Na nowo trzeba ocenić ryzyko naruszenia praw i wolności osób, których dane są przetwarzane. Istotne jest przy tym m.in. to, do jakiej grupy państw należy kraj, z którego ma być świadczona praca zdalna
Na nowo trzeba ocenić ryzyko naruszenia praw i wolności osób, których dane są przetwarzane. Istotne jest przy tym m.in. to, do jakiej grupy państw należy kraj, z którego ma być świadczona praca zdalna
Nie ulega wątpliwości, że wykonywanie pracy w trybie zdalnym może istotnie wpływać na poziom bezpieczeństwa danych osobowych przetwarzanych w związku z wypełnianiem obowiązków służbowych. Zmiana modelu pracy oraz miejsca, w którym się ona odbywa, może skutkować powstaniem nowych ryzyk i zagrożeń dla ochrony danych, które w modelu pracy stacjonarnej nie występowały. Tym bardziej gdy praca i związane z nią operacje przetwarzania danych mają być wykonywane w państwie innym niż państwo stałego świadczenia pracy, w szczególności poza Europejskim Obszarem Gospodarczym (EOG). Nie ma przy tym znaczenia okoliczność, czy osoba jest zatrudniona na podstawie umowy o pracę, czy cywilnoprawnej (np. umowa zlecenia, kontrakt menedżerski). Niezależnie od podstawy zatrudnienia wprowadzenie formuły pracy zdalnej z zagranicy z całą pewnością wymaga zrewidowania stosowanych dotychczas w organizacji rozwiązań organizacyjnych i technicznych, które mają zapewnić odpowiedni poziom ochrony danych przed nieuprawnionym dostępem oraz jakąkolwiek formą nadużycia.
Konieczna aktualizacja oceny ryzyka
Punktem wyjścia do przygotowania organizacji na niepraktykowany dotąd model świadczenia pracy powinno być przeprowadzenie oceny ryzyka naruszenia praw i wolności osób fizycznych dla konkretnych procesów przetwarzania danych, które będą zawierać element transgraniczny. Wymaga to zdefiniowania i analizy tych procesów, zasobów z tym związanych oraz potencjalnych zagrożeń, które mogą towarzyszyć tej formie pracy. Należy przy tym podkreślić, że konieczność dokonania rewizji przyjętej w organizacji oceny ryzyka w procesach przetwarzania danych wynika wprost z RODO. W tym miejscu należy powołać się chociażby na art. 32 RODO, zgodnie z którym podstawowym obowiązkiem administratora danych jest wdrożenie odpowiednich środków ich ochrony w zależności m.in. od charakteru, zakresu, kontekstu i celów przetwarzania oraz zidentyfikowanego ryzyka, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Zauważmy, że zgodnie z przyjętym w RODO podejściem opartym na ryzyku (risk based approach) administrator danych jest zobowiązany do samodzielnego określenia rozwiązań dotyczących bezpieczeństwa danych – adekwatnych do skali ryzyka określonego dla procesów ich przetwarzania w organizacji.
Oznacza to, że w przypadku wprowadzania nowego modelu pracy zdalnej z zagranicy – który bez wątpienia stanowi zmianę warunków, w jakich następuje przetwarzanie danych – ustalenie aktualnego poziomu ryzyka jest niezbędne do oceny adekwatności przyjętych wcześniej w organizacji rozwiązań i mechanizmów ochrony danych. Należy bowiem zaznaczyć, że decyzja o ich wdrożeniu podejmowana była w innych okolicznościach i dla przyjętego wówczas modelu pracy stacjonarnej. Ponadto w przypadku ustalenia, że obecne mechanizmy są niewystarczające, zaktualizowana ocena ryzyka umożliwi dobór dodatkowych środków, których zastosowanie zminimalizuje ryzyko zaistnienia możliwych zagrożeń. Trzeba też pamiętać, że przeprowadzenie oceny ryzyka powinno nastąpić przed skorzystaniem przez pracodawcę z rozwiązania w postaci pracy zdalnej z zagranicy. Ponadto w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych konieczne będzie przeprowadzenie oceny skutków przetwarzania dla ochrony danych zgodnie z art. 35 RODO. Należy też zasygnalizować, że niezależnie od poziomu ryzyka niezbędna będzie również analiza oraz ewentualna aktualizacja rejestru czynności przetwarzania danych osobowych prowadzonego przez administratora danych na podstawie art. 30 RODO.
