Kto odpowiada za ochronę danych osobowych, gdy pracujemy zdalnie? – artykuł trójmiasto.pl
Walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe, a więc pracodawcy z obowiązku zapewnienia należytej ochrony tychże danych. Dzieje się tak, choć pracownicy pracują u siebie w domu. Należy jednak wyraźnie zaznaczyć, że reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków.
– Pracuję w księgowości i mam do czynienia z dokumentami, które zawierają także dane osobowe. Na czas epidemii pracujemy zdalnie. Część dokumentów mam u siebie w domu, mam też służbowy komputer. Przeszłam w pracy szkolenia odnośnie ochrony danych osobowych. Jednak czy te wszystkie obostrzenia dotyczące przechowywania dokumentów, danych w komputerze powinny być spełnione także w domu, który na chwilę stał się biurem? Kto ponosi odpowiedzialność za ewentualny wyciek danych – ja czy jednak pracodawca? – pyta czytelniczka.
Na pytanie odpowiada Andrzej Fortuna – radca prawny z kancelarii Radcy Prawnego Fortuna.
Kwestia ochrony danych osobowych w czasie pracy zdalnej realizowanej w związku z pandemią koronawirusa była przedmiotem rozważań zarówno Europejskiej Rady Ochrony Danych, jak i Urzędu Ochrony Danych Osobowych. Jednoznacznie potwierdzono, że walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe (a więc pracodawcy) z obowiązku zapewnienia należytej ochrony tychże danych.
W czasie pracy zdalnej aktualne pozostają zatem wszelkie zasady przetwarzania danych osobowych. Dane osobowe winny więc być przetwarzane w konkretnych i wyraźnych celach, w zakresie niezbędnym do ich osiągnięcia oraz przez czas niezbędny dla realizacji tych celów. Przede wszystkim jednak – dane powinny być odpowiednio zabezpieczone przed ich ujawnieniem osobom nieupoważnionym.
Odpowiedzialność za te dane i ich należyte zabezpieczenie nadal ponosi pracodawca – najczęściej jako administrator danych osobowych czy też procesor przetwarzający dane osobowe. Fakt, że praca jest wykonywana zdalnie – nie przerzuca automatycznie ryzyka na pracownika, wykonującego czynności na danych osobowych w ramach pracy świadczonej poza zakładem pracy.
Pracodawca winien przede wszystkim zweryfikować obowiązujące u niego procedury, mające na celu ochronę danych osobowych – czy w związku ze zmianą formuły wykonywania pracy nie należy ich zmodyfikować, dopasowując do nowej rzeczywistości. Pracodawca winien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności.
W tym kontekście należy zwrócić uwagę na art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Zgodnie z tym przepisem narzędzia i materiały potrzebne do wykonywania pracy zdalnej oraz obsługę logistyczną pracy zdalnej zapewnia pracodawca. Pracownik może korzystać z narzędzi lub materiałów niezapewnionych przez pracodawcę – ale tylko pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Co więcej przywołana regulacja jednoznacznie stanowi, że wykonywanie pracy zdalnej może zostać polecone, jeżeli pracownik ma umiejętności i możliwości techniczne oraz lokalowe do wykonywania takiej pracy i pozwala na to rodzaj pracy.
Tym samym pracodawca decydując się na polecenie pracownikowi wykonywania pracy zdalnej- powinien po pierwsze dokonać analizy, czy – uwzględniając warunki leżące po stronie pracownika – jest to możliwe i bezpieczne, po drugie – winien wprowadzić pracownika w odpowiednie procedury zabezpieczania danych, jak również wyposażyć pracownika w niezbędne narzędzia lub zbadać, jakie możliwości w tym zakresie posiada pracownik – w tym w szczególności możliwości co do przechowywania i zapewnienia bezpieczeństwa danych osobowych i innych informacji.
Przepisy tej treści wprowadzone zostały, co prawda, dopiero na koniec czerwca br. (a więc gdy powoli znoszono, spowodowane epidemią, ograniczenia w życiu społecznym i gospodarczym) – początkowo przepis mówił jedynie ogólnie o prawie polecenia pracownikom wykonywania pracy zdalnej. Nie zmienia to jednak faktu, że wcześniej także pracodawca ponosił na ogólnych zasadach odpowiedzialność za zorganizowanie pracownikowi właściwych warunków pracy.
