- 1 Czy jesteśmy gotowi na jawność płac? (149 opinii)
- 2 Każdy będzie na etacie? A zaczęło się od kurierów (125 opinii)
- 3 Ubezpieczeni w ZUS. Są nawet Kolumbijczycy (155 opinii)
- 4 Kelner: zawód, którego (już) nie ma? (109 opinii)
- 5 Sprawdź, czy zarabiasz przeciętną krajową (185 opinii)
Kto odpowiada za ochronę danych osobowych, gdy pracujemy zdalnie?
Walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe, a więc pracodawcy z obowiązku zapewnienia należytej ochrony tychże danych. Dzieje się tak, choć pracownicy pracują u siebie w domu. Należy jednak wyraźnie zaznaczyć, że reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków.
- Pracuję w księgowości i mam do czynienia z dokumentami, które zawierają także dane osobowe. Na czas epidemii pracujemy zdalnie. Część dokumentów mam u siebie w domu, mam też służbowy komputer. Przeszłam w pracy szkolenia odnośnie ochrony danych osobowych. Jednak czy te wszystkie obostrzenia dotyczące przechowywania dokumentów, danych w komputerze powinny być spełnione także w domu, który na chwilę stał się biurem? Kto ponosi odpowiedzialność za ewentualny wyciek danych - ja czy jednak pracodawca? - pyta czytelniczka.
Porady prawne w serwisie Praca
Na pytanie odpowiada Andrzej Fortuna - radca prawny z kancelarii Radcy Prawnego Fortuna.
Kwestia ochrony danych osobowych w czasie pracy zdalnej realizowanej w związku z pandemią koronawirusa była przedmiotem rozważań zarówno Europejskiej Rady Ochrony Danych, jak i Urzędu Ochrony Danych Osobowych. Jednoznacznie potwierdzono, że walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe (a więc pracodawcy) z obowiązku zapewnienia należytej ochrony tychże danych.
W czasie pracy zdalnej aktualne pozostają zatem wszelkie zasady przetwarzania danych osobowych. Dane osobowe winny więc być przetwarzane w konkretnych i wyraźnych celach, w zakresie niezbędnym do ich osiągnięcia oraz przez czas niezbędny dla realizacji tych celów. Przede wszystkim jednak - dane powinny być odpowiednio zabezpieczone przed ich ujawnieniem osobom nieupoważnionym.
Odpowiedzialność za te dane i ich należyte zabezpieczenie nadal ponosi pracodawca - najczęściej jako administrator danych osobowych czy też procesor przetwarzający dane osobowe. Fakt, że praca jest wykonywana zdalnie - nie przerzuca automatycznie ryzyka na pracownika, wykonującego czynności na danych osobowych w ramach pracy świadczonej poza zakładem pracy.
Pracodawca winien przede wszystkim zweryfikować obowiązujące u niego procedury, mające na celu ochronę danych osobowych - czy w związku ze zmianą formuły wykonywania pracy nie należy ich zmodyfikować, dopasowując do nowej rzeczywistości. Pracodawca winien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności.
W tym kontekście należy zwrócić uwagę na art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Zgodnie z tym przepisem narzędzia i materiały potrzebne do wykonywania pracy zdalnej oraz obsługę logistyczną pracy zdalnej zapewnia pracodawca. Pracownik może korzystać z narzędzi lub materiałów niezapewnionych przez pracodawcę - ale tylko pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Co więcej przywołana regulacja jednoznacznie stanowi, że wykonywanie pracy zdalnej może zostać polecone, jeżeli pracownik ma umiejętności i możliwości techniczne oraz lokalowe do wykonywania takiej pracy i pozwala na to rodzaj pracy.
5 pomysłów na pracę zdalną w Trójmieście. Praca zdalna - oferty, stawki, wymagania
Tym samym pracodawca decydując się na polecenie pracownikowi wykonywania pracy zdalnej- powinien po pierwsze dokonać analizy, czy - uwzględniając warunki leżące po stronie pracownika - jest to możliwe i bezpieczne, po drugie - winien wprowadzić pracownika w odpowiednie procedury zabezpieczania danych, jak również wyposażyć pracownika w niezbędne narzędzia lub zbadać, jakie możliwości w tym zakresie posiada pracownik - w tym w szczególności możliwości co do przechowywania i zapewnienia bezpieczeństwa danych osobowych i innych informacji.
Przepisy tej treści wprowadzone zostały, co prawda, dopiero na koniec czerwca br. (a więc gdy powoli znoszono, spowodowane epidemią, ograniczenia w życiu społecznym i gospodarczym) - początkowo przepis mówił jedynie ogólnie o prawie polecenia pracownikom wykonywania pracy zdalnej. Nie zmienia to jednak faktu, że wcześniej także pracodawca ponosił na ogólnych zasadach odpowiedzialność za zorganizowanie pracownikowi właściwych warunków pracy.
Do obowiązków pracodawcy - niezależnie od tego, czy chodzi o pracę zdalną, czy tez na miejscu - należy również zobowiązanie pracowników do zgłaszania każdego incydentu związanego z naruszeniem ochrony danych, ponieważ administrator ma obowiązek niezwłocznego zgłoszenia naruszenia organowi nadzorczemu.
