LexDigital

Praca zdalna zgodna z RODO - rozwiązanie nie tylko na czas pandemii

Po zakończeniu pandemii zmiany w podejściu do zarządzania w organizacjach mogą być widoczne w kilku obszarach. Jednym z takich obszarów może być tryb i miejsce wykonywania pracy.

Praca zdalna zgodna z RODO - rozwiązanie nie tylko na czas pandemii

Zakłada się, że praca zdalna może być nową rzeczywistością funkcjonowania dla wielu przedsiębiorstw. Czas pandemii pokazał bowiem, że organizacje są w stanie funkcjonować w oparciu o pracę wykonywaną w trybie zdalnym, przy jednoczesnym zachowaniu wysokiej efektywności pracowników. 


O podstawowych aspektach przygotowania organizacji do pracy w trybie zdalnym pisaliśmy  w naszym artykule „Praca zdalna a ochrona danych osobowych – jak przygotować organizację do home office”, który został opublikowany 08.04.2020 roku. W dzisiejszym wpisie poruszymy aspekty dotyczące bezpieczeństwa informacji związane z pracą zdalną, traktowaną jako stałe rozwiązanie. 


Praca zdalna jako stały element działalności przedsiębiorstwa – co mówią wyniki badań? 

Badanie z 2019 roku szwajcarskiej firmy IWG, która zajmuje się wydajnością w przedsiębiorstwach pokazało, że niemal 50% z 18 tysięcy respondentów z prawie 100 międzynarodowych przedsiębiorstw mogło pracować zdalnie przez większość dni tygodnia. Z kolei najnowsze badanie amerykańskiej firmy Gartner z marca 2020 roku pokazuje, że prawie 90% przebadanych firm dało możliwość pracy zdalnej swoim pracownikom. 

Wg przewidywań firmy Gartner co trzeci pracownik, który pracuje obecnie w trybie home office może już nie wrócić do biura. Wcześniejsze badania prowadzone przez firmę Gartner wskazywały, że odsetek ten wynosił zaledwie 5%. Niewątpliwy wpływ na tak znaczny wzrost ma aktualna sytuacja związana z pandemią koronawirusa. Zakłada się, że elastyczne formy pracy będą przyszłością biznesu, a obecna sytuacja związana z koronawirusem zapoczątkuje nowe strategie firm na wielu światowych rynkach.

Wiele organizacji, które wdrożyły w ostatnim czasie system pracy zdalnej nie odnotowało spadku efektywności pracowników czy obniżenia poziomu realizowanych zadań. Co więcej, pracownicy, którzy wykonują pracę zdalną deklarują, że są bardziej zadowoleni oraz rzadziej biorą wolne.  W związku z czym organizacje, które mogą pozwolić sobie na wdrożenie pracy zdalnej jako stałego elementu funkcjonowania coraz śmielej rozważają taką możliwość. Istotne jest również, że wprowadzenie pracy w trybie zdalnym to okazja do zmniejszania kosztów przedsiębiorstwa, zarówno stałych (np. kosztów wynajmu powierzchni biurowych, opłat eksploatacyjnych) jak i zmiennych. 


Przygotowanie organizacji do pracy zdalnej

Ustalenie właściwych zasad pracy zdalnej, przy jednoczesnym zapewnieniu odpowiedniego poziomu bezpieczeństwa stanowi duże wyzwanie. Elastyczna praca wymaga innych form koordynacji, kontroli i komunikacji w zespole, czyli stworzenia nowej infrastruktury prowadzenia biznesu.  Przede wszystkim należy właściwie zaplanować procesy związane z zarządzaniem, dostępem do danych, zabezpieczeniem technicznym i dystrybucją sprzętu. Podjęte działania powinny zapewnić spełnienie wymagań RODO.

Niewystarczające przygotowanie przedsiębiorstwa na pracę zdalną może powodować wzmożone zagrożenie występowania incydentów bezpieczeństwa m.in. poprzez mniej restrykcyjne formy zabezpieczeń czy błędy ludzkie. Dlatego tak ważne jest ustalenie odpowiednich zasad, wprowadzenie zabezpieczeń technicznych, szkolenia pracowników, budowanie świadomości.

Wypracowanie optymalnych dla danej organizacji reguł pracy zdalnej powinno zostać zrealizowane przez zespół interdyscyplinarny, w którym znajdą się przedstawiciele kadry zarządzającej oraz działu IT. Jeśli w organizacji powołany jest Inspektor Ochrony Danych lub administrator systemów informatycznych, to również oni powinni zostać włączeni w działania związane z przygotowaniem organizacji do nowego trybu pracy. Warto poprosić ich o rekomendacje w zakresie rozwiązań organizacyjnych i technicznych związanych z pracą w trybie zdalnym. 

