Praca zdalna z perspektywy ochrony danych i bezpieczeństwa informacji

O czym warto wiedzieć?

Od początku wybuchu pandemii COVID-19 wielu przedsiębiorców wprowadziło zmiany w zakresie organizacji sposobu świadczenia pracy przez pracowników, wykorzystując do tego narzędzia do pracy zdalnej. Warto pamiętać, że może się ona wiązać ze zmianą sposobów przetwarzania danych osobowych w przedsiębiorstwie, a w konsekwencji wpływać na poziom bezpieczeństwa danych.

Przetwarzanie danych osobowych na potrzeby pracy zdalnej

Możliwość polecenia wykonywania pracy zdalnej w okresie pandemii COVID-19 została prawnie usankcjonowana w art. 3 ust. 1 ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych[1] (dalej: „ustawa COVID-19”). Przepis ten stanowi, że w celu przeciwdziałania pandemii pracodawca może polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem jej stałego wykonywania. Takie polecenie nie jest obowiązkiem pracodawcy, gdyż nie w każdym przedsiębiorstwie istnieje możliwość świadczenia pracy w sposób zdalny[2]. Jednak jeśli pracodawca podejmie taką decyzję, jej konsekwencje będą widoczne również w sferze przetwarzania danych osobowych.

Obowiązek zapewnienia właściwego poziomu ochrony przetwarzanych danych osobowych jest jednym z podstawowych zadań administratora (np. przedsiębiorcy). Przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych, administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, zapewniające zgodne z RODO^[3] przetwarzanie danych osobowych^[4]. Co więcej, środki te powinny być w miarę potrzeby poddawane przeglądom i aktualizowane; podejmowanie przez administratora różnych aktywności w ramach szeroko pojętej działalności gospodarczej może powodować, że na przestrzeni czasu dane osobowe będą przetwarzane innymi sposobami i za pomocą różnych narzędzi. Oznacza to, że ryzyko związane z przetwarzaniem danych osobowych, a tym samym poziom bezpieczeństwa danych, może się zmieniać w czasie. Z tej przyczyny administrator powinien systematycznie wykonywać analizę ryzyka, a przynajmniej wtedy, kiedy dochodzi do zmiany okoliczności przetwarzania danych. Polecenie wykonywania pracy zdalnej bardzo często wiąże się właśnie ze zmianą sposobów przetwarzania danych; pracownicy, zamiast korzystać z dotychczasowych rozwiązań, zaczynają przetwarzać dane osobowe w środowisku zewnętrznym, za pomocą nowych narzędzi służących do komunikacji czy wymiany plików w przedsiębiorstwie. Przed rozpoczęciem nowych operacji przetwarzania danych osobowych, administrator powinien upewnić się, m.in. przeprowadzając lub aktualizując uprzednio wykonaną analizę ryzyka, jakie zagrożenia mogą towarzyszyć zmianie sposobu świadczenia pracy. Zweryfikowanie i ocena poziomu ryzyka ma zatem umożliwić administratorowi odpowiedni dobór środków technicznych i organizacyjnych, których zastosowanie zminimalizuje szansę wystąpienia zidentyfikowanych niebezpieczeństw.

W czasie obowiązywania w Polsce stanu zagrożenia epidemicznego, a także później, po ogłoszeniu stanu epidemii, wielu przedsiębiorców podjęło decyzję o zmianie sposobu wykonywania pracy, przechodząc na model świadczenia pracy zdalnej. Niejednokrotnie decyzje te były podejmowane pod presją czasu i w obawie przed dalszym dynamicznym rozwojem pandemii. W wielu przedsiębiorstwach zapewne zabrakło czasu na przeprowadzenie rzetelnej analizy ryzyka i właściwe przygotowanie się do wykonywania pracy w sposób zdalny, zarówno pod względem organizacyjno-technicznym, jak i ochrony danych osobowych. Z tej przyczyny warto, aby każdy administrator, nawet po rozpoczęciu pracy zdalnej, dokonał przeglądu stosowanych rozwiązań i zabezpieczeń. Poniżej zaprezentowano najważniejsze aspekty, jakie powinny być wzięte pod uwagę przez przedsiębiorcę-administratora przy okazji organizowania pracy zdalnej, niezależnie od tego, czy ma to miejsce podczas stanu epidemii, czy już po jego ustaniu^[5]. Niewykluczone bowiem, że u wielu przedsiębiorców model pracy zdalnej przyjmie się na dłużej, a nawet okaże się nowym standardem w ramach organizacji, nie tylko w czasie kryzysu.

