoszenie dokumentów i maili na prywatne nośniki danych, skrzynki mailowe lub chmury;
- nieskanowanie dokumentów za pomocą prywatnych skanerów czy telefonów;
- zamykanie komputera i zabezpieczanie dokumentacji po zakończeniu dnia pracy;
- używanie odpowiednio złożonych haseł dostępowych;
- weryfikowanie danych odbiorcy przed wysłaniem maila, zwłaszcza jeśli wiadomość zawiera dane osobowe, w tym tzw. dane wrażliwe (podlegające szczególnej ochronie);
- nieotwieranie wiadomości e-mail od nieznanych adresatów, a zwłaszcza podejrzanych załączników lub linków zawartych w takiej wiadomości;
- korzystanie tylko z zabezpieczonych sieci Wi-Fi – w przypadku posiadania służbowego telefonu w pierwszej kolejności używanie sieci udostępnionej z telefonu, w przypadku braku takiej możliwości i korzystania z sieci domowej, winna zostać ona odpowiednio zabezpieczona systemem szyfrowania;
- bieżące aktualizowanie systemu Windows oraz innych systemów operacyjnych zgodnie z wytycznymi zespołu IT.
O bezpieczeństwie danych osobowych pracownik powinien pamiętać również w czasie prowadzenia rozmów, w tym telefonicznych, podczas których może dochodzić do wymiany informacji objętych ochroną. Należy przy tym przestrzegać zasad ustalonych w danej jednostce (zakładzie pracy) [5] . Ponadto rozmowy takie powinny być prowadzone bez udziału osób trzecich oraz w miejscu, w którym rozmowa nie byłaby słyszana przez osoby postronne. Należy unikać prowadzenia rozmów w miejscach ogólnodostępnych, jak np. balkon, taras, klatka schodowa.
Bardzo ważną kwestią jest właściwe postępowanie pracownika w przypadku utraty służbowego telefonu komórkowego, routera lub tabletu. W takiej sytuacji należy pamiętać o obowiązku niezwłocznego zablokowania karty SIM, powiadomienia odpowiednich osób, np. kierownika właściwej komórki organizacyjnej, inspektora ochrony danych, a w przypadku kradzieży – także policji.
(…) Przekazując dokumentację za pośrednictwem środków porozumiewania się na odległość, pracownik powinien ją również odpowiednio zabezpieczyć przed możliwością odczytania przez osoby nieuprawnione. Możliwe są tu różne rozwiązania, jak chociażby wysyłka za pośrednictwem bezpiecznego kanału szyfrowanego oraz gwarantującego identyfikację nadawcy i adresata, np. ePUAP. Możliwe jest również wykorzystanie metod, które same w sobie nie gwarantują wystarczającego bezpieczeństwa, jednak pod warunkiem zastosowania dodatkowych rozwiązań technicznych. Przykładowo, prowadzenie korespondencji za pośrednictwem służbowej poczty elektronicznej samo w sobie mogłoby zostać uznane za niespełniające wymogów RODO. Inaczej będzie jednak, gdy przesyłane są zaszyfrowane dokumenty, z wykorzystaniem nieoczywistego hasła (spełniającego co najmniej podstawowe wymagania dotyczące bezpieczeństwa haseł), które zostanie przekazanie odbiorcy dokumentu za pośrednictwem np. telefonu po upewnieniu się, że rozmówcą jest właściwy adresat korespondencji. W przypadku jakichkolwiek wątpliwości, dotyczących ochrony danych osobowych pracownik powinien kontaktować się z wyznaczonym w danej jednostce inspektorem ochrony danych oraz uzyskać wsparcie zespołu IT, np. w zakresie prawidłowego zaszyfrowania dokumentów.
Źródło: Miesięcznik Państwowej Inspekcji Pracy Nr 9 2021
Ewa Zadłużna, młodszy specjalista, inspektor ochrony danych, OIP Olsztyn Prawo
Przypisy:
- Tekst jedn. Dz.U. z 2020 r., poz. 1842 z późn. zm., zwana dalej specustawą covidową. 2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej RODO. 3. Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy (t.j. Dz.U. z 2020 r., poz. 1320 z późn.zm.). 4. Zarządzenie nr 86/18 Głównego Inspektora Pracy z dnia 19 grudnia 2018 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji w Państwowej Inspekcji Pracy. 5. W przypadku pracowników Państwowej Inspekcji Pracy zasady te ustalono zarządzeniem nr 7/21 Głównego Inspektora Pracy z dnia 10 marca 2021 r. w sprawie zasad korzystania ze służbowych telefonów stacjonarnych i komórkowych, routerów oraz tabletów przez pracowników Państwowej Inspekcji Pracy. 6. Tekst jedn. Dz.U. z 2020 r., poz. 1041. 7. Tekst jedn. Dz.U. z 2020 r. poz. 344. 8. Wytyczne zostały opracowane na podstawie stanowiska Komisji Prawnej Głównego Inspektora Pracy z dnia 22 grudnia 2020 r. w sprawie możliwości i zasad prowadzenia przez uprawnione organy Państwowej Inspekcji Pracy kontroli lub poszczególnych czynności kontrolnych w sposób zdalny.