 

Przygotowania w obszarze organizacyjnym

Przygotowania przedsiębiorstwa w obszarze organizacyjnym powinny objąć następujące działania:

  • zdefiniowanie niezbędnych zasobów do wykonywania pracy poza siedzibą,
  • opracowanie nowych zasad pracy,
  • szkolenia dla pracowników,
  • utworzenie sztabu kryzysowego i zespołów wsparcia. 

Zespół, który będzie przygotowywał wdrożenie pracy zdalnej powinien określić niezbędne zasoby, które potrzebne będą do wykonywania pracy poza siedzibą firmy. Zasady pracy zdalnej powinny wspierać efektywność zespołu. Przy wdrażaniu systemu pracy zdalnej istotne jest również zbudowanie zaufania pomiędzy pracownikami i przełożonymi. 

Bardzo ważnym elementem w przygotowaniu organizacji do pracy w trybie zdalnym jest zbudowanie odpowiedniej świadomości pracowników w tym zakresie. Konieczne jest poinformowanie personelu o zasadach związanych z przejściem organizacji na tryb pracy zdalnej oraz przeprowadzenie szkoleń. 

Organizacja powinna podjąć również działania operacyjne zmierzające do powołania zespołu   stanowiącego wsparcie techniczne dla pracowników w przypadku wystąpienia problemów technicznych dotyczących wykorzystywanego sprzętu, czy też aplikacji/systemów. 

  

Przygotowania w obszarze technicznym

Działania organizacji zmierzające do przygotowania przedsiębiorstwa do pracy zdalnej w obszarze technicznym powinny objąć:

  • inwentaryzację sprzętu informatycznego,
  • przegląd techniczny sprzętu,
  • przegląd oprogramowania (rodzaj, aktualność) i wybór nowego,
  • wybór oprogramowania służącego ochronie sprzętu i informacji na nim zapisanych,
  • wybór narzędzi służących do monitorowania czasu pracy pracowników.

Należy pamiętać, że home office jako benefit dla pracowników, to wytężona praca po stronie zespołów IT oraz wyzwanie dla infrastruktury informatycznej, pod kątem jej dodatkowego obciążenia, ale też i bezpieczeństwa w przepływie informacji. 

Przy wdrażaniu możliwości pracy zdalnej konieczne jest wykonanie inwentaryzacji sprzętu (przenośnych komputerów, telefonów, dysków zewnętrznych i innych niezbędnych urządzeń), dokonywanie okresowych przeglądów technicznych sprzętu oraz weryfikowanie przypisanych odpowiedzialności.  Urządzenia, które będą wykorzystywane przez pracowników powinny być odpowiednio przygotowane i nadzorowane tj. należy dokonywać okresowej oceny sprawności urządzeń i adekwatności zainstalowanego oprogramowania, wykonywać aktualizacje oprogramowania (w tym antywirusowego), weryfikować zabezpieczenia i ewentualnie wprowadzać dodatkowe (silne hasła uwierzytelniające, szyfrowanie dysków, dodatkowe zapory sieciowe). 

Organizacje, które chcą wprowadzić możliwość pracy zdalnej jako stałego elementu funkcjonowania przedsiębiorstwa powinny zapewnić pracownikom odpowiednie wsparcie technologiczne w postaci licznych aplikacji związanych z zarządzaniem projektami, cyberbezpieczeństwem, wideo konferencjami i współpracą zespołową. 

Konieczne jest określenie i wprowadzenie narzędzi dla kadry zarządzającej, które umożliwią kontrolę i monitorowanie pracy tj. planowanie, wyznaczanie i rozliczanie zadań dla pracowników zdalnych.

  

Przygotowania w obszarze dokumentacji

Specjaliści rekomendują sporządzenie stosownych dokumentów regulujących proces delegowania pracowników do pracy zdalnej. Dokumenty te powinny regulować prawa i obowiązki pracodawcy oraz pracownika. 

