Lockdown spowodowany pandemią COVID-19 zmusił wielu przedsiębiorców – w tym z branży nieruchomości – do zorganizowania pracy w sposób niezagrażający zakażeniem, co w większości przypadków oznaczało wprowadzenie pracy zdalnej.

Praca poza biurem nie jest niczym nowym, zwłaszcza dla osób, które często spotykają się z klientami „w terenie”. Wielu pracodawców już wcześniej dopuszczało częściowo home office. W ostatnim czasie skala zjawiska urosła jednak do bardzo dużych rozmiarów – do pracy w domu delegowano niemal wszystkich pracowników. Pojawiły się nowe narzędzia do komunikacji, niektórzy pracownicy zaczęli korzystać z prywatnego sprzętu, dokumentacja została wyniesiona poza siedzibę biura – tym samym wzrosło prawdopodobieństwo naruszenia praw lub wolności osób fizycznych, których dane dotyczą.

Przetwarzanie danych zgodnie z prawem

Tymczasem administratorzy danych przetwarzanych przez pracowników podczas pracy zdalnej mają obowiązek zapewnić przestrzeganie zasad przetwarzania danych, w tym zagwarantować ich bezpieczeństwo, uwzględniając większe ryzyko związane z takimi działaniami. Tak jak w pracy „tradycyjnej”, tak podczas pracy zdalnej pracownicy mogą przetwarzać dane osobowe tylko w celach związanych z wykonywaniem swoich obowiązków służbowych oraz muszą zapewnić ich bezpieczeństwo. W szczególności powinni przestrzegać obowiązujących w organizacji procedur i polityk. W zakresie ochrony danych osobowych na pracownikach spoczywa również ogólny obowiązek dbałości o dobro zakładu pracy.

W zakresie ochrony danych osobowych na pracownikach spoczywa również ogólny obowiązek dbałości o dobro zakładu pracy.

Prezes Urzędu Ochrony Danych Osobowych w swoich wytycznych zwrócił uwagę na cztery aspekty pracy zdalnej, które mogą wiązać się z potencjalnym zagrożeniem dla ochrony danych osobowych.

Są to:

1. dokumentacja papierowa¹,
2. urządzenia,
3. poczta elektroniczna i komunikatory,
4. dostęp do sieci i chmury².

Zabezpieczenie urządzeń

Korzystając w domu z urządzeń przekazanych przez pracodawcę, pracownicy powinni przestrzegać przyjętej w danej organizacji procedury bezpieczeństwa. Urządzenia te powinny być wykorzystywane wyłącznie do czynności służbowych. Nie należy instalować dodatkowych aplikacji czy oprogramowania, które nie są niezbędne do wykonywania obowiązków zawodowych i dopuszczone przez pracodawcę. Wszystkie urządzenia wykorzystywane przez pracowników powinny mieć zaktualizowane systemy operacyjne, oprogramowania, system antywirusowy i zapory sieciowe.

Zaleca się zabezpieczenie komputera poprzez wielopoziomowe uwierzytelnianie i stosowanie silnych haseł dostępu. W ten sposób ogranicza się dostęp do urządzenia osobom trzecim i minimalizuje ryzyko utraty danych w przypadku kradzieży lub zgubienia sprzętu.

Należy pamiętać, że z punktu widzenia ochrony danych członkowie rodziny pracownika są osobami trzecimi, nieupoważnionymi do dostępu do danych. W związku z tym PUODO zaleca, aby przed przystąpieniem do pracy wydzielić sobie odpowiednią przestrzeń, tak aby osoby postronne nie miały dostępu do dokumentów zawierających dane. Odchodząc od stanowiska pracy, każdorazowo należy zablokować komputer. Ponadto trzeba pamiętać, że także usunięcie czy modyfikacja danych mogą stanowić naruszenie praw osoby, której dane dotyczą. Dlatego zarówno sprzęt, jak i dokumentacja papierowa, powinny być poza zasięgiem dzieci i zwierząt.

fot. Pixabay / pexels.com

Pracownicy powinni zwrócić szczególną uwagę na to, by nie zgubić urządzeń, z których korzystają podczas pracy, zwłaszcza wykorzystywanych do przenoszenia danych, np. pamięci USB czy dysków zewnętrznych. W przypadku zgubienia lub kradzieży sprzętu, należy natychmiast podjąć kroki, by – w miarę możliwości – zdalnie wyczyścić pamięć urządzenia.

