16/02/2023
Jakie obowiązki dotyczące ochrony danych osobowych wynikają z nowych przepisów Kodeksu pracy?
Zgodnie z nowelizacją Kodeksu pracy ( www.sejm.gov.pl/sejm9.nsf/PrzebiegProc.xsp?id=5D0191B79D36D6B0C125885B005176CA), pracodawcy wdrażają do stosowania regulamin pracy zdalnej lub zawierają porozumienie dotyczące pracy zdalnej z zakładową organizacją związkową.
Niezbędne procedury należy przygotować w terminie dwóch miesięcy od opublikowania ustawy w Dzienniku Ustaw. Oznacza to, że powinny one zostać ukończone i wdrożone w terminie do dnia 7 kwietnia 2023 r.
Jakie są nowe obowiązki dla Pracodawcy ?
- w regulaminie lub porozumieniu Pracodawca powinien określić zasady kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych (zgodnie z art. 67(20) § 6 pkt 7 Kodeksu pracy),
- pracodawca powinien zapoznać swoich pracowników z procedurami dotyczącymi ochrony danych osobowych w pracy zdalnej (zgodnie z art. 67(26) § 1 Kodeksu pracy), którzy potwierdzają ten fakt w formie papierowej lub elektronicznej,
- pracodawca powinien przeprowadzić, w miarę potrzeby, instruktaż i szkolenie w zakresie ochrony danych osobowych w pracy zdalnej (zgodnie z art. 67(26) § 1 Kodeksu pracy).
Jakie zasady powinny zostać zawarte w procedurze pracy zdalnej?
Ustawa wprawdzie nie wymienia elementów procedury dotyczącej ochrony danych osobowych w pracy zdalnej, jednakże w praktyce jest sporo zagadnień, które powinny zostać tam uwzgędnione przez pracodawcę np. bezpieczne wysłanie korespondencji e-mail, wymiana danych w trakcie spotkań online, szyfrowanie danych przesyłanych online, kwestia wykorzystania dokumentów w formie papierowej i elektronicznej. Istotne będą tu również m.in. zasady korzystania z laptopów i internetu podczas pracy zdalnej oraz zastosowanie zabezpieczeń w tym zakresie.
Wszystkie te reguły powinny wpisywać się w specyfikę pracy zdalnej u konkretnego pracodawcy (inaczej praca zdalna wygląda np. u dostawcy usług informatycznych a inaczej w biurze rachunkowym), uwzględniając przy tym funkcjonujące już w organizacji procedury ochrony danych osobowych lub bezpieczeństwa informacji oraz przepisy RODO.
Wprowadzenie procedury dotyczącej ochrony danych osobowych w pracy zdalnej i skonsultowanie jej z Inspektorem ochrony danych lub specjalistą z zakresu ochrony danych pomoże dodatkowo wyeliminować ryzyko naruszeń ochrony danych osobowych. W trakcie pandemii były one często wynikiem działań pracowników, którzy niejednokrotnie po pierwszy raz wykonywali pracę zdalną i nie byli do niej przygotowani. Skutkowało to naruszeniami m.in. w postaci wysyłania e-maili grupowych bez zastosowania funkcji UDW, zagubieniami pendrive na których były przenoszone dane osobowe „z pracy do domu”, wykorzystaniem prywatnych komunikatorów do przesyłania dokumentacji służbowej zawierającej dane osobowe lub dostępem osób nieuprawnionych (np. członków rodziny) do danych osobowych przetwarzanych w związku z wykonywaną pracą.
Co nowe przepisy mówią na temat kontroli przestrzegania zasad ochrony danych osobowych podczas pracy zdalnej ?
- zgodnie z Art. 67(28) Kodeksu pracy, pracodawca jest uprawniony do przeprowadzania kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji podczas wykonywania pracy zdalnej,
- zasady kontroli powinny zostać określone przez pracodawcę w regulaminie lub porozumieniu,
- pracodawca powinien dostosować sposób przeprowadzania kontroli do miejsca wykonywania pracy zdalnej i jej rodzaju,
- kontrola nie może naruszać prywatności pracownika wykonującego pracę zdalną i innych osób (np. członków jego rodziny) ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem,
- jeżeli pracodawca w trakcie kontroli pracy zdalnej stwierdzi uchybienia w przestrzeganiu wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych, zobowiąże pracownika do usunięcia stwierdzonych uchybień we wskazanym terminie albo wycofa zgodę na wykonywanie pracy zdalnej przez tego pracownika. W przypadku wycofania zgody na wykonywanie pracy zdalnej pracownik rozpoczyna pracę w dotychczasowym miejscu pracy w terminie określonym przez pracodawcę.
Co ciekawe, kontrola niekoniecznie musi mieć miejsce w domu pracownika ( co było przedmiotem obaw wielu pracowników w trakcie pracami nad nowelizacją Kodeksu pracy). Pracodawca może przewidzieć zdalny tryb wykonywania takiej kontroli czyli np. podczas spotkania online z pracownikiem. Może również zostać ona przeprowadzona z wykorzystaniem narzędzi stałego monitorowania urządzeń służbowych np. komputera.
Należy jednak pamiętać,że w tym drugim przypadku czyli w sytuacji wdrożenia stałej kontroli pracownika np. formie monitoringu komputera służbowego, zastosowanie będzie miał przepis art. 22(3 ) Kodeksu pracy.Szerzej o możliwych rodzajach monitoringu np. poczty elektronicznej i o obowiązkach pracodawców w tym zakresie pisaliśmy w artykule poświęconym tematyce monitoringu pracowników : https://www.apogado.pl/monitoring-pracownikow i zapraszamy do zapoznania się z jego treścią.
Jeżeli mają Państwo jakiekolwiek pytania związane z tematyką pracy zdalnej lub z ochrony danych osobowych zapraszamy do kontaktu z naszą Kancelarią: kancelaria@apogado.pl