Do obowiązków pracodawcy – niezależnie od tego, czy chodzi o pracę zdalną, czy tez na miejscu – należy również zobowiązanie pracowników do zgłaszania każdego incydentu związanego z naruszeniem ochrony danych, ponieważ administrator ma obowiązek niezwłocznego zgłoszenia naruszenia organowi nadzorczemu.
Na szczególną uwagę zasługuje także kwestia wykorzystywania dokumentacji papierowej podczas pracy zdalnej. W tym zakresie wypowiedział się Urząd Ochrony Danych Osobowych wskazując, że korzystanie z dokumentacji papierowej – a w szczególności praca na oryginałach dokumentów (a nie ich kopiach, w tym kopiach zanonimizowanych)- powinna odbywać się tylko w wyjątkowych sytuacjach, gdy pracodawca nie udostępnia i nie może udostępnić dokumentów w sposób elektroniczny. Wynoszenie dokumentacji poza zakład pracy i przechowywanie jej przez pracownika może być dokonywane jedynie za zgodą pracodawcy i w określony przez niego sposób. Procedury stworzone przez pracodawcę w tym zakresie w szczególności winny określać m.in. sposób ewidencjonowania wynoszonych dokumentów, sposób ich przenoszenia i przechowywania w bezpieczny sposób (zamknięte aktówki, szafy, itp.), ale także i sposób ewentualnego niszczenia danych.
Obowiązują tutaj także ogólne zasady przewidziane w art. 3 ww. ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 – a więc praca zdalna z wykorzystaniem papierowych dokumentów może być polecona, jeśli pracownik posiada odpowiednie możliwości, w tym np. lokalowe celem zapewnienia bezpieczeństwa danych, a pracodawca zapewnił pracownikowi niezbędne narzędzia lub narzędzia posiadane przez pracownika umożliwiają pełne wywiązanie się z obowiązków należytej ochrony danych.
Niemniej należy także wyraźnie zaznaczyć, że powyższe reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków. Przede wszystkim bowiem pracownik winien bezwzględnie przestrzegać procedur ustalonych przez pracodawcę – procedury te najczęściej odnoszą się do szyfrowania danych czy kontroli dostępu do sprzętu, obowiązku korzystania jedynie z narzędzi służbowych, ewentualnie zatwierdzonych przez pracodawcę, obowiązku zorganizowania stanowiska pracy w sposób uniemożliwiający dostęp osób trzecich do przetwarzanych informacji, zakazu instalowania niepewnych programów czy aplikacji na sprzęcie używanym do przetwarzania danych, właściwa archiwizacja lub usuwanie zapisu niepotrzebnych danych. Nieprzestrzeganie tychże obowiązków i procedur może skutkować odpowiedzialnością pracownika względem pracodawcy – czy to odszkodowawczą, czy to dyscyplinarną, czy też wiązać się z podjęciem przez pracodawcę decyzji o rozwiązaniu z pracownikiem umowy o pracą. Oczywiście, zastosowanie tychże sankcji musiałoby być poprzedzone analizą konkretnych okoliczności danej sprawy. W skrajnych sytuacjach – w szczególności związanych z celowym wykorzystaniem niejawnych informacji – nie jest również wykluczona odpowiedzialność karna pracownika.
Podsumowując – epidemia absolutnie nie zwalnia z obowiązku przestrzegania zasad związanych z zapewnieniem należytej ochrony danych osobowych, a wręcz niekiedy wymusza konieczność stosowania dodatkowych środków ostrożności i stworzenia dodatkowych procedur. To pracodawca odpowiada za stworzenie właściwych warunków do należytego zabezpieczenia danych i ponosi odpowiedzialność za nieprawidłowości w tym zakresie. Natomiast pracownik zasadniczo odpowiada względem pracodawcy – jeśli pomimo stworzenia mu odpowiednich warunków i określenia procedur – nie dopełnił obowiązków w zakresie ochrony danych.
