Praca zdalna pojawiła się w polskim systemie prawnym jako odpowiedź na potencjalne zagrożenia wynikające z rozprzestrzeniania się wirusa SARS-CoV-2. Warto podkreślić, że sama forma pracy polegająca na wykonywaniu czynności służbowych poza siedzibą pracodawcy, najczęściej w warunkach domowych, nie jest zjawiskiem obcym, jednak dotychczas nie była ujęta w żadnym z aktów prawnych.
Sytuacja epidemiczna wymusiła jednak na ustawodawcy wprowadzenie dodatkowych możliwości odpowiadających na potrzeby społecznej izolacji, które cechuje mniejszy formalizm, a tym samym szybkość i łatwość zastosowania w danym zakładzie pracy. Wykonywanie obowiązków służbowych w warunkach pracy zdalnej pozwala na zachowanie ciągłości i normalnego trybu pracy, pozostaje jednak szereg wymogów i procedur, które powinny zostać dopełnione nie tylko dla zapewnienia możliwości i komfortu świadczenia pracy ale także w celu zapewnienia bezpieczeństwa prawnego, technicznego i organizacyjnego oraz rozliczalności przetwarzania zgodnie z wymogami RODO.
Praca zdalna zgodnie z definicją wskazaną w art. 3 ust. 1 Ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U.2020.1842 t. j. z dnia 2020.10.20) oznacza pracę określoną w umowie o pracę wykonywaną na polecenie pracodawcy przez czas oznaczony poza miejscem jej stałego wykonywania w celu przeciwdziałania COVID-19 w okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii ogłoszonego z powodu COVID-19 oraz w okresie 3 miesięcy po ich odwołaniu. Wprowadzenie pracy zdalnej w danym zakładzie pracy nie zwalnia pracodawcy z obowiązku przestrzegania zasad określonych w prawie pracy oraz wymogów dotyczących ochrony danych osobowych. W szczególności to pracodawca powinien podjąć podstawowe czynności w zakresie zorganizowania pracy zdalnej, przeszkolenia pracowników w odpowiednim zakresie – w tym w zakresie ochrony danych osobowych, zapewnić odpowiedni sprzęt i oprogramowanie a także określić standardy organizacji środowiska pracy, komunikacji w firmie, zasad ewidencjonowania czasu pracy oraz zasad kontroli nad pracownikiem. Pracodawca w zakresie ochrony danych osobowych często zwany również zamiennie administratorem, powinien także zadbać o odpowiednie udokumentowanie pracy zdalnej i w tym celu stworzenie od podstaw własnej dokumentacji na potrzeby działania firmy dla zapewnienia odpowiedniego poziomu bezpieczeństwa pracy zdalnej od strony organizacyjnej, technicznej, sprzętowej i prawnej.
Jak już zostało wspomniane to pracodawca, działający w sferze ochrony danych osobowych jako administrator, wdraża odpowiednie środki techniczne i organizacyjne minimalizujące ryzyko naruszenia praw i wolności osób trzecich. Istotne obowiązki dotyczące administratora czyli podmiotu przetwarzającego dane, określone zostały w szczególności w art. 24, 25 oraz art. 32 Rozporządzenia Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane ogólnym rozporządzeniem o ochronie danych). Aby zapewnić odpowiednie bezpieczeństwo przetwarzania danych, administrator powinien zwrócić szczególną uwagę na takie czynniki jak: pseudonimizacja i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, a także działania w zakresie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Powyższe czynniki powinny zostać przeanalizowane pod kątem aktualnego poziomu wiedzy technicznej, a także z uwzględnieniem kosztów wdrożenia tych procesów z uwagi na ich kontekst, cele i zakres działalności. Warto również zaznaczyć, że przetwarzanie danych osobowych w warunkach pracy zdalnej, powinno znaleźć się w sferze działań i analiz wykonywanych przez inspektora ochrony danych, o ile taka osoba została powołana w danym przedsiębiorstwie.
Kolejną istotną kwestią w sferze ochrony danych osobowych w warunkach pracy zdalnej jest organizacja sprzętu niezbędnego do pracy oraz szeroko rozumianej infrastruktury sieciowej. Są to zagadnienia rzutujące nie tylko na aktualną sytuację w zakładzie pracy ale mogące również realnie wpływać na kwestie powrotu i rozliczenia pracownika z pracy zdalnej, czy też kontynuacji przez zakład pracy tej formy wykonywania służbowych zadań. Z uwagi na powyższe zagadnienia niezbędne jest, aby rozstrzygnąć i odpowiednio udokumentować czyjego sprzętu używa pracownik wykonujący pracę zdalną, jaki konkretnie sprzęt został powierzony pracownikowi do wykonywania zadań, w jakiej lokalizacji sprzęt jest wykorzystywany, jak wyglądają ewentualne rozliczenia związane z eksploatacją sprzętu poza siedzibą pracodawcy, jakie są standardy zabezpieczenia sprzętu, w jaki sposób i kto ma zapewnić odpowiednie oprogramowanie oraz jaka jest treść procedur w zakresie ochrony danych osobowych.
Na koniec warto wskazać, że każdorazowe polecenie pracownikowi wykonywania pracy w trybie zdalnym oraz związana z tą formą pracy problematyka ochrony danych osobowych stanowią pewne ryzyko, które występuje po stronie pracodawcy będącego administratorem odpowiedzialnym za przetwarzanie tych danych. Minimalizację tego ryzyka zapewnia wdrożenie odpowiednich procedur i działań, poprzedzone wcześniejszą analizą sytuacji zakładu pracy, potencjału pracowników oraz technicznych możliwości.
Podstawa prawna:
- Ustawa z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, Dz.U.2020.1842 t.j.
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U.UE.L.2016.119.1.