W dobie pandemii koronawirusa jedną z możliwości, z jakich korzystają pracodawcy i ich pracownicy, jest praca zdalna. Pracodawca w wyjątkowych sytuacjach może zezwolić pracownikom na korzystanie wówczas z dokumentacji papierowej zawierającej dane osobowe. Wiąże się to jednak z większym ryzykiem naruszenia bezpieczeństwa danych osobowych, a tym samym – z koniecznością ich odpowiedniego zabezpieczenia. Praca zdalna a dane osobowe - jak je prawidłowo chronić?
Zgodnie z art. 3 ustawy z 20 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, w obowiązującym obecnie w Polsce stanie epidemii koronawirusa, od pracodawców wymaga się zorganizowania pracy w taki sposób, aby ograniczyć osobiste kontakty pomiędzy pracownikami. W szczególności – gdy jest to możliwe – poprzez polecenie im wykonywania pracy zdalnej.
W związku z tym pojawiło się sporo pytań dotyczących możliwości korzystania przez pracowników świadczących pracę zdalną z dokumentacji papierowej zawierającej dane osobowe. Kodeks pracy wprost reguluje niektóre kwestie dotyczące ochrony danych osobowych w ramach wykonywania telepracy. Żadne przepisy szczególne nie określają jednak odrębnych wymogów ochrony danych osobowych podczas pracy zdalnej. Dlatego pracodawca, kierując do niej pracownika, musi zapewnić zgodność z ogólnymi przepisami RODO dotyczącymi ochrony i bezpieczeństwa danych osobowych. W tym celu powinien wdrożyć odpowiednie procedury oraz środki organizacyjne i techniczne. Pracownicy muszą mieć bowiem wystarczającą świadomość i narzędzia umożliwiające im przestrzeganie przepisów o ochronie danych osobowych.
Pracodawcy, będący administratorami danych przetwarzanych przez pracowników podczas pracy zdalnej, zobowiązani są do zapewnienia przestrzegania zasad przetwarzania danych. Przede wszystkim muszą zagwarantować ich bezpieczeństwo. Dotyczy to zarówno przetwarzania danych przy wykorzystaniu środków komunikacji elektronicznej, jak i danych zawartych w dokumentach papierowych.
Z kolei pracownicy wykonujący pracę zdalnie mogą przetwarzać dane osobowe wyłącznie w celach związanych z wykonywaniem swoich obowiązków służbowych. Muszą oni także zapewnić bezpieczeństwo takich danych, w szczególności przez przestrzeganie polityki wewnętrznej firmy i innych procedur przyjętych w tym zakresie przez pracodawcę. Na pracownikach spoczywa również ogólny obowiązek dbałości o dobro zakładu pracy w zakresie ochrony danych osobowych. Co istotne, pracownicy nie mogą samowolnie wynosić dokumentacji w postaci papierowej poza określony przez pracodawcę obszar przetwarzania danych.
Pracodawca, który zdecyduje się na umożliwienie pracownikom korzystania podczas pracy zdalnej z dokumentacji papierowej, musi podjąć działania mające na celu ograniczenie ryzyka związanego z utratą dostępności, integralności oraz poufności danych. Co więcej, musi on ocenić niezbędność wykorzystywania dokumentacji papierowej podczas pracy zdalnej. Należy wziąć przy tym pod uwagę charakter danych, cele (dla których są przetwarzane) oraz dostępne środki. Przede wszystkim należy rozważyć, czy do wykonania pracy niezbędny jest dostęp do danych osobowych. Może się bowiem okazać, możliwe stanie się skorzystanie z dokumentów zanonimizowanych.
Jak podaje UODO, praca na dokumentach papierowych nie będzie uzasadniona, jeżeli pracodawca:
Jeżeli nie jest możliwe zastosowanie żadnego z ww. rozwiązań, warto zastanowić się nad pracą na kopiach niezbędnych dokumentów. Minimalizuje to ryzyko naruszenia integralności danych oraz utraty ich dostępności. Należy jednak pamiętać, że pracownik musi chronić dane zawarte w takich dokumentach. Musi się to odbywać na takich samych zasadach jak w dokumentacji oryginalnej.
Pracodawca, decydując o możliwości wykorzystywania przez pracowników dokumentacji papierowej podczas pracy zdalnej, musi: