I to na wielu płaszczyznach. A w ramach przygotowania organizacyjnego firmy na tę formę pracy, warto też przeszkolić pracowników tak, by zagwarantować poufność przetwarzanych informacji.
Rozpatrując zagadnienie ochrony danych osobowych w kontekście pracy zdalnej, należy mieć na uwadze dwa aspekty: prawo pracownika pracującego zdalnie do ochrony jego danych osobowych oraz zapewnienie, aby podczas świadczenia przez niego pracy w tej formule należycie zabezpieczyć przetwarzane przez niego dane osobowe.
Jeśli chodzi o ten pierwszy aspekt, zakres informacji zebranych od pracowników powinien być ograniczony do celu, tj. mogą to być tylko dane niezbędne do dokonania oceny, czy zgodnie z prawem można polecić pracownikowi pracę zdalną. Pracodawca ma więc prawo np. uzyskać informację o tym, czy pracownik dysponuje dostępem do internetu oraz jakie ma warunki lokalowe (czy może tak zorganizować sobie miejsce pracy, aby w godzinach, w których ma być do dyspozycji zatrudniającego, mógł ją świadczyć w sposób gwarantujący jej właściwą jakość).
Przykład 1
Warunki lokalowe
Pracownik jest zatrudniony na stanowisku doradcy inwestycyjnego. W ciągu dnia prowadzi korespondencję e-mailową i uczestniczy w wideokonferencjach, podczas których omawia zagadnienia związane z inwestycjami klientów pracodawcy. Raz na kilka dni odbywają się również zdalnie spotkania całego zespołu, podczas których omawiane są osiągane wyniki w połączeniu z analizą sytuacji na rynkach finansowych a także podejmowane są ważne decyzje strategiczne (również z udziałem przełożonych). Pracodawca powierzając pracownikowi pracę zdalną, powinien ustalić, czy podczas pracy pracownik ten ma możliwość przebywania w wydzielonym pomieszczeniu, a także czy jego warunki lokalowe pozwalają na to, aby niektóre czynności były wykonywane w miejscu, do którego nie będą miały dostępu inne osoby.
Należy też pamiętać, że dane pozyskane przez pracodawcę na potrzeby pracy zdalnej nie powinny być wykorzystywane do innych celów po zakończeniu okresu jej wykonywania. Ta forma pracy, z racji ścisłego powiązania z nadzwyczajną sytuacją epidemiczną, wciąż jest bowiem limitowana w czasie (do trzech miesięcy po odwołaniu stanu zagrożenia epidemicznego/epidemii – zob. s. C1).
Ponadto pracodawca jest też odpowiedzialny za to, czy polecając pracownikowi pracę zdalną brał pod uwagę bezpieczeństwo jej świadczenia z punktu widzenia ochrony informacji wykorzystywanych podczas pracy. Zatrudniający powinien przy tym m.in. zasięgnąć profesjonalnej opinii odnośnie zabezpieczeń, jakie oferują popularne na rynku komunikatory. W oparciu o nią należy dobrać odpowiednie narzędzie do wymaganego poziomu poufności (nie powinny to być narzędzia powiązane z Facebookiem, jak Messenger czy WhatsApp). Co więcej, pracodawca w dążeniu do zabezpieczenia poufnych danych, do których pracujący zdalnie może mieć dostęp (a więc nie tylko przetwarzanych przez niego danych osobowych), powinien stosować środki techniczne nienaruszające prawa pracownika do prywatności i autonomii informacyjnej. Natomiast jeśli ryzyko związane z utratą dostępu do danych czy też dostępem do nich osób nieuprawnionych zostanie ocenione jako wysokie, należy zastanowić się, czy polecenie pracy zdalnej jest wówczas właściwym rozwiązaniem.
Dostępy i zabezpieczenia
Praca zdalna może narażać pracodawcę na dodatkowe ryzyko niezależnie od tego, czy zatrudniony pracuje na dostarczonym mu sprzęcie firmowym czy na własnym. Uwaga! Pracownik korzystający ze zdalnego dostępu do infrastruktury pracodawcy nie podlega np. środkom bezpieczeństwa fizycznego stosowanym na terenie zakładu pracy, ograniczających i monitorujących dostęp osób z zewnątrz. Zarazem pracodawca ma obowiązek zapewnić sprzęt lub oprogramowanie pozwalające uzyskać taki sam poziom dostępu do sieci, systemów i zasobów pracodawcy, jakim pracownik dysponowałby w zakładzie pracy. Zgodnie zaś z art. 3 ust. 5 specustawy o COVID-19 przy wykonywaniu pracy zdalnej pracownik może używać narzędzi lub materiałów niezapewnionych przez pracodawcę pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Wymóg ten nie jest jednak skierowany do pracownika, lecz do pracodawcy, gdyż warunkiem polecenia pracy zdalnej jest posiadanie przez zatrudnionego możliwości technicznych do jej świadczenia. Ocena tej kwestii nie może zostać przerzucona na podwładnego. Przy czym w przeważającej większości przypadków zatrudnieni przechodzą w tryb pracy zdalnej z dotychczasowym dostępem do zasobów informatycznych. Jeśli jednak udzielamy im zdalnych dostępów do danych po raz pierwszy lub zwiększamy je, to trzeba zweryfikować, w jakim zakresie dostęp ten jest im rzeczywiście niezbędny z uwagi na wykonywanie czynności zawodowe.
