Ochrona danych osobowych w pracy „na odległość”

W organizacjach działających na zasadzie „będzie dobrze” lub „jakoś to będzie” wdarł się chaos, uniemożliwiający szybką odpowiedź na rozprzestrzeniający się kryzys w sposób zorganizowany. A następujące jedno po drugim działania ad hoc, nie dość, że częstokroć naruszają przyjęte w organizacji zasady, to najczęściej są pobieżne, niezorganizowane, niezweryfikowane i pozostają poza jakąkolwiek kontrolą.

Dzisiaj, w dobie kolejnych odsłon kryzysu, spowodowanego epidemią, jednym z ważnych wyzwań, stojących przed organizacjami jest m.in. zorganizowanie pracy „na odległość”, przy jednoczesnym zapewnieniu realizacji wszelkich zasad, wynikających z przepisów prawa, w tym także prawa normującego ochronę danych osobowych. I choć praca zdalna nie jest wymysłem ostatnich dni, to już praktyczne zorganizowanie jej zgodnie z wymaganiami RODO rodzi pewne problemy, prowokując pytania, i to w chwili, gdy czas jest nie na szukanie odpowiedzi, a na działania.

Organizacja pracy zdalnej

Podpowiedzią w przygotowaniu procesu pracy „na odległość” mogą być rozwiązania, stosowane już w wielu organizacjach, odnoszące się do telepracy, będącej pracą zdalną z wykorzystaniem środków komunikacji elektronicznej. Szczegóły dotyczące organizacji telepracy, w tym obowiązki pracodawcy, dotyczące wykorzystywanego przez pracownika sprzętu, jego instalacji, serwisu, eksploatacji, konserwacji, pomocy technicznej i niezbędnego szkolenia w zakresie obsługi sprzętu, zawarte są w rozdziale II b Ustawy z dnia 26 czerwca 1974 r. Kodeks pracy. Z rozwiązań tych wynika także, że pracodawca zobowiązany jest do określenia zasad ochrony danych przekazywanych pracownikowi, a także do przeprowadzania, w miarę potrzeb, instruktażu i szkolenia w tym zakresie.

Przygotowanie do pracy „na odległość”

W związku z faktem, że pracodawca (np. spółdzielnia mieszkaniowa) – jako administrator danych – ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt. 7 RODO), to właśnie do niego należy szczegółowe zorganizowanie procesu pracy „na odległość”, w tym przeprowadzenie analizy możliwości zdalnego prowadzenia pracy wybranych procesów biznesowych oraz ich technicznego zabezpieczenia.

Do tych działań, w kontekście procesu ochrony danych osobowych, zaliczyć należy w szczególności:

• wyznaczenie przeszkolonych i posiadających upoważnienie do przetwarzania danych osobowych pracowników;
• przygotowanie i zabezpieczenie, zgodnie z przyjętymi u pracodawcy procedurami, wydzielonego do pracy zdalnej sprzętu (komputerów, laptopów, smartfonów, itp.); zapewnienie zdalnego i bezpiecznego kanału dostępu do aplikacji wykorzystywanych w realizowanych procesach biznesowych;
• zapewnienie zdalnego wsparcia technicznego pracowników wyznaczonych do pracy zdalnej; uprzednie zawarcie umów powierzenia przetwarzania danych osobowych, w przypadkach zaistnienia takiej konieczności.

Niezwykle ważne, z punktu widzenia odpowiedzialności administratora, jest także wdrożenie mechanizmów kontrolnych, gwarantujących bezpieczeństwo danych osobowych, w tym należytą staranność procesu ich przetwarzania, a także zapewnienie administratora, że inspektor ochrony danych (jeśli został wyznaczony) jest włączany we wszystkie sprawy, dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO). Decyzja o uruchomieniu pracy „na odległość” jest właśnie taką sprawą.