Korzystanie z służbowych urządzeń

Praca zdalna powinna być świadczona za pomocą narzędzi służbowych, takich jak laptopy, telefony czy tablety, udostępnionych pracownikowi przez pracodawcę w celu wykonywania swoich obowiązków poza miejscem pracy[6]. Należy podkreślić, że sprzęt służbowy zawsze powinien spełniać odpowiednie normy bezpieczeństwa niezależnie od tego, gdzie jest on używany. Zarządzenie pracy zdalnej niekiedy wymaga jednak zainstalowania dodatkowego oprogramowania lub aplikacji umożliwiających wykonywanie poleceń służbowych, kontakt pomiędzy pracodawcą i pracownikami, a także kontrolę i weryfikację sposobu wypełniania obowiązków przez pracowników. Z tej przyczyny polecenie wykonywania pracy zdalnej za pomocą służbowych urządzeń jest dobrą okazją do dokonania przeglądu już stosowanych zabezpieczeń technicznych, a w razie ich braku – do wdrożenia odpowiednich rozwiązań, zaprojektowanych tak, aby jak najlepiej chronić przetwarzane dane osobowe.

W odniesieniu do sprzętu służbowego obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych powinien być realizowany na różne sposoby, np. poprzez zabezpieczenie dostępu do urządzeń silnymi hasłami lub wielopoziomowym uwierzytelnianiem, korzystanie wyłącznie z aktualnego oprogramowania i programu antywirusowego, zaszyfrowanie dostępu do dysku twardego, bezpieczną archiwizację danych, automatyczne backupy itp. Ważne jest także przeszkolenie pracowników w zakresie korzystania ze sprzętu służbowego. Przede wszystkim pracownicy powinni mieć świadomość, że urządzenia powierzone im przez pracodawcę służą wyłącznie wykonywaniu obowiązków służbowych i nie powinny być wykorzystywane w celach prywatnych. Podobnie jak w miejscu pracy, tak i podczas świadczenia pracy zdalnej pracownicy powinni stosować tzw. politykę czystego biurka, tj. m.in. blokować dostęp do urządzenia po odejściu od stanowiska pracy, zorganizować stanowisko pracy w sposób uniemożliwiający osobom postronnym dostęp do dokumentów pracodawcy, w szczególności zawierających dane osobowe, chronić dokumenty przed utratą, zniszczeniem itp. Powinni być również pouczeni o zakazie instalowania dodatkowych programów i aplikacji, które nie są niezbędne do wykonywania obowiązków i nie są zgodne z procedurą bezpieczeństwa organizacji. Dodatkowo pracownicy powinni być przeszkoleni w zakresie procedury zgłaszania usterek i problemów technicznych, obowiązku korzystania z zabezpieczonych sieci internetowych, możliwości łączenia się z siecią firmową za pośrednictwem bezpiecznego łącza VPN, a także sposobów zgłaszania utraty dokumentów lub nośników danych. Podobne reguły bezpieczeństwa powinny być wdrożone w przypadku korzystania z telefonów służbowych, które zwykle zawierają bazę danych osobowych klientów i kontrahentów. Zwłaszcza korzystanie ze smartfonów wymaga szczególnej uwagi ze strony pracodawców, gdyż funkcjonalność tych urządzeń, ich moc obliczeniowa i pamięć pozwalają na wykonywanie wielu obowiązków pracowniczych wiążących się z przetwarzaniem danych osobowych, jak chociażby prowadzenie korespondencji mailowej za pomocą aplikacji w telefonie.