Według opinii Grupy Roboczej Art. 29 (dalej: GR29) nr 2/2017 na temat przetwarzania danych w miejscu pracy w przypadku niewdrożenia przez pracodawców odpowiednich środków technicznych, wzrasta ryzyko uzyskania nieuprawnionego dostępu do danych i co może doprowadzić do utraty lub zniszczenia informacji znajdujących się w posiadaniu pracodawcy, w tym danych osobowych pracowników lub konsumentów. Nie uprawnia to jednak pracodawców do stosowania wszelkich dostępnych metod monitorowania pracowników (rejestrowania naciśnięć klawiszy lub ruchów myszy, przechwytywania ekranu w losowych albo regularnych odstępach czasu, rejestrowania uruchamianych aplikacji oraz czasu korzystania z nich, a także – w przypadku kompatybilnych urządzeń – włączania kamer internetowych i nagrywanie za ich pomocą materiałów). Co istotne, GR29 uznała jednak za dopuszczalne co do zasady wdrożenie podczas pracy zdalnej odpowiednich środków technicznych zmierzających do ochrony danych osobowych, które są przetwarzane przez pracowników. Przy czym środki te powinny być adekwatne do celu. Jednakże zdaniem GR29 prawdopodobieństwo, że interes pracodawcy będzie uzasadniać stosowanie takich metod, jak np. rejestrowanie klawiszy naciskanych przez pracownika lub wykonywanych przez niego ruchów myszą, jest bardzo niewielkie. Istotne jest też zadbanie o to, aby środki te nie stanowiły nadmiernej ingerencji w prawo do prywatności pracownika i innych osób, które wspólnie z nim przebywają w miejscu pracy zdalnej.
W kontekście pracy zdalnej warto też zwrócić uwagę na przepisy kodeksu pracy dotyczące telepracy, bo mogą one znaleźć zastosowanie również do pracy zdalnej. I tak regulacje te nakładają na pracodawcę wprost obowiązek określenia zasad ochrony danych przekazywanych telepracownikowi oraz przeprowadzenia – w miarę potrzeb – instruktażu i szkolenia w tym zakresie. Telepracownik ma z kolei obowiązek potwierdzić na piśmie, że zapoznał się z zasadami ochrony danych i będzie ich przestrzegać (art. 6712 k.p.). Należy jednak pamiętać o tym, że w odróżnieniu do telepracy, dla której wymagane jest porozumienie pracownika z pracodawcą, praca zdalna jest pracownikowi narzucona przez pracodawcę, a zatem należy wziąć pod uwagę to, jaki zakres obowiązków związanych z ochroną danych się z tym łączy oraz przejściowy (póki co) charakter tej formy świadczenia pracy.
RODO nie zawsze stosowane
Nie każda dokumentacja zawierająca dane osobowe obejmuje takie dane, co do których stosuje się RODO. Zgodnie z art. 2 RODO ma ono zastosowanie do danych przetwarzanych w sposób całkowicie zautomatyzowany lub częściowo zautomatyzowany oraz do przetwarzania w inny sposób danych osobowych stanowiących część zbioru danych lub mających stanowić cześć zbioru danych. Zatem dopiero wtedy, gdy dane osobowe będą przetwarzane w sposób zautomatyzowany lub w zbiorze danych w formie tradycyjnej, należy brać pod uwagę wymogi wynikające z RODO. Urząd Ochrony Danych Osobowych w zamieszczonych na swojej stronie internetowej wyjaśnieniach z 4 maja 2020 r. wskazał, jakie obowiązki ciążą na pracodawcy przy poleceniu pracy zdalnej z wykorzystaniem dokumentacji papierowej. Niestety nie uwzględniono przy tym art. 2 RODO, w myśl którego nie zawsze, gdy pojawia się zagadnienie danych osobowych, UODO powinien wyznaczać kierunki i zasady postępowania. A niezależnie od tego, czy wytyczne i interpretacje zawarte na stronie internetowej mają jakąkolwiek doniosłość prawną, obawa przed kontrolą i sankcjami sprawia, że pracodawcy starają się do nich stosować. W stanowisku UODO nie zostało też wzięte pod uwagę to, że polecając pracę zdalną, pracodawca nie może nakładać obowiązków, których realizacja wymagałaby od pracownika ponoszenia określonych nakładów finansowych, np. nie każdy musi mieć w domu szafkę zamykaną na klucz. Należy się w ogóle zastanowić, czy podążając za tymi wytycznymi (i wdrażając cały system: ewidencjonowania wynoszonych dokumentów, tworzenia ich kopii, opracowywania procedur ich niszczenia poza zakładem pracy, nakładania na pracowników obowiązków zamykania na klucz wszystkiego, co firmowe i zawiera dane osobowe), z pola widzenia nie znikają nam kluczowe zagadnienia, a mianowicie – czy w takiej sytuacji w ogóle praca zdalna mogła być pracownikowi polecona? Odpowiedź na to pytanie powinna być negatywna. Pracodawca musi też dokonać weryfikacji kluczowych elementów pracy zdalnej i ocenić, czy jej polecenie będzie legalne i możliwe. Nie zapominajmy też, że jej celem jest przeciwdziałanie COVID-19. Jeśli od pracownika wymagamy systematycznego stawiania się w biurze w celu pobrania dokumentacji papierowej i jej zwrotu po wykorzystaniu, taka osoba jest zmuszana do ciągłego przemieszczania się i mimowolnego kontaktu z innymi osobami, w tym potencjalnie zakażonymi. Oznacza to, że takie polecenie pracodawcy będzie sprzeczne z celem, dla którego praca zdalna została polecona.
