Praca zdalna jest ściśle związana z przetwarzaniem danych osobowych, a każdy pracodawca wdrażający ten model pracy musi pamiętać o zapewnieniu bezpieczeństwa w tym obszarze. Jak prawidłowo wdrażać pracę zdalną w organizacji, zgodnie z wymogami RODO i regulacjami prawa pracy?
Bezpieczeństwo danych podczas pracy zdalnej a kodeks pracy
Kodeks pracy zobowiązuje pracodawcę do określenia procedury ochrony danych osobowych w przypadku wdrożenia pracy zdalnej. Procedura ta powinna zostać ustanowiona w porozumieniu zbiorowym lub regulaminie pracy zdalnej, a jeśli takie dokumenty nie występują w organizacji – w poleceniu pracodawcy lub porozumieniu stron. Pracodawca powinien także, w miarę możliwości, przeprowadzić instruktaż i szkolenie w zakresie stosowania procedur ochrony danych osobowych.
Z kolei pracownik świadczący pracę zdalną ma obowiązek przestrzegać ustalonych przez pracodawcę procedur. W przeciwnym razie naraża się na naruszenie obowiązków pracowniczych, a w konsekwencji na karę upomnienia lub nagany. Pracownik powinien również potwierdzić w formie papierowej lub elektronicznej zapoznanie się z procedurami ochrony danych osobowych podczas pracy zdalnej – najlepiej jeszcze przed rozpoczęciem wykonywania pracy zdalnej.
Przestrzeganie wymogów bezpieczeństwa i ochrony informacji, w tym danych osobowych, może być kontrolowane przez pracodawcę, także przy okazjonalnej pracy zdalnej. Zasady kontroli muszą zostać ustalone wspólnie z pracownikiem.
Jak chronić dane osobowe podczas pracy zdalnej?
Zazwyczaj, to pracodawca jest administratorem danych osobowych przetwarzanych podczas pracy zdalnej i to on ma obowiązek wdrożenia środków organizacyjnych i technicznych, które zapewnią bezpieczeństwo RODO.
Aby wybrać prawidłowe środki ochrony danych pracodawca powinien przeprowadzić analizę ryzyka związaną z pracą zdalną, identyfikując potencjalne zagrożenia naruszenia ochrony danych osobowych i na jej podstawie ustalić odpowiednie środki organizacyjne i techniczne, które pomogą zminimalizować lub wykluczyć ryzyko naruszeń ochrony takich danych.
Administrator ma także obowiązek podejmować działania mające na celu regularne testowanie i mierzenie skuteczności wprowadzonych przez niego zabezpieczeń, np. poprzez wewnętrzne audyty ochrony danych, testy penetrujące czy nawet samą kontrolę pracy zdalnej prowadzonej na podstawie prawa pracy.
Więcej: Praca zdalna a RODO – o czym należy pamiętać?
Co grozi za naruszenia RODO podczas pracy zdalnej?
W przypadku naruszenia ochrony danych przy pracy zdalnej, pracodawca jako administrator odpowiada za działania zgodne z RODO, w tym analizę ryzyka oraz ewentualne zgłoszenie naruszenia do Urzędu Ochrony Danych Osobowych oraz powiadomienie osób, których dane dotyczą. W razie zaniedbań pracodawcy, takich jak brak szkoleń, procedur ochrony danych czy zabezpieczeń sprzętu, Prezes UODO może nałożyć kary do 10 milionów euro lub 2% rocznego obrotu.
Jeśli naruszenie wynika z winy pracownika, może on podlegać karze dyscyplinarnej i odpowiedzialności materialnej za szkody wyrządzone pracodawcy.
Ten artykuł powstał we współpracy z Grant Thornton.
Grant Thornton to jedna z wiodących organizacji audytorsko-doradczych na świecie, obecna w 147 krajach i zatrudniająca 68 tys. pracowników. W Polsce działa od 30 lat, a zespół liczący około 1000 pracowników w 8 lokalizacjach wspiera klientów w takich obszarach, jak m.in. outsourcing rachunkowości oraz kadr i płac, tax compliance, audyt, doradztwo podatkowe i finansowe, obsługa prawna, konsulting biznesowy i cyfrowy czy dotacje dla firm.
