Praca zdalna z dokumentami zawierającymi dane osobowe

Pandemia Covid-19 trwa w najlepsze. Wielu pracodawców decyduje się na zorganizowanie pracy w taki sposób, aby ograniczyć osobiste kontakty pomiędzy pracownikami, w szczególności – gdy jest to możliwe – poprzez polecenie im świadczenia pracy zdalnej.

Pracodawca może więc zezwolić pracownikom na korzystanie z pracy zdalnej z dokumentacją papierową zawierającą dane osobowe. Wiąże się to jednak z większym ryzykiem naruszenia bezpieczeństwa danych osobowych oraz ze związaną z nim koniecznością ich odpowiedniego zabezpieczenia.
Pracodawcy, jako administratorzy danych przetwarzanych przez pracowników podczas pracy zdalnej, mają obowiązek zapewnić przestrzeganie zasad przetwarzania danych – w tym zagwarantować ich bezpieczeństwo – biorąc pod uwagę większe ryzyko związane z takimi działaniami.
Pracownicy podczas pracy zdalnej mogą przetwarzać dane osobowe tylko w celach związanych z wykonywaniem swoich obowiązków służbowych, przestrzegając wewnętrzne polityki oraz inne procedury przyjęte w organizacji.

UWAGA: Pracownicy nie mogą samowolnie wynosić dokumentacji w postaci papierowej poza określony przez pracodawcę obszar przetwarzania danych.
Pracodawca, decydując się na umożliwienie pracownikom korzystania podczas pracy zdalnej z dokumentacji papierowej, musi podjąć działania mające na celu ograniczenie ryzyka związanego z utratą dostępności, integralności oraz poufności danych.

Praca na dokumentach papierowych nie będzie uzasadniona, jeżeli pracodawca:
- wdrożył elektroniczny obieg dokumentów, a pracownik ma bezpieczny dostęp do niezbędnych do pracy danych;
- może udostępnić pracownikowi odpowiednio zabezpieczone (m.in. zaszyfrowane) elektroniczne kopie niezbędnych dokumentów.

Jeżeli nie jest możliwe zastosowanie żadnego z ww. rozwiązań, warto zastanowić się nad pracą na kopiach niezbędnych dokumentów. Minimalizuje to ryzyko naruszenia integralności danych oraz utraty ich dostępności. Należy jednak pamiętać, że pracownik musi chronić dane zawarte w takich dokumentach, tak samo jak w dokumentacji oryginalnej.

Pracodawca, decydując o możliwości wykorzystywania przez pracowników dokumentacji papierowej podczas pracy zdalnej, musi:
- zapewnić ewidencjonowanie wydanych pracownikom dokumentów zawierających dane osobowe;
- zapewnić, że udostępnione dokumenty będą przechowywane przez pracownika przez okres niezbędny do wykonania określonego zadania podczas pracy zdalnej;
- ograniczyć liczbę dokumentów wynoszonych z siedziby administratora do tego, co niezbędne w stosunku do celu przetwarzania danych osobowych przez pracownika w ramach pracy zdalnej;
- zobowiązać pracownika do odpowiedniego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji (np. przenoszenie dokumentów w taki sposób, aby były niewidocznie dla osób trzecich);
- zobowiązać pracownika do odpowiedniego zabezpieczenia danych w miejscu wykonywania pracy zdalnej (np. przechowywanie dokumentów w zamykanych na klucz szufladach biurka lub szafach, przestrzeganie zasady czystego biurka, zabezpieczenie dokumentów przed wglądem nieuprawnionych osób trzecich);
- zapewnić, że pracownik będzie wykorzystywał pozyskane dane osobowe wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy;
- określić procedurę związaną z niszczeniem dokumentów (zakaz wyrzucania dokumentów do kosza w domu – dokumenty należy przechować w bezpieczny sposób, a po zakończeniu pracy zdalnej zniszczyć je w biurze);
- zapewnić, że pracownik będzie zgłaszał pracodawcy każdy incydent naruszenia bezpieczeństwa zgodnie z procedurą postępowania w sprawie naruszeń ochrony danych, tak aby administrator mógł się wywiązać z obowiązku nałożonego na mocy art. 33 ust. 1 RODO.

Prywatny sprzęt pracownika

RODO nie zabrania korzystania przez personel administratora z prywatnego sprzętu podczas pracy zdalnej. Jeżeli jednak administrator dopuszcza taką możliwość, wówczas powinien on zwrócić szczególną uwagę na bezpieczeństwo przetwarzania danych w organizacji. Powinien on opracować procedury, które pozwolą na zabezpieczenie danych osobowych przetwarzanych z użyciem takiej prywatnej infrastruktury. Administrator w takim wypadku również bowiem odpowiada za bezpieczeństwo danych osobowych.

Warto też przekazać pracownikom wytyczne dotyczące pracy zdalnej opublikowane przez Prezesa UODO. Otóż pracownicy powinni:
- postępować zgodnie z przyjętą przez administratora procedurą bezpieczeństwa, korzystając z urządzeń prywatnych i zainstalowanego na nich oprogramowania,
- nie instalować oprogramowania niezgodnego z procedurą bezpieczeństwa,
- zadbać o aktualizację oprogramowania, w tym antywirusowego,
- wydzielić sobie odpowiednią przestrzeń do pracy, by osoby postronne nie miały możliwości dostępu do dokumentów, nad którymi pracują,
- blokować urządzenie, na którym pracuje pracownik, po odejściu od niego,
- zabezpieczać dostęp do komputera – stosując silne hasła dostępu czy wielopoziomowe uwierzytelnianie,
- zadbać o archiwizację danych,
- przestrzegać przyjętą przez administratora procedury bezpieczeństwa w zakresie korzystania ze służbowej poczty e-mail,
- używać przede wszystkim służbowych kont e-mail,
- zadbać o właściwe szyfrowanie treści wiadomości i załączników, jeśli pracuje się na prywatnym sprzęcie,
- każdorazowo przed wysłaniem e-maila upewnić się, czy jest adresowany do właściwej osoby,
- używać tzw. chmury tylko z zaufanego dostępu,
- przestrzegać procedur odnośnie logowania do chmury.