Bezpieczeństwo komunikacji i cyfrowego przetwarzania danych

Nieodłącznym elementem świadczenia pracy w sposób zdalny jest korzystanie z połączeń sieciowych oraz różnych narzędzi informatycznych, w tym programów i aplikacji umożliwiających komunikację. Podstawową formą komunikacji jest zwykle poczta elektroniczna, ewentualnie komunikatory służące do kontaktu w ramach organizacji. Z korzystaniem z poczty elektronicznej wiąże się szereg zagrożeń, począwszy od wysłania wiadomości mailowej do niewłaściwego adresata, skończywszy na ataku phishingowym. W tym zakresie obowiązkiem pracodawcy jest przeszkolenie pracownika i wyjaśnienie sposobów minimalizacji tego rodzaju ryzyk. Nie ulega wątpliwości, że błędne zaadresowanie wiadomości czy próba wyłudzenia danych może zdarzyć się zawsze, niezależnie od sposobu świadczenia pracy. Mimo to wydaje się, że ryzyko wystąpienia tego rodzaju niebezpiecznych zjawisk może być większe w przypadku pracy zdalnej, choćby z tej przyczyny, że pracownik może nie być w stanie nawiązać niezwłocznie kontaktu z pracodawcą lub działem informatycznym w przedsiębiorstwie w celu poinformowania o zaistniałym problemie aniżeli miałoby to miejsce w sytuacji świadczenia pracy w biurze. Przykładowo, w razie ataku hackerskiego dłuższy czas reakcji niestety może oznaczać większe skutki dla ochrony przetwarzanych danych osobowych. Przedsiębiorca powinien więc regularnie, zwłaszcza w okresie świadczenia pracy zdalnej, przypominać pracownikom o procedurze bezpieczeństwa, w tym m.in. przestrzegać przed przeglądaniem wiadomości mailowych od nieznanych nadawców, w szczególności przed pobieraniem załączników lub otwieraniem linków umieszczonych w takich wiadomościach, ponieważ mogą one zawierać złośliwe oprogramowanie.

Zdarza się, że pracownicy do wykonywania obowiązków zawodowych wykorzystują prywatną pocztę elektroniczną. Jest to niedopuszczalne, jeśli pracodawca utworzył dla pracownika służbowe konto mailowe. Korzystanie z prywatnej skrzynki pocztowej zwiększa ryzyko wycieku danych ze względu na zwykle niski stopień zabezpieczeń oferowany przez ogólnodostępne, bezpłatne domeny pocztowe. Jeżeli pracownik musi używać prywatnej poczty z uwagi na brak służbowego konta, zarówno korespondencja, jak i załączniki zawierające dane osobowe, powinny być szyfrowane. Należy przy tym pamiętać, aby hasło nie było wysyłane w tej samej wiadomości mailowej, ani nawet w osobnej, lecz zawsze odrębnym kanałem komunikacyjnym, np. telefonicznie lub za pośrednictwem wiadomości tekstowej^[7]. Ma to na celu zminimalizowanie ryzyka dostępu do hasła i odszyfrowania zawartości korespondencji lub pliku.

W świadczeniu pracy zdalnej pomocne są również różne narzędzia informatyczne umożliwiające przechowywanie i archiwizację dokumentów. Coraz większe zastosowanie znajdują tzw. rozwiązania chmurowe służące do przetwarzania danych osobowych i tworzenia ich kopii zapasowych na serwerze podmiotu oferującego usługę chmurową. Przechowywanie danych w chmurze jest dogodnym i funkcjonalnym sposobem na zapewnienie dostępu do danych zwłaszcza w przypadku świadczenia pracy zdalnej. Gdy zachodzi konieczność jednoczesnego korzystania z dokumentacji przez co najmniej kilka osób, przechowywanie plików w chmurze, zamiast lokalnie, zdecydowanie ułatwia pracę, ponieważ pracownicy uzyskują dostęp do potrzebnych im dokumentów z dowolnego urządzenia. Mimo wielu zalet, rozwiązania chmurowe, podobnie jak inne tego rodzaju narzędzia sieciowe, nie pozostają bez znaczenia dla ochrony przetwarzanych w ten sposób danych. Przede wszystkim przed podjęciem decyzji o digitalizacji dokumentacji lub przeniesieniu danych do chmury, warto uważnie przeanalizować, jaki poziom bezpieczeństwa oferuje określony usługodawca. Jest to istotny aspekt z perspektywy przestrzegania zasady integralności i poufności, o której mowa w art. 5 ust. 1 lit. f) RODO; w razie nieprawidłowego przetwarzania danych, prowadzącego np. do ich utraty, zniszczenia lub uszkodzenia, odpowiedzialność za niezgodne z przepisami przetwarzanie będzie spoczywać na administratorze, czyli np. przedsiębiorcy. Ma on bowiem obowiązek korzystania z usług wyłącznie takich podmiotów, które gwarantują wdrożenie środków technicznych i organizacyjnych zapewniających właściwy poziom bezpieczeństwa dla przetwarzanych danych. Ponadto, warto upewnić się, czy dostawca oferuje bezterminowe przechowywanie danych w chmurze, czy może okresowo usuwa dane z serwera; w niektórych sytuacjach, bez uprzedniego stworzenia kopii zapasowych, może to oznaczać całkowitą utratę danych.

