Praca zdalna zgodna z RODO – rozwiązanie nie tylko na czas pandemii
Po zakończeniu pandemii zmiany w podejściu do zarządzania w organizacjach mogą być widoczne w kilku obszarach. Jednym z takich obszarów może być tryb i miejsce wykonywania pracy.
Zakłada się, że praca zdalna może być nową rzeczywistością funkcjonowania dla wielu przedsiębiorstw. Czas pandemii pokazał bowiem, że organizacje są w stanie funkcjonować w oparciu o pracę wykonywaną w trybie zdalnym, przy jednoczesnym zachowaniu wysokiej efektywności pracowników.
O podstawowych aspektach przygotowania organizacji do pracy w trybie zdalnym pisaliśmy w naszym artykule „Praca zdalna a ochrona danych osobowych – jak przygotować organizację do home office”, który został opublikowany 08.04.2020 roku. W dzisiejszym wpisie poruszymy aspekty dotyczące bezpieczeństwa informacji związane z pracą zdalną, traktowaną jako stałe rozwiązanie.
Praca zdalna jako stały element działalności przedsiębiorstwa – co mówią wyniki badań?
Badanie z 2019 roku szwajcarskiej firmy IWG, która zajmuje się wydajnością w przedsiębiorstwach pokazało, że niemal 50% z 18 tysięcy respondentów z prawie 100 międzynarodowych przedsiębiorstw mogło pracować zdalnie przez większość dni tygodnia. Z kolei najnowsze badanie amerykańskiej firmy Gartner z marca 2020 roku pokazuje, że prawie 90% przebadanych firm dało możliwość pracy zdalnej swoim pracownikom.
Wg przewidywań firmy Gartner co trzeci pracownik, który pracuje obecnie w trybie home office może już nie wrócić do biura. Wcześniejsze badania prowadzone przez firmę Gartner wskazywały, że odsetek ten wynosił zaledwie 5%. Niewątpliwy wpływ na tak znaczny wzrost ma aktualna sytuacja związana z pandemią koronawirusa. Zakłada się, że elastyczne formy pracy będą przyszłością biznesu, a obecna sytuacja związana z koronawirusem zapoczątkuje nowe strategie firm na wielu światowych rynkach.
Wiele organizacji, które wdrożyły w ostatnim czasie system pracy zdalnej nie odnotowało spadku efektywności pracowników czy obniżenia poziomu realizowanych zadań. Co więcej, pracownicy, którzy wykonują pracę zdalną deklarują, że są bardziej zadowoleni oraz rzadziej biorą wolne. W związku z czym organizacje, które mogą pozwolić sobie na wdrożenie pracy zdalnej jako stałego elementu funkcjonowania coraz śmielej rozważają taką możliwość. Istotne jest również, że wprowadzenie pracy w trybie zdalnym to okazja do zmniejszania kosztów przedsiębiorstwa, zarówno stałych (np. kosztów wynajmu powierzchni biurowych, opłat eksploatacyjnych) jak i zmiennych.
Przygotowanie organizacji do pracy zdalnej
Ustalenie właściwych zasad pracy zdalnej, przy jednoczesnym zapewnieniu odpowiedniego poziomu bezpieczeństwa stanowi duże wyzwanie. Elastyczna praca wymaga innych form koordynacji, kontroli i komunikacji w zespole, czyli stworzenia nowej infrastruktury prowadzenia biznesu. Przede wszystkim należy właściwie zaplanować procesy związane z zarządzaniem, dostępem do danych, zabezpieczeniem technicznym i dystrybucją sprzętu. Podjęte działania powinny zapewnić spełnienie wymagań RODO.
Niewystarczające przygotowanie przedsiębiorstwa na pracę zdalną może powodować wzmożone zagrożenie występowania incydentów bezpieczeństwa m.in. poprzez mniej restrykcyjne formy zabezpieczeń czy błędy ludzkie. Dlatego tak ważne jest ustalenie odpowiednich zasad, wprowadzenie zabezpieczeń technicznych, szkolenia pracowników, budowanie świadomości.