Poczta elektroniczna i komunikatory

Również w przypadku korzystania z poczty elektronicznej czy komunikatorów internetowych pracownicy powinni przestrzegać przyjętych w danej organizacji zasad. Przede wszystkim powinni unikać używania kont prywatnych, a do przesyłania danych korzystać wyłącznie ze skrzynek służbowych. Jeśli jednak pracownik musi użyć prywatnej poczty, powinien upewnić się, że treść i załączniki do wiadomości są odpowiednio szyfrowane.

Dane osobowe i poufne informacje nie powinny znaleźć się w temacie wiadomości. Przed wysłaniem e-maila trzeba upewnić się, że jego adresat jest właściwy – zwłaszcza gdy wiadomość zawiera dane osobowe lub inne poufne informacje.

Jeżeli pocztą elektroniczną przesyłana jest zaszyfrowana informacja, hasło do niej powinno być przekazane innym kanałem, np. SMS-em. W szczególności nie można przesyłać e-mailem zaszyfrowanej wiadomości razem z hasłem, nawet w osobnych wiadomościach – w przeciwnym wypadku ten, kto ma dostęp do poczty, bez problemu odczyta korespondencję.

Istotne dla ochrony danych są nie tylko wiadomości wychodzące. Należy zwracać uwagę także na pocztę czy komunikaty przychodzące. Aby uniknąć ataku phishingowego, przed otwarciem korespondencji trzeba zweryfikować nadawcę. Najlepiej nie otwierać wiadomości pochodzących z nieznanych źródeł, a zwłaszcza nie otwierać załączników, ani nie klikać w zawarte w komunikacie linki.

Do zadań pracodawcy należy wybranie bezpiecznego komunikatora do kontaktów z pracownikami oraz klientami. Dobry komunikator zapewnia nie tylko szyfrowanie wiadomości, ale także umożliwia ich usuwanie (co jest istotne z punktu widzenia retencji danych) oraz tworzenie kopii zapasowych korespondencji (tak by zmniejszyć ryzyko przypadkowej utraty danych). Warto zwrócić uwagę, czy ze względu na wybór komunikatora dane osobowe nie trafiają do państw trzecich, tj. poza obszar EOG, a jeśli tak, zweryfikować, czy jest do tego podstawa prawna, oraz udzielić stosownej informacji podmiotom danych.

fot. Pixabay / pexels.com

Usługi sieciowe i chmurowe

Pracując zdalnie, należy unikać korzystania z sieci publicznych, zwłaszcza otwartych. Niezmiennie powinny obowiązywać zasady i procedury dotyczące logowania i udostępniania danych. Jeżeli pracownicy nie korzystają z chmury, powinni we własnym zakresie zadbać o właściwe zarchiwizowanie danych, tak by zmniejszyć ryzyko ich utraty lub modyfikacji.

Dokumentacja papierowa

Dokumentacja papierowa zawierająca dane osobowe nie może być samowolnie wynoszona przez pracowników poza określony przez administratora obszar przetwarzania danych. Zanim administrator danych zdecyduje się umożliwić pracownikom korzystanie podczas pracy zdalnej z dokumentacji papierowej, przede wszystkim musi ocenić, czy korzystanie z takiej dokumentacji jest niezbędne, biorąc pod uwagę charakter danych, cele, dla których są przetwarzane oraz dostępne środki.

W pierwszej kolejności należy sprawdzić, czy do wykonywania zadań służbowych w ogóle konieczny jest dostęp do danych osobowych, czy możliwe jest skorzystanie z dokumentów zanonimizowanych. Jeśli dostęp do danych okaże się niezbędny, trzeba zweryfikować, czy uzasadniona jest praca na dokumentach papierowych. Powinno się z niej zrezygnować, jeżeli:

• w organizacji wdrożono elektroniczny obieg dokumentów, a pracownik ma bezpieczny dostęp do niezbędnych do pracy danych osobowych przy pomocy środków komunikacji elektronicznej;
• pracodawca ma możliwość szybkiego, sprawnego i bezpiecznego wdrożenia elektronicznego obiegu dokumentacji;
• pracodawca może udostępnić pracownikowi odpowiednio zabezpieczone (m.in. zaszyfrowane) elektroniczne kopie niezbędnych dokumentów.