Przetwarzanie danych osobowych w dokumentacji papierowej

Jedną z kwestii budzących sporo wątpliwości wśród pracodawców jest zapewnienie pracownikom możliwości korzystania podczas pracy zdalnej z dokumentacji papierowej, w tym dokumentacji zawierającej dane osobowe. Wiąże się to z istotnym ryzykiem utraty integralności i poufności przetwarzanych danych. W wielu przypadkach udostępnienie dokumentacji papierowej będzie konieczne w celu wykonywania obowiązków przez pracownika, jednak wówczas pracodawca powinien przekazać pracownikowi jedynie dokumentację niezbędną do świadczenia pracy. Pracodawca powinien także zobowiązać pracownika do właściwego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji, jak i w miejscu świadczenia pracy zdalnej, np. pouczając o konieczności przechowywania dokumentacji w zamykanej szufladzie lub szafie oraz o zakazie udostępniania dokumentów osobom postronnym, w tym członkom rodziny, określić czas przechowywania dokumentów przez pracownika oraz procedurę ich niszczenia. Dobrą praktyką jest prowadzenie ewidencji dokumentacji wydawanej pracownikom i zawierającej dane osobowe; pozwala to na kontrolowanie zakresu udostępnianych dokumentów oraz sprzyja realizacji zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO. W miarę możliwości pracodawca powinien też przekazywać pracownikom kopie dokumentów; takie rozwiązanie minimalizuje ryzyko utraty danych i naruszenia integralności, aczkolwiek nie zwalnia pracowników od stosowania tych samych reguł co w odniesieniu do dokumentacji oryginalnej^[8].

Należy jednocześnie pamiętać, że jeśli pracodawca umożliwia korzystanie z dokumentów w formie elektronicznej, np. przechowywanych w chmurze, wynoszenie przez pracownika dokumentów papierowych poza zakład pracy będzie nieuzasadnione. Jak wyjaśnia UODO, jeżeli pracodawca ma możliwość szybkiego, sprawnego i bezpiecznego wdrożenia elektronicznego obiegu dokumentacji lub może udostępnić pracownikowi odpowiednio zabezpieczone elektroniczne kopie dokumentów, w takiej sytuacji pracownik również nie powinien korzystać z dokumentacji papierowej na potrzeby pracy zdalnej^[9].

Monitorowanie pracy świadczonej zdalnie

Elementem stosunku pracy jest świadczenie pracy pod kierownictwem pracodawcy oraz w miejscu i czasie wyznaczonym przez niego. Pracodawca jest zatem uprawniony, a nawet obowiązany, do sprawowania nadzoru nad sposobem wykonywania pracy przez pracownika. Bezspornie kontrola pracy jest ograniczona w przypadku wykonywania pracy zdalnej. Z tego względu ustawodawca w art. 3 ust. 6 ustawy COVID-19 wskazał, że pracodawca ma możliwość wydania polecenia zobowiązującego pracownika do prowadzenia ewidencji wykonywanych czynności, zawierającej w szczególności opis tych czynności, datę oraz czas ich wykonania. Mimo to, niektórzy pracodawcy mogą chcieć skorzystać z innych dostępnych na rynku narzędzi weryfikacji czasu pracy. Warto więc podkreślić, że wiele z nich wiąże się ze znaczną i nieuzasadnioną potrzebami pracodawcy ingerencją w prywatność. Tak będzie w przypadku np. instalowania na służbowych urządzeniach przeznaczonych do wykonywania pracy zdalnej oprogramowań umożliwiających rejestrowanie naciśnięć klawiszy, ruchów myszy, przechwytywanie ekranu, zapisywanie czasu uruchamiania i korzystania z określonych aplikacji, a nawet włączanie kamer internetowych w celu rejestracji obrazu. Tego typu rozwiązania nie powinny być stosowane przez pracodawców^[10]. Podobnie do rejestracji czasu pracy nie powinny być wykorzystywane dane biometryczne pracowników, ponieważ są one zaliczane do kategorii danych wrażliwych podlegających szczególnej ochronie^[11].