Wypracowanie optymalnych dla danej organizacji reguł pracy zdalnej powinno zostać zrealizowane przez zespół interdyscyplinarny, w którym znajdą się przedstawiciele kadry zarządzającej oraz działu IT. Jeśli w organizacji powołany jest Inspektor Ochrony Danych lub administrator systemów informatycznych, to również oni powinni zostać włączeni w działania związane z przygotowaniem organizacji do nowego trybu pracy. Warto poprosić ich o rekomendacje w zakresie rozwiązań organizacyjnych i technicznych związanych z pracą w trybie zdalnym.
Przygotowania w obszarze organizacyjnym
Przygotowania przedsiębiorstwa w obszarze organizacyjnym powinny objąć następujące działania:
- zdefiniowanie niezbędnych zasobów do wykonywania pracy poza siedzibą,
- opracowanie nowych zasad pracy,
- szkolenia dla pracowników,
- utworzenie sztabu kryzysowego i zespołów wsparcia.
Zespół, który będzie przygotowywał wdrożenie pracy zdalnej powinien określić niezbędne zasoby, które potrzebne będą do wykonywania pracy poza siedzibą firmy. Zasady pracy zdalnej powinny wspierać efektywność zespołu. Przy wdrażaniu systemu pracy zdalnej istotne jest również zbudowanie zaufania pomiędzy pracownikami i przełożonymi.
Bardzo ważnym elementem w przygotowaniu organizacji do pracy w trybie zdalnym jest zbudowanie odpowiedniej świadomości pracowników w tym zakresie. Konieczne jest poinformowanie personelu o zasadach związanych z przejściem organizacji na tryb pracy zdalnej oraz przeprowadzenie szkoleń.
Organizacja powinna podjąć również działania operacyjne zmierzające do powołania zespołu stanowiącego wsparcie techniczne dla pracowników w przypadku wystąpienia problemów technicznych dotyczących wykorzystywanego sprzętu, czy też aplikacji/systemów.
Przygotowania w obszarze technicznym
Działania organizacji zmierzające do przygotowania przedsiębiorstwa do pracy zdalnej w obszarze technicznym powinny objąć:
- inwentaryzację sprzętu informatycznego,
- przegląd techniczny sprzętu,
- przegląd oprogramowania (rodzaj, aktualność) i wybór nowego,
- wybór oprogramowania służącego ochronie sprzętu i informacji na nim zapisanych,
- wybór narzędzi służących do monitorowania czasu pracy pracowników.
Należy pamiętać, że home office jako benefit dla pracowników, to wytężona praca po stronie zespołów IT oraz wyzwanie dla infrastruktury informatycznej, pod kątem jej dodatkowego obciążenia, ale też i bezpieczeństwa w przepływie informacji.
Przy wdrażaniu możliwości pracy zdalnej konieczne jest wykonanie inwentaryzacji sprzętu (przenośnych komputerów, telefonów, dysków zewnętrznych i innych niezbędnych urządzeń), dokonywanie okresowych przeglądów technicznych sprzętu oraz weryfikowanie przypisanych odpowiedzialności. Urządzenia, które będą wykorzystywane przez pracowników powinny być odpowiednio przygotowane i nadzorowane tj. należy dokonywać okresowej oceny sprawności urządzeń i adekwatności zainstalowanego oprogramowania, wykonywać aktualizacje oprogramowania (w tym antywirusowego), weryfikować zabezpieczenia i ewentualnie wprowadzać dodatkowe (silne hasła uwierzytelniające, szyfrowanie dysków, dodatkowe zapory sieciowe).
Organizacje, które chcą wprowadzić możliwość pracy zdalnej jako stałego elementu funkcjonowania przedsiębiorstwa powinny zapewnić pracownikom odpowiednie wsparcie technologiczne w postaci licznych aplikacji związanych z zarządzaniem projektami, cyberbezpieczeństwem, wideo konferencjami i współpracą zespołową.
Konieczne jest określenie i wprowadzenie narzędzi dla kadry zarządzającej, które umożliwią kontrolę i monitorowanie pracy tj. planowanie, wyznaczanie i rozliczanie zadań dla pracowników zdalnych.
Przygotowania w obszarze dokumentacji
Specjaliści rekomendują sporządzenie stosownych dokumentów regulujących proces delegowania pracowników do pracy zdalnej. Dokumenty te powinny regulować prawa i obowiązki pracodawcy oraz pracownika.