Na szczególną uwagę zasługuje także kwestia wykorzystywania dokumentacji papierowej podczas pracy zdalnej. W tym zakresie wypowiedział się Urząd Ochrony Danych Osobowych wskazując, że korzystanie z dokumentacji papierowej - a w szczególności praca na oryginałach dokumentów (a nie ich kopiach, w tym kopiach zanonimizowanych)- powinna odbywać się tylko w wyjątkowych sytuacjach, gdy pracodawca nie udostępnia i nie może udostępnić dokumentów w sposób elektroniczny. Wynoszenie dokumentacji poza zakład pracy i przechowywanie jej przez pracownika może być dokonywane jedynie za zgodą pracodawcy i w określony przez niego sposób. Procedury stworzone przez pracodawcę w tym zakresie w szczególności winny określać m.in. sposób ewidencjonowania wynoszonych dokumentów, sposób ich przenoszenia i przechowywania w bezpieczny sposób (zamknięte aktówki, szafy, itp.), ale także i sposób ewentualnego niszczenia danych.
Obowiązują tutaj także ogólne zasady przewidziane w art. 3 ww. ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 - a więc praca zdalna z wykorzystaniem papierowych dokumentów może być polecona, jeśli pracownik posiada odpowiednie możliwości, w tym np. lokalowe celem zapewnienia bezpieczeństwa danych, a pracodawca zapewnił pracownikowi niezbędne narzędzia lub narzędzia posiadane przez pracownika umożliwiają pełne wywiązanie się z obowiązków należytej ochrony danych.
Niemniej należy także wyraźnie zaznaczyć, że powyższe reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków. Przede wszystkim bowiem pracownik winien bezwzględnie przestrzegać procedur ustalonych przez pracodawcę - procedury te najczęściej odnoszą się do szyfrowania danych czy kontroli dostępu do sprzętu, obowiązku korzystania jedynie z narzędzi służbowych, ewentualnie zatwierdzonych przez pracodawcę, obowiązku zorganizowania stanowiska pracy w sposób uniemożliwiający dostęp osób trzecich do przetwarzanych informacji, zakazu instalowania niepewnych programów czy aplikacji na sprzęcie używanym do przetwarzania danych, właściwa archiwizacja lub usuwanie zapisu niepotrzebnych danych. Nieprzestrzeganie tychże obowiązków i procedur może skutkować odpowiedzialnością pracownika względem pracodawcy - czy to odszkodowawczą, czy to dyscyplinarną, czy też wiązać się z podjęciem przez pracodawcę decyzji o rozwiązaniu z pracownikiem umowy o pracą. Oczywiście, zastosowanie tychże sankcji musiałoby być poprzedzone analizą konkretnych okoliczności danej sprawy. W skrajnych sytuacjach - w szczególności związanych z celowym wykorzystaniem niejawnych informacji - nie jest również wykluczona odpowiedzialność karna pracownika.
Podsumowując - epidemia absolutnie nie zwalnia z obowiązku przestrzegania zasad związanych z zapewnieniem należytej ochrony danych osobowych, a wręcz niekiedy wymusza konieczność stosowania dodatkowych środków ostrożności i stworzenia dodatkowych procedur. To pracodawca odpowiada za stworzenie właściwych warunków do należytego zabezpieczenia danych i ponosi odpowiedzialność za nieprawidłowości w tym zakresie. Natomiast pracownik zasadniczo odpowiada względem pracodawcy - jeśli pomimo stworzenia mu odpowiednich warunków i określenia procedur - nie dopełnił obowiązków w zakresie ochrony danych.
O autorze
Andrzej Fortuna
radca prawny z kancelarii Radcy Prawnego Fortuna
Miejsca
Opinie (26) 5 zablokowanych
-
2020-08-01 13:44
Surowość prawa jest łagodzona wybiórczością jego stosowania.
"Pracownik może korzystać z narzędzi lub materiałów niezapewnionych przez pracodawcę - ale tylko pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę."
To który nauczyciel idzie siedzieć?- 9 1
-
2020-08-01 13:38
Smrodo
Rodo zamiast pomagać tylko utrudnia życie..A Ci co potrzebują nasze dane i tak je zdobywają..Sztuczny przepis
- 20 3
-
2020-08-01 13:12
Problem na poziomie mówienia do pustych krzeseł.
Sztuka dla sztuki. Dane osobowe są przedmiotem handlu, weźmy na przykład firmę Axciom, która w Gdańsku ma swoją siedzibę, a zajmuje się profesjonalnie...spamowanien i handlem danymi osobowymi.
- 13 1
-
2020-08-01 10:30
(1)
Jak to działa w rozumieniu typowego polactwa? ze**any Pan Janusz- żeby pozyskać jakieś umowy na pożądany sprzęt to podałby nawet numer buta wszystkich babci do 3 pokoleń wstecz. Tylko potem jak przychodzi do wyjaśnień w zw. z długiem i zobowiązaniami to nagle zasłania się RODO i nagle staje się miłośnikiem ochrony swoich danych osobowych:)
- 12 1
-
2020-08-01 10:33
i się wyjaśniło
- 1 0
-
2020-08-01 10:10
(1)
Kto odpowiada i w jaki sposób zabezpiecza i archiwizuje dane dotyczące dzieci w przedszkolu np. mierzona przynajmniej dwukrotnie temperatura ciała. Te dane są zapisywane. Co się później z nimi dzieje? Są to dane dotyczące stanu zdrowia z imieniem i nazwiskiem.
- 10 5
-
2020-08-01 10:26
a w śmietniku ile jest danych
- 6 0
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.