LexDigital

Praca zdalna a ochrona danych osobowych – jak przygotować organizację do home office

W niektórych firmach praca zdalna była standardem stosowanym już od dawna, jednak dla znacznej liczby organizacji jest to zupełnie nowe wyzwanie, któremu muszą teraz sprostać.

Praca zdalna a ochrona danych osobowych – jak przygotować organizację do home office

Od kilku tygodni Polska mierzy się z zagrożeniem jaki niesie ze sobą COVID-19, czyli choroba zakaźna wywołana koronawirusem SARS-CoV-2. Podejmowane są różne działania mające na celu spowolnienie rozprzestrzeniania się wirusa. Jednym z takich działań jest wprowadzenie przez organizacje możliwości pracy w trybie zdalnym.

Działania podejmowane przez ustawodawcę

W marcu rząd polski wprowadził kilka regulacji prawnych mających na celu opanowanie,  a przede wszystkim spowolnienie rozprzestrzeniania się wirusa w Polsce m.in. w dniu 12 marca 2020 r. w drodze rozporządzenia Ministra Zdrowia wprowadził w kraju stan zagrożenia epidemicznego, a 21 marca 2020 stan epidemii. Uchwalano również ustawę z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem  i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, tzw. Specustawę, w której, w artykule 3 ustawodawca zawarł regulację dotyczącą kwestii pracy zdalnej. 

31 marca 2020 roku podjęto kolejne kroki i wprowadzono rozporządzenie Rady Ministrów  w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku  z wystąpieniem stanu epidemii oraz rozporządzenie zmieniające z dnia 1 kwietnia 2020 r. 

W w/w aktach prawnych wprowadzono ograniczenia w zakresie funkcjonowania zakładów pracy, w tym nakaz zachowania 1,5 metrowej odległości pomiędzy stanowiskami pracy,  a w przypadku, gdy jest to niemożliwe ze względu na charakter działalności wykonywanej  w danym zakładzie pracy, wprowadzono obowiązek zapewnienia środków ochrony osobistej związanych ze zwalczaniem epidemii COVID-19.

Ponadto przedstawiciele rządu podczas wielu wystąpień publicznych wielokrotnie zwracali się do pracodawców z apelem o to, by maksymalnie wdrożyć pracę zdalną. Zgodnie z informacją przekazaną przez szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka, w marcu administracja rządowa zaczęła pracować zdalnie. Podobne rekomendacje rząd wprowadził  w podmiotach gospodarczych.


Home office a RODO

Specjaliści z obszaru ochrony danych osobowych podkreślają, że przepisy RODO nie zabraniają pracy zdalnej, ani nie zawierają obostrzeń w tym zakresie. 

Jednocześnie eksperci przypominają, że organizacje przy określaniu zasad pracy zdalnej powinny wziąć pod uwagę regulacje zawarte w ogólnym rozporządzeniu o ochronie danych osobowych. Realizacja obowiązków pracowników poza siedzibą firmy może nieść za sobą nowe ryzyka i zagrożenia, które koniecznie należy uwzględnić przy definiowaniu regulaminów oraz wewnętrznych procedur dotyczących pracy w trybie zdalnym.

W odniesieniu do powyższych kwestii istotny jest art. 32 RODO, który mówi, że administrator i podmiot przetwarzający zobowiązani są do wdrożenia odpowiednich środków technicznych  i organizacyjnych, które zapewnią stopień́ bezpieczeństwa odpowiadający określonemu ryzyku naruszenia praw i wolności osób fizycznych. 

Należy pamiętać również o art. 5 RODO, który reguluje zasady dotyczące przetwarzania danych, w tym zasady o zachowaniu integralności i poufności (art. 5 ust. 1 lit. f RODO), zgodnie z którymi dane powinny być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę̨ przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Należy w tym celu zastosować odpowiednie środki techniczne lub organizacyjne. Co do zasady administrator jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych osobowych,  w tym integralności i poufności danych i musi być w stanie wykazać ich przestrzeganie, tzw. „rozliczalność” (art. 5 ust. 2 RODO). W praktyce oznacza to, że administrator powinien dysponować dowodem potwierdzającym, że przyjęte w organizacji środki są adekwatne  i zostały odpowiednio wdrożone. 