Przygotowania w obszarze dokumentacji powinny obejmować:
- wprowadzenie zmian do Regulaminu pracy
- opracowanie Regulaminu pracy zdalnej
- opracowanie Instrukcji BHP
- opracowanie zasad postępowania dla pracowników
- dodanie nowych procesów i wprowadzenia zmian w rejestrze czynności przetwarzania danych
- przeprowadzenie analizy ryzyka dla procesu pracy zdalnej
Weryfikacja i aktualizacja dokumentacji powinna zostać przeprowadzona pod kątem zasad odnoszących się do pracy poza siedzibą, zasad postępowania ze sprzętem służbowym, zasad zabezpieczenia informacji poufnych i danych osobowych, zobowiązania do zachowania poufności, zasad odnoszących się do korzystania z narzędzi informatycznych, poczty elektronicznej i Internetu.
Należy pamiętać, że praca zdalna generuje większe ryzyko naruszenia przepisów RODO, co może się wiązać z nałożeniem sankcji. Posiadanie procedur będzie mieć kluczowe znaczenie przy ocenie dokonywanej przez organ nadzorczy w przypadku wystąpienia incydentu związanego z ochroną danych, np. wycieku, nieuprawnionego dostępu osób trzecich itp.
Skuteczne wdrożenie procedur polega nie tylko na ich opracowaniu, ale przede wszystkim na tym, że ich treść jest znana pracownikom, a zasady opisane w dokumentach są przestrzegane przez pracowników. Stosowanie procedur może również podlegać ocenie organu nadzorczego podczas ewentualnej kontroli.
Kluczowe jest właściwe udokumentowanie procesów w firmie związanych z pracą zdalną. Działaniami, które należy wykonać i udokumentować są m.in. aktualizacja rejestru czynności przetwarzania, przeprowadzenie analizy ryzyka dla procesu.
Przeprowadzenie analizy ryzyka jest nie tylko wskazane, ale zgodnie z artykułem 35 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – obowiązkowe. Bez przeprowadzenia rzetelnej analizy ryzyka niemożliwe jest bowiem ustalenie zastosowanie jakich środków zapewni bezpieczeństwo przetwarzania danych lub zminimalizuje ryzyko związane z tym przetwarzaniem.
Proces związany z pracą w trybie zdalnym został wprost wskazany przez Prezesa Urzędu Ochrony Danych Osobowych jako związany z wysokim ryzkiem dla przetwarzania danych. Rzetelnie przeprowadzona analiza ryzyka dla tego procesu jest zatem punktem na mapie wskazującej zgodność organizacji z RODO.
Przy weryfikacji dokumentów konieczne mogą być również zmiany w umowach powierzenia zawartych pomiędzy administratorem a podmiotami przetwarzającymi. Należy zweryfikować, czy umowy zawierają uregulowania w odniesieniu do pracy zdalnej.
Profesjonalnie przygotowane dokumenty ułatwiające prawidłowe wdrożenie procedury pracy zdalnej są dostępne w większości naszych pakietów RODO dla małych firm.
Podsumowanie
Przygotowanie organizacji do pracy zdalnej, która pozwoli na zachowanie bezpieczeństwa przetwarzanych przez organizację informacji jest sporym wyzwaniem.
Przy pracach związanych w wdrożeniem pracy w trybie zdalnym można skorzystać z usług firm doradczych, które mogą przeprowadzić audyt organizacji i weryfikację dotychczas stosowanych rozwiązań. Zakres prac może również objąć audyt dokumentacji, jej modyfikacje i opracowanie nowej. Ponadto audyt systemu informatycznego, stosowanych mechanizmów zabezpieczających i oprogramowania, doradztwo w zakresie wyboru narzędzi informatycznych. Firma doradcza może dokonać również analizy ryzyka i przeprowadzić ocenę skutków dla ochrony danych. Ponadto można zlecić jej szkolenia kadry zarządzającej oraz pracowników.
Należy pamiętać, że rzetelna praca wykonana na początku całego procesu pozwoli organizacji spełnić wymagania RODO w tym zakresie oraz przede wszystkim zapewni odpowiedni poziom bezpieczeństwa informacji przetwarzanych przez organizacje. Co więcej, prawidłowe przygotowanie całego procesu pozwoli w znacznym stopniu zminimalizować ryzyko naruszenia danych osobowych.