Wymogi związane z ochroną danych osobowych podczas pracy zdalnej

Analizy

Wymogi związane z ochroną danych osobowych podczas pracy zdalnej

Nowelizacja Kodeksu Pracy i nowe wyzwania związane z ochroną danych osobowych

Blog Prawo Nowych Technologii | kwiecień 2023 r.

Pandemia uświadomiła pracodawcom, że praca zdalna może nie tylko zapewniać ten sam poziom efektywności pracowników jak przy pracy stacjonarnej, lecz często powoduje wzrost zaangażowania i wyższy poziom ogólnego zadowolenia z pracy. Odpowiedzią ustawodawcy na konieczność uregulowania sposobu wykonywania pracy zdalnej jest nowelizacja Kodeksu pracy (dalej jako: „KP”), która weszła w życie z dniem 7 kwietnia 2023 r. Wszystko wskazuje na to, że praca zdalna w wielu przedsiębiorstwach może nie być wyjątkiem od reguły pracy stacjonarnej, a standardem. Z pracą zdalną wiążą się również nowe wyzwania, w tym związane z ochroną danych.

Jeden z istotnych punktów nowelizacji dotyczy wykonywania pracy zdalnej z uwzględnieniem zasad ochrony danych osobowych. Poniżej przedstawiamy brzmienie nowej regulacji oraz wynikające z niej wnioski.
Zgodnie z brzmieniem nowego art. 67 (26) KP:
„§ 1. Na potrzeby wykonywania pracy zdalnej pracodawca określa procedury ochrony danych osobowych oraz przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie.
§ 2. Pracownik wykonujący pracę zdalną potwierdza w postaci papierowej lub elektronicznej zapoznanie się z procedurami, o których mowa w § 1, oraz jest obowiązany do ich przestrzegania.

Na tle powyższego przepisu pojawiają się następujące obowiązki wobec pracodawców:
 

Wdrożenie procedury ochrony danych osobowych.

W związku z wykonywaniem pracy zdalnej pracodawca musi wdrożyć odrębne procedury dotyczące ochrony danych osobowych. Przepis nie wskazuje, co konkretnie musi znaleźć się w procedurach. W naszej ocenie szczególnie istotne jest opisanie zasad dotyczących bezpieczeństwa danych w trakcie pracy zdalnej i wskazanie w jaki sposób mogą one zostać wdrożone w domowym środowisku.
Z pewnością pracodawca jako administrator danych powinien zorganizować pracę zdalną w ten sposób, aby ochrona danych osobowych była przystosowana do standardów panujących w danym przedsiębiorstwie i uwzględniała jego specyfikę. Stąd, jak w przypadku każdej procedury ochrony danych osobowych, powinna ona być „szyta na miarę”.
Przydatne wskazówki dotyczące zasad pracy poza biurem zostały już sformułowane przez Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: „PUODO”) w poradniku dotyczącym bezpieczeństwa danych osobowych podczas pracy zdalnej.
 

Szkolenie oraz instruktaż pracowników pracujących zdalnie.

Stosownie do w/w przepisu KP, pracodawca przeprowadza szkolenie i instruktaż w razie potrzeby. Zgodnie z zasadą rozliczalności (o której pisaliśmy już wcześniej w ramach cyklu o RODO2), w praktyce taka potrzeba będzie występowała u zdecydowanej większości przedsiębiorców. W razie kontroli PUODO przeprowadzenie szkoleń z pewnością ułatwi wykazanie należytej staranności we wdrożeniu ochrony danych osobowych.
W naszej ocenie szkolenie oraz instruktaż powinno przybrać jak najbardziej przystępną dla pracowników formę, bez ograniczania się do cytowania treści procedur. W szczególności powinny zostać poruszone praktyczne aspekty ochrony danych podczas pracy zdalnej, co pozwoli na rozwianie wątpliwości pracowników w tym zakresie.
 

Obowiązek złożenia przez pracownika oświadczenia o zapoznaniu się z procedurami i ich przestrzegania.

Pracownik powinien oświadczyć w formie papierowej lub elektronicznej o fakcie zapoznania się z procedurami i zobowiązać się do ich przestrzegania. W naszej ocenie dobrym rozwiązaniem jest połączenie w/w oświadczenia z zakończeniem szkolenia i instruktażu, o którym mowa powyżej.
Zapewne w większości przypadków szkolenia połączone z zapoznaniem się z procedurami ochrony danych, będą odbywały się właśnie w formie zdalnej. W celu spełnienia wymogu złożenia przez pracownika oświadczenia, możliwe jest np. elektroniczne potwierdzenie przez pracownika uczestnictwa w szkoleniu i zdalna akceptacja procedury ochrony danych osobowych.

Jednocześnie zwracamy uwagę na kwestię, którą staramy się za każdym razem podkreślać przy implementacji rozwiązań dotyczących ochrony danych osobowych. Wprowadzenie narzędzi dotyczących ochrony danych osobowych zawsze idzie w parze z ochroną wszystkich istotnych dla przedsiębiorstwa danych. Nasza dotychczasowa praktyka wskazuje, że często dane stanowiące tajemnicę przedsiębiorstwa (know-how, bazy klientów etc.) są wartością, której ochrona jest szczególnie istotna dla naszych klientów. Tym samym stworzenie dobrych procedur i przeprowadzenie szkoleń z zakresu ochrony danych osobowych podczas pracy zdalnej powinno być okazją do szerszego spojrzenia na ochronę danych w organizacji.
 

Zespół Prawa Nowych Technologii Deloitte może wesprzeć Państwa zarówno przy stworzeniu procedur ochrony danych osobowych w pracy zdalnej, jak również instruktażu oraz szkoleniu pracowników w tym zakresie.

[1] https://archiwum.uodo.gov.pl/pl/138/1459

[2] https://www2.deloitte.com/pl/pl/pages/doradztwo-prawne/articles/ochrona-danych-osobowych/RODO-zmiany-w-zasadach-przetwarzania-danych-osobowych.html

Czy ta strona była pomocna?