Wytyczne Urzędu Ochrony Danych Osobowych

Zasady pracy w trybie zdalnym mają umożliwić pracownikom realizację ich obowiązków bez wychodzenia z domu, ale jednocześnie powinny zapewnić odpowiednie bezpieczeństwo,  w tym przetwarzanych danych osobowych. 18 marca 2020 roku wytyczne w powyższej kwestii wydał Urząd Ochrony Danych Osobowych. 

Przygotowany przez UODO dokument zawiera informacje o tym jak postępować podczas pracy zdalnej, aby nie naruszyć przepisów o ochronie danych oraz jakie zabezpieczenia rekomendować pracownikom.

W poradniku wskazano najważniejsze wytyczne w odniesieniu do urządzeń i oprogramowania, korzystania ze służbowej skrzynki elektronicznej oraz dostępu do sieci lub chmury.

(treść wytycznych UODO dostępna tutaj).

Przygotowanie organizacji do pracy zdalnej 

Ustalenie właściwych zasad pracy zdalnej oraz ich bezpieczne wdrożenie w organizacji zawsze stanowi pewne wyzwanie. Przede wszystkim należy właściwie zaplanować procesy związane z zarządzaniem, komunikacją w zespole, dostępem do danych, zabezpieczeniem technicznym i dystrybucją sprzętu. 

Wypracowanie optymalnych dla danej organizacji zasad pracy zdalnej wymaga przede wszystkim podjęcia działań ze strony kadry zarządzającej i zespołu IT. Jeśli  w organizacji powołany jest Inspektor Ochrony Danych lub administrator systemów informatycznych, warto poprosić ich o rekomendacje w zakresie pracy w trybie zdalnym. 

Punktem wyjścia przy ustalaniu zasad home office jest racjonalna ocena przez managerów i zespół IT stopnia w jakim przedsiębiorstwo jest organizacyjnie przygotowane do przejścia na pracę zdalną. Oczywisty jest fakt, że nie wszystkie przedsiębiorstwa będą w stanie wprowadzić takie rozwiązania, w tej grupie będą przedsiębiorstwa handlowe, produkcyjne czy placówki medyczne. W takich przypadkach praca zdalna może dotyczyć głównie personelu pionu administracyjnego. 

Następnym krokiem, który należy wykonać przygotowując firmę do nowego trybu pracy to działania w obszarze technicznym. Niezbędne będzie wykonanie inwentaryzacji sprzętu (przenośnych komputerów, telefonów, dysków zewnętrznych i innych niezbędnych urządzeń), dokonanie przeglądów technicznych sprzętu oraz przeprowadzenie weryfikacji przypisanych odpowiedzialności. 

Urządzenia, które będą wykorzystywane przez pracowników powinny być odpowiednio przygotowane tj. należy dokonać oceny sprawności urządzeń i adekwatności zainstalowanego oprogramowania, wykonać uaktualnienie oprogramowania (w tym antywirusowego), zweryfikować zabezpieczenia i ewentualnie wprowadzić dodatkowe (silne hasła uwierzytelniające, szyfrowanie dysków, dodatkowe zapory sieciowe), ustawić funkcje automatycznego blokowania ekranu, ograniczyć uprawnienia użytkowników w zakresie dokonywania modyfikacji, zainstalować zdalne i bezpieczne połączenia VPN, zainstalować nakładki prywatyzujące na ekran, które minimalizują ryzyko wglądu w ekran monitora osobom postronnym.

Należy również pamiętać o telefonach służbowych, które są często podstawowym narzędziem do sprawdzania poczty e-mail, a nawet obsługi przeglądarkowych systemów informatycznych zawierających bardzo duże ilości danych osobowych.

Podobnie jak w przypadku służbowego komputera, smartfon powinien być odpowiednio zabezpieczony tj. musi posiadać blokadę ekranu, możliwość szyfrowania danych, możliwość łączenia się z Internetem i firmową siecią za pośrednictwem bezpiecznego łącza VPN.

Organizacja może dopuścić możliwość pracy na prywatnym sprzęcie (rozwiązanie BYOD (Bring Your Own Device). RODO nie zabrania stosowania takiej praktyki, należy jednak pamiętać o kilku bardzo istotnych elementach takich jak,dokonanie oceny możliwości zastosowania zabezpieczeń pozwalających na zachowanie standardów bezpieczeństwa oraz przynajmniej sprawowanie minimalnej kontroli nad nim (zdalny dostęp do zasobów sieci firmowej, tworzenie przestrzeni dyskowych). 