Administrator, przetwarzając dane osobowe w oparciu o zapisy RODO, zobowiązany jest także do wdrożenia procesu zarządzania ryzykiem dla ochrony danych osobowych, stanowiącego podstawę wszelkich działań związanych z przetwarzaniem tych danych tak, by środki techniczne i organizacyjne, przyjęte w celu skutecznej realizacji zasad ochrony danych spełniały wymogi RODO, a przede wszystkim chroniły prawa osób, których dane dotyczą. Powszechnie przyjmuje się, że zarządzanie ryzykiem w ochronie danych osobowych jest procesem ciągłym, w którym ważną rolę odgrywają w szczególności: stosowanie polityk i procedur bezpieczeństwa (art. 24 ust. 1 RODO); identyfikowanie, analizowanie i ewaluacja ryzyka; monitorowanie ryzyka (motywy: 76, 83, 84, 90 RODO), a także zaplanowane i cykliczne przeglądy ryzyka (art. 5 ust. 2 RODO).

Zaprezentowane działania, tocząc się poza bezpośrednią relacją na linii pracodawca (administrator) i pracownik, skupiają się w głównej mierze na relacji administratora z inspektorem ochrony danych oraz właścicielami procesów biznesowych i kierownikami komórek/jednostek organizacyjnych. To oni stanowią merytoryczne, czasem decyzyjne, wsparcie administratora w planowanych działaniach zmierzających do finalnego uruchomienia pracy „na odległość”.

Prowadzenie pracy „na odległość”

Prowadząc działania zwiększające świadomość pracowników uczestniczących w procesie ochrony danych osobowych, w tym w przedsięwzięciach szkoleniowych (art. 39 ust. 1 lit. b RODO), inspektor ochrony danych zobowiązany jest do informowania pracowników o ważnych, z punktu widzenia toczących się procesów przetwarzania danych, ustaleniach mających skutkować minimalizowaniem ewentualnego ryzyka naruszenia ochrony danych osobowych, przy jednoczesnym ich maksymalnym zabezpieczeniu. Jak zatem działać?

Po pierwsze, realizując zadania służbowe „na odległość” należy pamiętać, by nie wykorzystywać sprzętu prywatnego do celów służbowych. Takie działanie uniemożliwia administratorowi prawidłowe zabezpieczenie danych osobowych, negatywnie wpływając na możliwość realizacji wymagań, odnoszących się do bezpieczeństwa przetwarzania danych (art. 32 RODO).

Po drugie, warto wesprzeć się wskazówkami Urzędu Ochrony Danych Osobowych opisującymi ochronę danych osobowych podczas pracy zdalnej. W przedmiotowych wskazówkach wyróżniono trzy obszary: sprzętowy; funkcjonalny i technologiczny.

Obszar sprzętowy

Jak już wspomniano powyżej, pracując w systemie pracy zdalnej należy wykorzystywać sprzęt, będący własnością pracodawcy (administratora) w sposób i na zasadach przez niego określonych w procedurach bezpieczeństwa. Należy pamiętać, że przydzielony sprzęt służy tylko i wyłącznie do realizacji zadań służbowych, a nie do celów prywatnych. Dlatego też, nie można instalować na nim żadnych dodatkowych aplikacji i oprogramowania, gdyż mogą mieć one negatywny wpływ na procesy biznesowe, w tym także na proces przetwarzania danych osobowych. Nie bez znaczenia jest także takie zorganizowanie środowiska pracy, by ewentualne osoby trzecie, nie miały dostępu do opracowywanych materiałów, a sprzęt i zasoby były zabezpieczone (warto stosować się do zasad określonych w „Clean Desk Policy”).

Obszar funkcjonalny

Normą dla bezpiecznego prowadzenia pracy „na odległość”, w obszarze funkcjonalnym, jest konieczność rygorystycznego stosowania się do ustalonych zasad, określających m.in. sposób zdalnego łączenia się pracownika z zasobami danych pracodawcy, przy wykorzystaniu szyfrowanych łączy, oraz prowadzenia korespondencji elektronicznej.