Przykład 2
Sprzeczność z celem
Pracownik zajmuje się digitalizacją i opisem dokumentacji zawierającej dane osobowe. Pracuje w wydzielonym pomieszczeniu zakładu pracy, do którego prowadzi oddzielne wejście. Do pracy potrzebuje skanera, komputera z dostępem do internetu oraz wewnętrznej sieci, w której przechowywana jest dokumentacja w formie cyfrowej. Pracodawca dostarczył pracownikowi sprzęt niezbędny do zdalnego wypełniania obowiązków. Zatrudniony zmuszony jest jednak co drugi dzień pobierać z zakładu pracy określoną partię dokumentów oraz zwracać te już zdigitalizowane. Na odpowiednie ich zabezpieczenie do transportu poświęca co najmniej godzinę dziennie. Ponadto przez kilka godzin dziennie w stałym miejscu pracy wypełnia ewidencję dokumentów pobranych i zwróconych. Ten rodzaj pracy nie kwalifikuje się do polecenia pracy zdalnej.
Jeżeli już niezbędnym będzie – w ograniczonym zakresie – korzystanie podczas pracy z dokumentacji papierowej zawierającej dane osobowe, to RODO nie ma tu kluczowego znaczenia (niekiedy może nie być w ogóle stosowane). Obowiązek zachowania w poufności informacji z dokumentacji papierowej wynika bowiem i tak z wielu innych regulacji prawnych. Jeśli np. pracownik w pracy korzystałby z dokumentacji pracowniczej, zaktualizują się obowiązki z art. 94 pkt 9b k.p. Zgodnie z tym przepisem pracodawca ma obowiązek przechowywać dokumentację pracowniczą w sposób gwarantujący zachowanie jej poufności, integralności, kompletności oraz dostępności w warunkach niegrożących uszkodzeniem lub zniszczeniem. Zatem zasadą powinno być niewynoszenie takiej dokumentacji poza miejsce jej bezpiecznego przechowywania. A jeśli będzie to miało miejsce, dokumenty należy właściwie zabezpieczyć. Pracodawca powinien zaś przekazać pracownikowi stosowne wytyczne, jeżeli wcześniej zatrudniony nie został w tym zakresie należycie przeszkolony.
Prywatny adres e-mail i numer telefonu
UODO uważa, że dla zalegalizowania przetwarzania danych, takich jak np. prywatny adres e-mail czy nr telefonu komórkowego, pracodawcy muszą pozyskać od pracowników pisemne zgody określające zasady kontaktu (por. wyjaśnienia ze strony internetowej UODO z 17 sierpnia 2020 r.). Wskazuje też, że „pracodawca, który dysponuje danymi kontaktowymi do pracownika pozyskanymi podczas rekrutacji (…) nie może ich wykorzystywać do kontaktów zawodowych z pracownikiem bez jego zgody”. Takie stanowisko nie znajduje uzasadnienia w przepisach. Jeżeli bowiem pracodawca już dysponuje danymi osobowymi wymienionymi w par. 1 art. 221 k.p., to nie żąda ich podania raz jeszcze, a podstawą ich przetwarzania jest par. 3 art. 221 k.p., z którego wynika, że pracodawca „żąda” od pracownika podania „dodatkowo” danych osobowych wymienionych w tym paragrafie.
W odniesieniu do danych kontaktowych nie zmienia się cel ich przetwarzania. Dalej będą to dane służące do kontaktowania się z pracownikiem. Powinny być jednak wykorzystywane wyłącznie w tym celu. Zauważmy przy tym, że praca zdalna nie zawsze musi być wykonywana przy wykorzystaniu środków bezpośredniego porozumiewania się na odległość, lecz może również dotyczyć wykonywania części wytwórczych lub usług materialnych. Gdyby jednak miała być wykonywana przy użyciu prywatnego e-maila lub numeru telefonu, uzyskanie zgody pracownika na takie ich wykorzystanie będzie konieczne.