Podsumowanie

W przypadku wielu pracodawców zarządzenie wykonywania pracy zdalnej może okazać się dobrym rozwiązaniem nie tylko w czasach pandemii COVID-19. Tego typu zmiana organizacji pracy w przedsiębiorstwie może być korzystna np. pod względem finansowym, ponieważ pozwala na zaoszczędzenie części kosztów przeznaczanych na najem powierzchni biurowych. Zawsze należy jednak pamiętać, że wykonywanie pracy zdalnej przez pracowników nie wiąże się wyłącznie ze zmianą narzędzi, za pomocą których praca jest świadczona, ale zwykle stanowi również zmianę sposobu przetwarzania danych osobowych, a w konsekwencji powinno być poprzedzone analizą ryzyka i kompleksową weryfikacją zgodności przyjętych rozwiązań z RODO, w tym sposobów zapewnienia bezpieczeństwa przetwarzanych danych osobowych.

Adrianna Michałowicz

doktorantka w Katedrze Europejskiego Prawa Gospodarczego na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego; aplikant adwokacki w Lubasz i Wspólnicy – Kancelaria Radców Prawnych sp.k; specjalizuje się w prawie ochrony danych osobowych, prawie gospodarczym i prawie własności intelektualnej.

[1] Dz.U. z 2020 r. poz. 374 z późn. zm.

[2] Na mocy art. 77 pkt 1 ustawy z dnia 19 czerwca 2020 r. o dopłatach do oprocentowania kredytów bankowych udzielanych przedsiębiorcom dotkniętym skutkami COVID-19 oraz o uproszczonym postępowaniu o zatwierdzenie układu w związku z wystąpieniem COVID-19, czyli tzw. Tarczy 4.0, doprecyzowano, że wykonywanie pracy zdalnej może zostać polecone, jeżeli pracownik ma umiejętności i możliwości techniczne oraz lokalowe do wykonywania takiej pracy i pozwala na to rodzaj pracy. Przepis ten wszedł w życie z dniem 24 czerwca 2020 r.

^[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz. L 119 z 4.5.2016, str. 1—88 (dalej: „RODO”).

^[4] Zob. art. 24 ust. 1 RODO.

^[5] Na marginesie warto zauważyć, że art. 3 ustawy COVID-19 ma charakter tymczasowy i straci moc po upływie 180 dni od dnia wejścia w życie ustawy COVID-19, o czym stanowi art. 36 ust. 1 ustawy COVID-19. W zależności od rozwoju sytuacji epidemicznej w Polsce, okres „ważności” przepisu może ulec zmianie. Niemniej jednak, nawet bez powołanego przepisu wydaje się, że pracodawca ma prawo zarządzić wykonywanie pracy zdalnej, np. zawierając w tym przedmiocie porozumienie z pracownikiem.

[6] Zob. art. 3 ust. 4 ustawy COVID-19. Co prawda w ust. 5 tego przepisu doprecyzowano, że pracownik może również używać narzędzi lub materiałów niezapewnionych przez pracodawcę, jednak pod warunkiem, iż umożliwiają one poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa, danych osobowych oraz innych informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

^[7] Takie rozwiązanie zaleca m.in. UODO, zob.: https://uodo.gov.pl/pl/138/1459 (dostęp: 19.05.2020 r.).

^[8] Zob. Zalecenia UODO - Dokumentacja papierowa zawierająca dane osobowe a praca zdalna, dostępne na stronie: https://uodo.gov.pl/pl/138/1513#_ftn1 (dostęp: 19.05.2020 r.).

^[9] Ibidem.

^[10] Grupa Robocza Art. 29, Opinia 2/2017 na temat przetwarzania danych w miejscu pracy, WP 249, 8.06.2017 r.

^[11] Zob. więcej: Zalecenia UODO - Rejestracja czasu pracy za pomocą danych biometrycznych nie jest zgodna z RODO, dostępne na stronie: https://uodo.gov.pl/pl/138/1521 (dostęp: 19.05.2020 r.).