Rodzaj ma znaczenie
Nie ulega wątpliwości, że ryzyko rośnie wraz wrażliwością danych przetwarzanych przez pracownika za granicą. Dlatego niezbędna jest analiza, jakiego rodzaju dane będą przekazywane temu pracownikowi i uwzględnienie tej okoliczności w przeprowadzanej ocenie ryzyka. O ile w sytuacji przetwarzania danych mieszczących się w kategorii danych zwykłych co do zasady można poprzestać na standardowych środkach ochrony (np. silne hasła dostępu do urządzeń, korzystanie z bezpiecznego łącza VPN, oprogramowanie antywirusowe i firewall), o tyle w przypadku przetwarzania szczególnych kategorii danych osobowych (np. dotyczących zdrowia, behawioralnych czy finansowych) konieczne mogą okazać się dodatkowe sposoby zabezpieczenia (np. szyfrowanie danych podczas ich używania i przechowywania, wielopoziomowe uwierzytelnianie). Niezależnie jednak od rodzaju danych należy pamiętać także o innych czynnikach, które mogą zwiększać ryzyko w konkretnej sytuacji. Takim czynnikiem może być m.in. specyfika osób, których dane dotyczą, lub możliwość stworzenia na podstawie danych szczegółowego profilu społecznego lub finansowego osoby fizycznej.
Problematycznie, gdy poza obszarem EOG
W ramach przeprowadzania procedur opisanych powyżej należy w szczególności oceniać ryzyka dla przetwarzania danych z punktu widzenia kraju, w którym praca ma być świadczona. Nie wydaje się przy tym, aby wykonywanie jej w zdalnej formule poza granicami Polski, ale w ramach EOG, mogło budzić dodatkowe zastrzeżenia z punktu widzenia bezpieczeństwa danych przetwarzanych podczas takiej pracy. Wynikające z RODO zasady ochrony danych osobowych są bowiem jednolite dla całego obszaru EOG (tj. UE, Islandii, Norwegii i Liechtensteinu). Skoro zatem we wszystkich tych państwach obowiązuje ujednolicony poziom ochrony danych, przekazywanie danych pracownikowi przebywającemu na terytorium EOG z punktu widzenia standardów prawnych należy uznać za bezpieczne.
Co do zasady ryzyka w tym zakresie nie zwiększa również skierowanie zatrudnionego do pracy zdalnej wykonywanej w państwach nienależących do EOG, co do których Komisja Europejska (KE) wydała decyzję potwierdzającą, że kraj ten zapewnia adekwatny (analogiczny jak w UE) stopień ochrony danych. Aktualnie KE wydała takie decyzje w stosunku do następujących państw trzecich: Andora, Argentyna, Kanada, Wyspy Owcze, Guernsey, Izrael, Wyspa Man, Japonia, Jersey, Nowa Zelandia, Szwajcaria, Urugwaj.
Kwestia ta jest bardziej skomplikowana w przypadku państw trzecich bez pozytywnej decyzji KE, a także Wielkiej Brytanii – w związku z brexitem. Klauzula pomostowa zawarta w art. FINPROV 10A umowy o handlu i współpracy między UE a Zjednoczonym Królestwem (Dz.Urz.UE z 31 grudnia 2020 r. L 444 s. 14) przewiduje wydłużenie okresu przejściowego na swobodne przekazywanie danych do Wielkiej Brytanii maksymalnie do 1 lipca 2021 r. Jeśli jednak do tego czasu KE nie przyjmie decyzji stwierdzającej, że standardy prawne ochrony danych w Zjednoczonym Królestwie są porównywalne do unijnych, wówczas przetwarzanie danych podczas pracy zdalnej w tym kraju będzie generowało potrzebę spełnienia analogicznych wymogów, jak w przypadku państw trzecich spoza obszaru EOG nieobjętych decyzją o adekwatności. RODO identyfikuje bowiem każdy transfer danych do tej kategorii państw jako czynnik zwiększający ryzyko i w związku z tym wymaga zapewnienia dodatkowych odpowiednich środków i procedur zabezpieczających. Wynika to z tego, że jeśli poziom ochrony danych w kraju trzecim nie jest istotnie równoważny poziomowi ochrony w EOG, a więc de facto jest mniejszy – np. ustawodawstwo umożliwia dostęp do danych przez organy publiczne lub występuje niejasność albo brak upublicznienia regulacji dotyczących przetwarzania danych – wówczas powstaje wysokie ryzyko naruszenia podstawowych zasad RODO. W konsekwencji konieczne jest zastosowanie dodatkowych środków zabezpieczenia danych, a jeśli okaże się to niemożliwe – nieuchronna staje się całkowita rezygnacja z wykonywania pracy zdalnej w tym państwie. Aby ustalić istotność i poziom ryzyk w danym państwie trzecim, niezbędne jest zatem pozyskanie informacji o ustawodawstwie tego kraju, co w niektórych przypadkach może okazać się problematyczne.
Powyższe uwagi mają znaczenie również dla pracy zdalnej świadczonej w USA w związku z wyrokiem Trybunału Sprawiedliwości UE z 16 lipca 2020 r. w sprawie Schrems II (C-311/18), w którym TSUE stwierdził nieważność decyzji KE o uznaniu Tarczy Prywatności (Privacy Shield) jako spełniającej wymóg odpowiedniej ochrony oraz uznał za niedopuszczalne dalsze transfery danych do USA na tej podstawie. Przypomnijmy, że chodzi tu o decyzję wykonawczą Komisji (UE) 2016/1250 z 12 lipca 2016 r. przyjętą na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (którą to tarczę stanowił pakiet dokumentów zawierających zasady ochrony prywatności oraz oficjalne oświadczenia i zobowiązania różnych organów amerykańskich w tym zakresie).
