Praca zdalna a procedura ochrony danych osobowych zgodna z RODO

Warto pamiętać, że praca zdalna polegająca na realizacji zadań służbowych z domu powinna być wykonywana zgodnie z wymaganiami RODO, i nie tylko.

Przepisy z zakresu ochrony danych osobowych można znaleźć nie tylko w samym RODO, czyli unijnym rozporządzeniu o ochronie danych. Jednym z takich dokumentów jest bez wątpienia ustawa Kodeks pracy. Najnowsze zmiany nałożyły na pracodawców tym razem obowiązek zwiększenia bezpieczeństwa przetwarzanych danych poza siedzibą firmy. Tym razem jest to konieczność opracowania dokumentu o nazwie: Procedura ochrony danych osobowych w pracy zdalnej. Regulacja ta obowiązuje od 7 kwietnia 2023 roku.

Nowy zapis Kodeksu pracy brzmi:

„Na potrzeby wykonywania pracy zdalnej pracodawca określa procedury ochrony danych osobowych oraz przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie.”
Kodeks pracy, artykuł 67.26 par.1

Obowiązek ten dotyczy więc tylko tych pracodawców, u których taka praca jest możliwa. Z reguły mówimy tutaj o zadaniach administracyjno-biurowych, wykonywanych w większości za pomocą urządzeń typu komputer, telefon, drukarka, skan.

Co zawrzeć w procedurze, aby była ona zgodna z RODO i zwiększała bezpieczeństwo pracy zdalnej?

Z jednej strony cieszyć może fakt, że przepisy pozostawiają dowolność w zakresie wymaganych uregulowań. Z drugiej jednak rozwiązanie takie może sprawiać problemy w jej opracowaniu, szczególnie gdy w organizacji brak jest osoby znającej RODO.

Analizując jednak całościowo proces oraz towarzyszące mu ryzyka związane z wynoszeniem dokumentów czy komputera warto wziąć pod uwagę m.in.:

Zasady uregulowane w procedurze głównej, np. Polityce ochrony danych osobowych
Bezpieczeństwo miejsca, w którym zadania będą wykonywane,
Wymagania w zakresie wykorzystywanego połączenia internetowego,
Bezpieczeństwo obsługi skrzynki e-mailowej,
Wytyczne w zakresie ustalania hasła oraz częstotliwości zmian,
Warunki przewozu dokumentacji papierowej oraz komputera przenośnego między siedzibą pracodawcy, a miejscem świadczenia pracy zdalnej,
Uregulowania w zakresie udziału w wideokonferencjach czy szkoleniach zdalnych organizowanych przez pracodawcę, tym bardziej gdy jest konieczność ich nagrywania.

Obowiązki pracodawcy dopuszczającego pracę zdalną na gruncie RODO

Znając wymagania z zakresu RODO warto zwrócić uwagę na pojawiający się zestaw danych osobowych, które będą przetwarzane, jeżeli praca zdalna będzie miała miejsce. Są to na przykład:

adres wykonywania obowiązków, w tym adres zamieszkania (art. 67.18 KP),
informację o niepełnosprawności członka rodziny, nad którym sprawowana jest opieka (art. 67.19 par.6 KP),
informację o ciąży pracownicy (art. 67.19 par.6 KP).

O ile lista ta może wydawać się standardową należy pamiętać, że może wymagać od osób odpowiedzialnych za dokumentację RODO w organizacji, np. zaktualizowania klauzul informacyjnych czy rejestru czynności przetwarzania, czyli tzw. RCP.

Pamiętajmy również, że zmianie ulega cel przetwarzania danych osobowych, co oznacza, że gromadząc ww. dane osobowe można je wykorzystywać li tylko i wyłącznie w celach związanych z wnioskowaniem o pracę zdalną.

Obowiązki pracownika realizującego zadania w formule zdalnej

Pracownik obowiązany jest m.in.:

zapoznać się z Procedurą/Polityką ochrony danych osobowych,
znać wymagania Procedury ochrony danych osobowych w pracy zdalnej,
przestrzegać nakazów i zakazów uregulowanych w obowiązującej dokumentacji,
umożliwić przeprowadzenie pracodawcy kontroli wykonywania pracy zdalnej, pod warunkiem, że kontrola ta odbędzie się w godzinach pracy.

Podsumowując konsekwencje zmian w Kodeksie pracy w zakresie pracy zdalnej

Mając świadomość, że praca zdalna niebawem na dobre zagości w wielu organizacjach należy dobrze przemyśleć wymagania w zakresie realizacji zadań “z domu”, jak również odpowiednio wcześniej przeprowadzić analizę ryzyk z tym związanych i dokonać oceny skutków dla ochrony danych, zgodnie z wymaganiami artykułu 35 RODO. Lista obowiązków jednak nie jest zamknięta. Każda organizacja może założenia pracy zdalnej realizować odmiennie, dlatego też dokumentacja i postępowanie winno być inne.

Z czego możesz dzisiaj skorzystać?