Pracownik musi chronić dane zawarte w dokumentach zdigitalizowanych, tak samo jak w dokumentacji oryginalnej.

fot. Element5 Digital / pexels.com

Jeżeli żadne z powyższych rozwiązań nie może być zastosowane, być może wystarczająca będzie praca na kopiach niezbędnych dokumentów, aby zminimalizować niebezpieczeństwo modyfikacji lub utraty danych. Należy jednak pamiętać, że pracownik musi chronić dane zawarte w takich dokumentach, tak samo jak w dokumentacji oryginalnej. Jeżeli pracodawca mimo wszystko decyduje się umożliwić pracownikom korzystanie podczas pracy zdalnej z dokumentacji papierowej, musi podjąć działania mające na celu ograniczenie ryzyka związanego z utratą dostępności, integralności oraz poufności danych. Zgodnie ze wskazówkami PUODO, w takiej sytuacji pracodawca powinien:

• „zapewnić ewidencjonowanie wydanych pracownikom dokumentów zawierających dane osobowe;
• zapewnić, że udostępnione dokumenty będą przechowywane przez pracownika przez okres niezbędny do wykonania określonego zadania podczas pracy zdalnej (ograniczenie przechowywania);
• ograniczyć liczbę dokumentów wynoszonych z siedziby administratora do tego, co niezbędne w stosunku do celu przetwarzania danych osobowych przez pracownika w ramach pracy zdalnej;
• zobowiązać pracownika do odpowiedniego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji (np. wynoszenie dokumentów w zabezpieczonej aktówce, przenoszenie dokumentów np. w taki sposób, aby były niewidocznie dla osób trzecich);
• zobowiązać pracownika do odpowiedniego zabezpieczenia danych w miejscu wykonywania pracy zdalnej (np. przechowywanie dokumentów w zamykanych na klucz szufladach biurka lub szafach, przestrzeganie zasady czystego biurka, zabezpieczenie dokumentów przed wglądem nieuprawnionych osób trzecich, m.in. członków rodziny);
• zapewnić, że pracownik będzie wykorzystywał pozyskane dane osobowe wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy;
• określić procedurę związaną z niszczeniem dokumentów (zakaz wyrzucania dokumentów do kosza w domu − jeżeli pracownik nie posiada w domu niszczarki, powinien dokumenty przechowywać w bezpieczny sposób, a po zakończeniu pracy zdalnej zniszczyć je w biurze);
• zapewnić, że pracownik będzie zgłaszał pracodawcy każdy incydent bezpieczeństwa zgodnie z procedurą postępowania w sprawie naruszeń ochrony danych, tak aby administrator mógł się wywiązać z obowiązku nałożonego na mocy art. 33 ust. 1 RODO”.

Podsumowanie

Nie ma przepisów szczególnych, które określałyby odrębne wymogi ochrony danych osobowych podczas pracy zdalnej. Nie oznacza to jednak, że podczas home office należy zupełnie zapomnieć o bezpieczeństwie danych i zgodności ich przetwarzania z przepisami rozporządzenia ogólnego o ochronie danych osobowych. W takiej sytuacji na administratorze danych spoczywa obowiązek wdrożenia odpowiednich procedur oraz środków organizacyjnych i technicznych tak, aby pracownicy mieli wystarczającą świadomość i narzędzia umożliwiające im przestrzeganie przepisów o ochronie danych osobowych.

¹ https://uodo.gov.pl/pl/138/1513, dostęp 09.07.2020.
² https://uodo.gov.pl/pl/138/1459, dostęp 09.07.2020.

Treści umieszczone w artykule są indywidualnymi interpretacjami i poglądami jego autora. Nie stanowią porad podatkowych ani prawnych.

Natalia Zawadzka - Adwokat w kancelarii Lubasz i Wspólnicy. Zajmuje się problematyką prawną e-commerce i prawem nowych technologii. Specjalizuje się również w prawie autorskim, cywilnym i gospodarczym.