Przygotowania w obszarze dokumentacji powinny obejmować:

  • wprowadzenie zmian do Regulaminu pracy 
  • opracowanie Regulaminu pracy zdalnej
  • opracowanie Instrukcji BHP
  • opracowanie zasad postępowania dla pracowników
  • dodanie nowych procesów i wprowadzenia zmian w rejestrze czynności przetwarzania danych
  • przeprowadzenie analizy ryzyka dla procesu pracy zdalnej

Weryfikacja i aktualizacja dokumentacji powinna zostać przeprowadzona pod kątem zasad odnoszących się do pracy poza siedzibą, zasad postępowania ze sprzętem służbowym, zasad zabezpieczenia informacji poufnych i danych osobowych, zobowiązania do zachowania poufności, zasad odnoszących się do korzystania z narzędzi informatycznych, poczty elektronicznej i Internetu.

Należy pamiętać, że praca zdalna generuje większe ryzyko naruszenia przepisów RODO, co może się wiązać z nałożeniem sankcji. Posiadanie procedur będzie mieć kluczowe znaczenie przy ocenie dokonywanej przez organ nadzorczy w przypadku wystąpienia incydentu związanego z ochroną danych, np. wycieku, nieuprawnionego dostępu osób trzecich itp. 

Skuteczne wdrożenie procedur polega nie tylko na ich opracowaniu, ale przede wszystkim na tym, że ich treść jest znana pracownikom, a zasady opisane w dokumentach są przestrzegane przez pracowników. Stosowanie procedur może również podlegać ocenie organu nadzorczego podczas ewentualnej kontroli. 

Kluczowe jest właściwe udokumentowanie procesów w firmie związanych z pracą zdalną. Działaniami, które należy wykonać i udokumentować są m.in. aktualizacja rejestru czynności przetwarzania, przeprowadzenie analizy ryzyka dla procesu. 

Przeprowadzenie analizy ryzyka jest nie tylko wskazane, ale zgodnie z artykułem 35 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – obowiązkowe. Bez przeprowadzenia rzetelnej analizy ryzyka niemożliwe jest bowiem ustalenie zastosowanie jakich środków zapewni bezpieczeństwo przetwarzania danych lub zminimalizuje ryzyko związane z tym przetwarzaniem.

Proces związany z pracą w trybie zdalnym został wprost wskazany przez Prezesa Urzędu Ochrony Danych Osobowych jako związany z wysokim ryzkiem dla przetwarzania danych. Rzetelnie przeprowadzona analiza ryzyka dla tego procesu jest zatem punktem na mapie wskazującej zgodność organizacji z RODO. 

Przy weryfikacji dokumentów konieczne mogą być również zmiany w umowach powierzenia zawartych pomiędzy administratorem a podmiotami przetwarzającymi. Należy zweryfikować, czy umowy zawierają uregulowania w odniesieniu do pracy zdalnej. 


Podsumowanie

Przygotowanie organizacji do pracy zdalnej, która pozwoli na zachowanie bezpieczeństwa przetwarzanych przez organizację informacji jest sporym wyzwaniem. 

Przy pracach związanych w wdrożeniem pracy w trybie zdalnym można skorzystać z usług firm doradczych, które mogą przeprowadzić audyt organizacji i weryfikację dotychczas stosowanych rozwiązań. Zakres prac może również objąć audyt dokumentacji, jej modyfikacje i opracowanie nowej. Ponadto audyt systemu informatycznego, stosowanych mechanizmów zabezpieczających i oprogramowania, doradztwo w zakresie wyboru narzędzi informatycznych. Firma doradcza może dokonać również analizy ryzyka i przeprowadzić ocenę skutków dla ochrony danych. Ponadto można zlecić jej szkolenia kadry zarządzającej oraz pracowników. 

Należy pamiętać, że rzetelna praca wykonana na początku całego procesu pozwoli organizacji spełnić wymagania RODO w tym zakresie oraz przede wszystkim zapewni odpowiedni poziom bezpieczeństwa informacji przetwarzanych przez organizacje.  Co więcej, prawidłowe przygotowanie całego procesu pozwoli w znacznym stopniu zminimalizować ryzyko naruszenia danych osobowych. 

 

Polecane

Czy compliance officer może być inspektorem ochrony danych?

Czy compliance officer może być inspektorem ochrony danych?

25 maja 2020 roku miną 2 lata odkąd obowiązują wymogi ogólnego rozporządzenia o ochronie danych osobowych (RODO). Funkcja Inspektora Ochrony Danych (IOD) oraz jego zadania zostały dość jasno określone w rozporządzeniu i wydaje się, że po 24 miesiącach funkcjonowania RODO wszystko powinno być jasne. Skąd zatem tyle wątpliwości dotyczących łączenia stanowiska IOD z innymi obowiązkami? I czy możliwe jest łączenie funkcji IOD ze stanowiskiem compliance officera?

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.