Co do zasady, do prowadzenia korespondencji elektronicznej wewnątrz organizacji wykorzystywane są służbowe konta mailowe. Tak też powinno być w czasie prowadzenia pracy zdalnej. Jednak może się zdarzyć, i nie są to odosobnione przypadki, że pracownik wykorzystuje do prowadzenia korespondencji prywatny adres mailowy. Jeśli korespondencja, z prywatnego adresu mailowego, zawiera dane osobowe należy jej treść zaszyfrować, przesyłając adresatowi hasło do otwarcia dokumentu na inny, alternatywny środek łączności, np. telefon. Przed wysłaniem korespondencji zawierającej dane osobowe należy się upewnić, czy wpisano poprawny adres mailowy odbiorcy, a także czy temat korespondencji nie zawiera jakichkolwiek danych osobowych, o których mowa w art. 4 pkt. 1 i art. 9 ust. 1 RODO.

Obszar technologiczny

Prowadząc pracę „na odległość” z wykorzystaniem chmury obliczeniowej (Cloud computing) należy stosować się do wszelkich zasad i procedur przyjętych u pracodawcy, szczególnie dotyczących bezpiecznego logowania, uwierzytelniania i udostępniania danych. Przetwarzając dane osobowe w chmurze nie można korzystać z przypadkowych dostawców, a jedynie ze sprawdzonych podmiotów, z którymi zawarto stosowne umowy powierzenia przetwarzania danych osobowych, i które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).

Informowanie o potencjalnych naruszeniach w pracy „na odległość”

W przypadku, kiedy pracownik poweźmie podejrzenie, że – pomimo stosowania się do ustalonych przez administratora zasad dla procesu pracy „na odległość” – mogło dojść do naruszenia ochrony danych (w szczególności do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych), zobowiązany jest do niezwłocznego poinformowania inspektora ochrony danych o tym podejrzeniu. W organizacjach, w których nie wyznaczono inspektora ochrony danych, informacja o potencjalnym naruszeniu powinna niezwłocznie trafić bezpośrednio do pracodawcy (administratora). Badanie przyczyn i okoliczności wystąpienia naruszenia oraz podejmowane działania minimalizujące negatywne skutki potencjalnych naruszeń w przyszłości, będą miały ogromne znaczenia przy przeglądzie, weryfikacji i modyfikacji procesu pracy „na odległość”.

Zauważyć należy, że fakt ogłoszenia stanu zagrożenia epidemią nie upoważnia administratora do unikania obowiązków i rezygnacji (nawet częściowej) z wypełniania wymagań, wynikających z przepisów prawa, w tym prawa, normującego ochronę danych osobowych. Warto tu przytoczyć zapisy art. 104 Ustawy o ochronie danych osobowych (DzU z 2018 r., poz. 1000) mówiące o tym, że środki z administracyjnej kary pieniężnej (w tym wypadku kary nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych) stanowią dochód budżetu państwa. A potrzeby tego budżetu w najbliższej perspektywie będą przeogromne.   

—————————————————————————————————————————————————————

Clean Desk Policy (Polityka czystego biurka)

oznacza przyjętą u pracodawcy procedurę wewnętrzną, odnoszącą się do zasad dobrej praktyki, regulującą sposób postępowania z danymi, będącą jednym ze środków organizacyjnych służących zapewnieniu właściwego poziomu bezpieczeństwa przetwarzanych danych osobowych (art. 24 ust. 2 RODO).

Przetwarzanie danych w chmurze (Cloud computing)

oznacza sposób przetwarzania danych polegający na umożliwieniu użytkownikowi dostępu do zdalnych zasobów danych i wykorzystanie ich zawartości bez konieczności posiadania własnego nośnika, na którym przechowywane są te dane.

Chcesz być na bieżąco? Zapisz się do naszego newslettera!