Praca zdalna a dane osobowe - jak je prawidłowo chronić?

W dobie pandemii koronawirusa jedną z możliwości, z jakich korzystają pracodawcy i ich pracownicy, jest praca zdalna. Pracodawca w wyjątkowych sytuacjach może zezwolić pracownikom na korzystanie wówczas z dokumentacji papierowej zawierającej dane osobowe. Wiąże się to jednak z większym ryzykiem naruszenia bezpieczeństwa danych osobowych, a tym samym – z koniecznością ich odpowiedniego zabezpieczenia. Praca zdalna a dane osobowe -  jak je prawidłowo chronić?

Praca zdalna a dane osobowe

Zgodnie z art. 3 ustawy z 20 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, w obowiązującym obecnie w Polsce stanie epidemii koronawirusa, od pracodawców wymaga się zorganizowania pracy w taki sposób, aby ograniczyć osobiste kontakty pomiędzy pracownikami. W szczególności – gdy jest to możliwe – poprzez polecenie im wykonywania pracy zdalnej.

W związku z tym pojawiło się sporo pytań dotyczących możliwości korzystania przez pracowników świadczących pracę zdalną z dokumentacji papierowej zawierającej dane osobowe. Kodeks pracy wprost reguluje niektóre kwestie dotyczące ochrony danych osobowych w ramach wykonywania telepracy. Żadne przepisy szczególne nie określają jednak odrębnych wymogów ochrony danych osobowych podczas pracy zdalnej. Dlatego pracodawca, kierując do niej pracownika, musi zapewnić zgodność z ogólnymi przepisami RODO dotyczącymi ochrony i bezpieczeństwa danych osobowych. W tym celu powinien wdrożyć odpowiednie procedury oraz środki organizacyjne i techniczne. Pracownicy muszą mieć bowiem wystarczającą świadomość i narzędzia umożliwiające im przestrzeganie przepisów o ochronie danych osobowych.

Praca zdalna a dane osobowe - zadania pracodawców i pracowników

Pracodawcy, będący administratorami danych przetwarzanych przez pracowników podczas pracy zdalnej, zobowiązani są do zapewnienia przestrzegania zasad przetwarzania danych. Przede wszystkim muszą zagwarantować ich bezpieczeństwo. Dotyczy to zarówno przetwarzania danych przy wykorzystaniu środków komunikacji elektronicznej, jak i danych zawartych w dokumentach papierowych.

Z kolei pracownicy wykonujący pracę zdalnie mogą przetwarzać dane osobowe wyłącznie w celach związanych z wykonywaniem swoich obowiązków służbowych. Muszą oni także zapewnić bezpieczeństwo takich danych, w szczególności przez przestrzeganie polityki wewnętrznej firmy i innych procedur przyjętych w tym zakresie przez pracodawcę. Na pracownikach spoczywa również ogólny obowiązek dbałości o dobro zakładu pracy w zakresie ochrony danych osobowych. Co istotne, pracownicy nie mogą samowolnie wynosić dokumentacji w postaci papierowej poza określony przez pracodawcę obszar przetwarzania danych.

Praca na dokumentach papierowych nie zawsze uzasadniona

Pracodawca, który zdecyduje się na umożliwienie pracownikom korzystania podczas pracy zdalnej z dokumentacji papierowej, musi podjąć działania mające na celu ograniczenie ryzyka związanego z utratą dostępności, integralności oraz poufności danych. Co więcej, musi on ocenić niezbędność wykorzystywania dokumentacji papierowej podczas pracy zdalnej. Należy wziąć przy tym pod uwagę charakter danych, cele (dla których są przetwarzane) oraz dostępne środki. Przede wszystkim należy rozważyć, czy do wykonania pracy niezbędny jest dostęp do danych osobowych. Może się bowiem okazać, możliwe stanie się skorzystanie z dokumentów zanonimizowanych.

Jak podaje UODO, praca na dokumentach papierowych nie będzie uzasadniona, jeżeli pracodawca:

1. wdrożył elektroniczny obieg dokumentów, a pracownik ma bezpieczny dostęp do niezbędnych do pracy danych osobowych przy pomocy środków komunikacji elektronicznej;
2. ma możliwość szybkiego, sprawnego i bezpiecznego wdrożenia elektronicznego obiegu dokumentacji;
3. może udostępnić pracownikowi odpowiednio zabezpieczone (m.in. zaszyfrowane) elektroniczne kopie niezbędnych dokumentów.

Jeżeli nie jest możliwe zastosowanie żadnego z ww. rozwiązań, warto zastanowić się nad pracą na kopiach niezbędnych dokumentów. Minimalizuje to ryzyko naruszenia integralności danych oraz utraty ich dostępności. Należy jednak pamiętać, że pracownik musi chronić dane zawarte w takich dokumentach. Musi się to odbywać na takich samych zasadach jak w dokumentacji oryginalnej.

Praca zdalna a dane osobowe - obowiązki pracodawcy

Pracodawca, decydując o możliwości wykorzystywania przez pracowników dokumentacji papierowej podczas pracy zdalnej, musi:

1. zapewnić ewidencjonowanie wydanych pracownikom dokumentów zawierających dane osobowe;
2. zapewnić, że udostępnione dokumenty pracownik będzie przechowywał przez okres niezbędny do wykonania określonego zadania podczas pracy zdalnej (ograniczenie przechowywania);
3. ograniczyć liczbę dokumentów wynoszonych z siedziby administratora do tego, co niezbędne w stosunku do celu przetwarzania danych osobowych przez pracownika w ramach pracy zdalnej;
4. zobowiązać pracownika do odpowiedniego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji (np. wynoszenie dokumentów w zabezpieczonej aktówce, przenoszenie dokumentów np. w taki sposób, aby były niewidocznie dla osób trzecich);
5. zobowiązać pracownika do odpowiedniego zabezpieczenia danych w miejscu wykonywania pracy zdalnej (np. przechowywanie dokumentów w zamykanych na klucz szufladach biurka lub szafach, przestrzeganie zasady czystego biurka, zabezpieczenie dokumentów przed wglądem nieuprawnionych osób trzecich, m.in. członków rodziny);
6. zapewnić, że pracownik będzie wykorzystywał dane osobowe wyłącznie w tym celu, w jakim wykorzystywano by je w siedzibie zakładu pracy;
7. określić procedurę związaną z niszczeniem dokumentów (zakaz wyrzucania dokumentów do kosza w domu; jeżeli pracownik nie posiada w domu niszczarki, powinien dokumenty przechowania w bezpieczny sposób, a po zakończeniu pracy zdalnej zniszczyć je w biurze);
8. zapewnić, że pracownik będzie zgłaszał pracodawcy każdy incydent bezpieczeństwa zgodnie z procedurą postępowania w sprawie naruszeń ochrony danych, tak aby administrator mógł się wywiązać z obowiązku nałożonego na mocy art. 33 ust. 1 RODO.