Czytaj więcej na: https://praca.trojmiasto.pl/Kto-odpowiada-za-ochrone-danych-osobowych-gdy-pracujemy-zdalnie-n147386.html#tri
Kto odpowiada za ochronę danych osobowych, gdy pracujemy zdalnie? – artykuł trójmiasto.pl
Walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe, a więc pracodawcy z obowiązku zapewnienia należytej ochrony tychże danych. Dzieje się tak, choć pracownicy pracują u siebie w domu. Należy jednak wyraźnie zaznaczyć, że reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków.
– Pracuję w księgowości i mam do czynienia z dokumentami, które zawierają także dane osobowe. Na czas epidemii pracujemy zdalnie. Część dokumentów mam u siebie w domu, mam też służbowy komputer. Przeszłam w pracy szkolenia odnośnie ochrony danych osobowych. Jednak czy te wszystkie obostrzenia dotyczące przechowywania dokumentów, danych w komputerze powinny być spełnione także w domu, który na chwilę stał się biurem? Kto ponosi odpowiedzialność za ewentualny wyciek danych – ja czy jednak pracodawca? – pyta czytelniczka.
Na pytanie odpowiada Andrzej Fortuna – radca prawny z kancelarii Radcy Prawnego Fortuna.
Kwestia ochrony danych osobowych w czasie pracy zdalnej realizowanej w związku z pandemią koronawirusa była przedmiotem rozważań zarówno Europejskiej Rady Ochrony Danych, jak i Urzędu Ochrony Danych Osobowych. Jednoznacznie potwierdzono, że walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe (a więc pracodawcy) z obowiązku zapewnienia należytej ochrony tychże danych.
W czasie pracy zdalnej aktualne pozostają zatem wszelkie zasady przetwarzania danych osobowych. Dane osobowe winny więc być przetwarzane w konkretnych i wyraźnych celach, w zakresie niezbędnym do ich osiągnięcia oraz przez czas niezbędny dla realizacji tych celów. Przede wszystkim jednak – dane powinny być odpowiednio zabezpieczone przed ich ujawnieniem osobom nieupoważnionym.
Odpowiedzialność za te dane i ich należyte zabezpieczenie nadal ponosi pracodawca – najczęściej jako administrator danych osobowych czy też procesor przetwarzający dane osobowe. Fakt, że praca jest wykonywana zdalnie – nie przerzuca automatycznie ryzyka na pracownika, wykonującego czynności na danych osobowych w ramach pracy świadczonej poza zakładem pracy.
Pracodawca winien przede wszystkim zweryfikować obowiązujące u niego procedury, mające na celu ochronę danych osobowych – czy w związku ze zmianą formuły wykonywania pracy nie należy ich zmodyfikować, dopasowując do nowej rzeczywistości. Pracodawca winien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności.
W tym kontekście należy zwrócić uwagę na art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Zgodnie z tym przepisem narzędzia i materiały potrzebne do wykonywania pracy zdalnej oraz obsługę logistyczną pracy zdalnej zapewnia pracodawca. Pracownik może korzystać z narzędzi lub materiałów niezapewnionych przez pracodawcę – ale tylko pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Co więcej przywołana regulacja jednoznacznie stanowi, że wykonywanie pracy zdalnej może zostać polecone, jeżeli pracownik ma umiejętności i możliwości techniczne oraz lokalowe do wykonywania takiej pracy i pozwala na to rodzaj pracy.
Tym samym pracodawca decydując się na polecenie pracownikowi wykonywania pracy zdalnej- powinien po pierwsze dokonać analizy, czy – uwzględniając warunki leżące po stronie pracownika – jest to możliwe i bezpieczne, po drugie – winien wprowadzić pracownika w odpowiednie procedury zabezpieczania danych, jak również wyposażyć pracownika w niezbędne narzędzia lub zbadać, jakie możliwości w tym zakresie posiada pracownik – w tym w szczególności możliwości co do przechowywania i zapewnienia bezpieczeństwa danych osobowych i innych informacji.
Przepisy tej treści wprowadzone zostały, co prawda, dopiero na koniec czerwca br. (a więc gdy powoli znoszono, spowodowane epidemią, ograniczenia w życiu społecznym i gospodarczym) – początkowo przepis mówił jedynie ogólnie o prawie polecenia pracownikom wykonywania pracy zdalnej. Nie zmienia to jednak faktu, że wcześniej także pracodawca ponosił na ogólnych zasadach odpowiedzialność za zorganizowanie pracownikowi właściwych warunków pracy.