W ramach dobrych praktyk organizacja może podjąć również dodatkowe działania operacyjne np. można rozważyć powołanie zespołu   stanowiącego   wsparcie techniczne dla pracowników w przypadku wystąpienia problemów technicznych dotyczących wykorzystywanego sprzętu, czy też aplikacji/systemów. Można opracować także system ewentualnych dyżurów w organizacji np. dla zachowania ciągłości odbioru i wysyłki korespondencji. 


Opracowanie i wdrażanie wewnętrznych regulacji (instrukcje, regulaminy)

Specjaliści rekomendują sporządzenie stosownych dokumentów regulujących proces delegowania pracowników do pracy zdalnej. Dokumenty te powinny regulować prawa i   obowiązki pracodawcy oraz pracownika. 

Zaleca się opracowanie regulaminów/instrukcji pracy zdalnej, w których należy ustanowić m.in.:

  • zasady w zakresie dostępności pracowników w czasie dnia pracy (np. przedziały godzinowe),
  • zasady weryfikacji efektów pracy pracowników i sposobów ich raportowania,
  • metody komunikacji wewnętrznej i zewnętrznej będące najbardziej odpowiednie  i zalecane (skuteczne i bezpieczne), 
  • zasady zabezpieczania dokumentacji w wersji wydruków wynoszonych poza organizację np. katalogowanie dokumentacji z podziałem na taką, której wyniesienie poza organizację jest dopuszczalne i taką, w przypadku której nie jest to dozwolone, zasady zabezpieczenia dokumentacji podczas jej przewożenia, zasady odpowiedzialności nad powierzoną dokumentacją.
  • zasady w zakresie zachowania ostrożności wobec osób przebywających w miejscu pracy zdalnej pracownika,
  • zasady postępowania w przypadku wystąpienia incydentu polegającego np. na nieumyślnym udostępnieniu przetwarzanych informacji osobom nieuprawnionym,
  • zasady postępowania w przypadku wystąpienia awarii sprzętu czy też dostępu do narzędzi komunikacyjnych (w tym Internetu),
  • zasady postępowania w przypadku konieczności wezwania pracownika do biura, np. w sytuacji kryzysowej, gdy jego obecność w biurze byłaby niezbędna. 
  • zasady stosowania sprzętu prywatnego (jeśli pracodawca dopuszcza taką możliwość).

Należy pamiętać także, że zabronione jest wyrzucanie dokumentów zawierających dane osobowe do kosza w domu. W razie potrzeby należy je po zakończeniu pracy zdalnej zabrać do biura i zniszczyć je w niszczarce.


Świadomość pracowników o pracy w trybie zdalnym

Bardzo ważnym elementem w przygotowaniu organizacji do pracy w trybie zdalnym jest zbudowanie odpowiedniej świadomości pracowników w tym zakresie.

Konieczne jest poinformowanie personelu o zasadach związanych z przejściem organizacji na tryb pracy zdalnej oraz przeprowadzenie szkoleń. 

Z racji zaistniałej sytuacji, w której możliwości organizacji spotkań są mocno ograniczone lub zawieszone, należałoby rozważyć prowadzenie szkoleń on-line, wykorzystując do tego dostępne w organizacji narzędzia np. platformy e-learningowe, wiadomości e-mail, telekonferencje czy komunikatory wewnętrzne. 

Podsumowanie

Przygotowanie organizacji do pracy zdalnej, która pozwoli na zachowanie bezpieczeństwa przetwarzanych przez organizację informacji jest sporym wyzwaniem. Jednakże stosując się do opisanych powyżej zasad można w znacznym stopniu zminimalizować ryzyko naruszenia danych osobowych.

Polecane

Czy compliance officer może być inspektorem ochrony danych?

Czy compliance officer może być inspektorem ochrony danych?

25 maja 2020 roku miną 2 lata odkąd obowiązują wymogi ogólnego rozporządzenia o ochronie danych osobowych (RODO). Funkcja Inspektora Ochrony Danych (IOD) oraz jego zadania zostały dość jasno określone w rozporządzeniu i wydaje się, że po 24 miesiącach funkcjonowania RODO wszystko powinno być jasne. Skąd zatem tyle wątpliwości dotyczących łączenia stanowiska IOD z innymi obowiązkami? I czy możliwe jest łączenie funkcji IOD ze stanowiskiem compliance officera?

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.