Odpowiednie narzędzia i zabezpieczenia
W zależności od wyniku przeprowadzonej oceny ryzyka obowiązkiem pracodawcy jest dobór właściwych środków technicznych, aby zapewnić wystarczający poziom ochrony przetwarzanych danych. Wymaga to podjęcia odpowiednich działań zarówno przez kadrę zarządzającą organizacją, jak i dział IT firmy czy przez inspektora ochrony danych, jeśli został powołany. Konieczne jest wyposażenie pracownika zdalnego w odpowiednio przygotowany sprzęt służbowy i jego należyte zabezpieczenie, a także zapewnienie aktualnego oprogramowania i bezpiecznej dystrybucji sprzętu oraz przeszkolenie z zasad bezpiecznego korzystania z narzędzi pracy. Istotne jest również zweryfikowanie prawidłowości nadanych uprawnień, w tym dostępów do baz danych. Z uwagi na to, że pracownik będzie świadczył pracę na odległość, warto zadbać o skuteczne kanały komunikacji i wsparcia IT służące do zgłaszania problemów technicznych dotyczących sprzętu lub systemów oraz incydentów bezpieczeństwa.
Należy tu zasygnalizować, że pewne ryzyka może generować sytuacja korzystania przez pracownika z prywatnego sprzętu. Bez wątpienia wykonywanie pracy przy użyciu np. własnego laptopa wymaga wyraźnej zgody pracownika, lecz konieczność zapewnienia obowiązujących w organizacji standardów systemu bezpieczeństwa może wiązać się z potrzebą ingerencji w ten sprzęt w celu jego sprawdzenia przez dział IT, w szczególności jeśli pracownik ma pozyskać dostęp do danych wrażliwych. W takich sytuacjach powstaje ryzyko naruszenia prywatności pracownika zdalnego. Trzeba również zwrócić uwagę, że okoliczność korzystania z prywatnego sprzętu nie zwalnia pracodawcy jako administratora danych z obowiązku zapewnienia odpowiednich środków ochrony danych. Odpowiedzialność w tym zakresie spoczywa całkowicie na administratorze i pracodawca nie może tego obowiązku przerzucić na pracownika.
Procedury i podnoszenie świadomości – kluczowe elementy
Właściwe zarządzenie obszarem zabezpieczeń technicznych z pewnością stanowi istotny element przygotowania organizacji do zmiany modelu pracy na zdalną wykonywaną poza granicami kraju. Jednak stosowanie nawet najnowszych rozwiązań technicznych nie zagwarantuje skuteczności przyjętych środków, jeśli pracodawca nie podejmie odpowiednich działań w zakresie sformułowania zasad postępowania podczas takiej pracy oraz budowy i stałego podnoszenia świadomości pracowników w tej sferze. W związku z powyższym w ramach działań przygotowawczych należy zwrócić uwagę na rozwiązania organizacyjne. W zależności od oszacowanego ryzyka, z którym wiąże się zmiana sposobu i miejsca świadczenia pracy, niezbędna będzie weryfikacja i aktualizacja wdrożonych u pracodawcy procedur bezpieczeństwa danych oraz instrukcji korzystania z narzędzi (np. w formie polityk, instrukcji, podręczników itp.). Istotne jest również ustalenie czytelnych i intuicyjnych zasad wykonywania pracy zdalnej, np. w regulaminach wewnętrznych, szczególnie poza państwem jej stałego świadczenia. Konieczne jest poinformowanie i zapoznanie pracowników z zasadami związanymi z wykonywaniem pracy w trybie zdalnym z zagranicy, w tym dotyczącymi ochrony danych przetwarzanych podczas pracy świadczonej w tej formule. Z uwagi na wynikającą z RODO zasadę rozliczalności pracownicy powinni również potwierdzić zapoznanie się z tymi zasadami i zobowiązać się do ich przestrzegania, np. składając stosowne oświadczenia. Z uwagi na model wykonywania pracy przeszkolenie pracowników może nastąpić zdalnie i przybrać formę webinarium lub e-learningu, w które bez wątpienia powinni zostać zaangażowani pracownicy działu IT oraz inspektor ochrony danych, jeśli został powołany w firmie. Warto także praktykować cykliczne spotkania online zespołów oraz regularną komunikację w ramach organizacji w formie np. wiadomości e-mail, w celu przypomnienia obowiązujących procedur, schematów postępowania, w tym zasad oraz sposobów raportowania incydentów bezpieczeństwa.
WAŻNE Administrator danych jest zobowiązany do samodzielnego określenia rozwiązań dotyczących bezpieczeństwa danych – adekwatnych do skali ryzyka określonego dla procesów ich przetwarzania w organizacji.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję
Reklama
Reklama