Do obowiązków pracodawcy – niezależnie od tego, czy chodzi o pracę zdalną, czy tez na miejscu – należy również zobowiązanie pracowników do zgłaszania każdego incydentu związanego z naruszeniem ochrony danych, ponieważ administrator ma obowiązek niezwłocznego zgłoszenia naruszenia organowi nadzorczemu.
Na szczególną uwagę zasługuje także kwestia wykorzystywania dokumentacji papierowej podczas pracy zdalnej. W tym zakresie wypowiedział się Urząd Ochrony Danych Osobowych wskazując, że korzystanie z dokumentacji papierowej – a w szczególności praca na oryginałach dokumentów (a nie ich kopiach, w tym kopiach zanonimizowanych)- powinna odbywać się tylko w wyjątkowych sytuacjach, gdy pracodawca nie udostępnia i nie może udostępnić dokumentów w sposób elektroniczny. Wynoszenie dokumentacji poza zakład pracy i przechowywanie jej przez pracownika może być dokonywane jedynie za zgodą pracodawcy i w określony przez niego sposób. Procedury stworzone przez pracodawcę w tym zakresie w szczególności winny określać m.in. sposób ewidencjonowania wynoszonych dokumentów, sposób ich przenoszenia i przechowywania w bezpieczny sposób (zamknięte aktówki, szafy, itp.), ale także i sposób ewentualnego niszczenia danych.
Obowiązują tutaj także ogólne zasady przewidziane w art. 3 ww. ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 – a więc praca zdalna z wykorzystaniem papierowych dokumentów może być polecona, jeśli pracownik posiada odpowiednie możliwości, w tym np. lokalowe celem zapewnienia bezpieczeństwa danych, a pracodawca zapewnił pracownikowi niezbędne narzędzia lub narzędzia posiadane przez pracownika umożliwiają pełne wywiązanie się z obowiązków należytej ochrony danych.
Niemniej należy także wyraźnie zaznaczyć, że powyższe reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków. Przede wszystkim bowiem pracownik winien bezwzględnie przestrzegać procedur ustalonych przez pracodawcę – procedury te najczęściej odnoszą się do szyfrowania danych czy kontroli dostępu do sprzętu, obowiązku korzystania jedynie z narzędzi służbowych, ewentualnie zatwierdzonych przez pracodawcę, obowiązku zorganizowania stanowiska pracy w sposób uniemożliwiający dostęp osób trzecich do przetwarzanych informacji, zakazu instalowania niepewnych programów czy aplikacji na sprzęcie używanym do przetwarzania danych, właściwa archiwizacja lub usuwanie zapisu niepotrzebnych danych. Nieprzestrzeganie tychże obowiązków i procedur może skutkować odpowiedzialnością pracownika względem pracodawcy – czy to odszkodowawczą, czy to dyscyplinarną, czy też wiązać się z podjęciem przez pracodawcę decyzji o rozwiązaniu z pracownikiem umowy o pracą. Oczywiście, zastosowanie tychże sankcji musiałoby być poprzedzone analizą konkretnych okoliczności danej sprawy. W skrajnych sytuacjach – w szczególności związanych z celowym wykorzystaniem niejawnych informacji – nie jest również wykluczona odpowiedzialność karna pracownika.
Podsumowując – epidemia absolutnie nie zwalnia z obowiązku przestrzegania zasad związanych z zapewnieniem należytej ochrony danych osobowych, a wręcz niekiedy wymusza konieczność stosowania dodatkowych środków ostrożności i stworzenia dodatkowych procedur. To pracodawca odpowiada za stworzenie właściwych warunków do należytego zabezpieczenia danych i ponosi odpowiedzialność za nieprawidłowości w tym zakresie. Natomiast pracownik zasadniczo odpowiada względem pracodawcy – jeśli pomimo stworzenia mu odpowiednich warunków i określenia procedur – nie dopełnił obowiązków w zakresie ochrony danych.
Czytaj więcej na:
https://praca.trojmiasto.pl/Kto-odpowiada-za-ochrone-danych-osobowych-gdy-pracujemy-zdalnie-n147386.html#tri
Kategorie
Ostatnie wpisy