Praca zdalna a przetwarzanie danych osobowych
Zbliżająca się nowelizacja Kodeksu pracy dotycząca pracy zdalnej kompleksowo ureguluje szereg zagadnień i relacji pomiędzy pracodawcą i pracownikiem, istotnie zmieniając dotychczasowy krajobraz prawny świadczenia pracy z domu. Nowelizacja dotyka również kwestii związanych z przetwarzaniem danych osobowych. Chociaż prace nad projektem nadal trwają, wydaje się, że omawiane poniżej przepisy nie ulegną już istotnej zmianie, a zatem warto im się bliżej przyjrzeć już na tym etapie.
Procedury ochrony danych osobowych w trakcie pracy zdalnej
Projektowane przepisy zakładają, że na potrzeby wykonywania pracy zdalnej pracodawca zobowiązany będzie określić wewnętrzne procedury ochrony danych osobowych. Pracodawcy, przygotowując się do wejścia w życie nowelizacji, powinni więc opracować i wdrożyć stosowną procedurę. Powinna ona uwzględniać zagadnienia istotne z punktu widzenia świadczenia pracy na odległość takie jak np.:
- konieczność korzystania przez pracownika z bezpiecznych połączeń internetowych,
- wymogi w zakresie korzystania przez pracownika ze sprzętu i oprogramowania służbowego,
- konieczność zachowania przez pracownika poufności informacji służbowych wobec osób postronnych, np. domowników.
Tego rodzaju procedury będą stanowić również jeden z funkcjonujących u pracodawcy środków organizacyjnej ochrony danych osobowych, o których mowa w art. 32 RODO. W związku z tym procedury te powinny być opracowane zgodnie z wymogami zawartymi w ww. przepisie, tj. z uwzględnieniem:
- stanu wiedzy technicznej,
- kosztów wdrażania,
- charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych,
- ryzyk naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
Wdrożenie procedury ochrony danych osobowych w trakcie pracy zdalnej należy również odnotować w wewnętrznych rejestrach przetwarzania danych osobowych prowadzonych przez pracodawcę (jeśli są prowadzone).
Ponieważ podobne wyzwania w zakresie ochrony danych osobowych oraz informacji dotyczą też telepracy, pracodawcy przy opracowywaniu procedur ochrony danych osobowych w trakcie pracy zdalnej mogą wzorować się na procedurach dotyczących telepracy (jeśli je wdrożyli).
Projekt nowelizacji przewiduje ponadto, że pracodawca powinien, w miarę potrzeby, przeprowadzić instruktaż i szkolenie dla pracowników w zakresie ochrony danych osobowych w trakcie pracy zdalnej. Choć przepis wskazuje, że przeprowadzenie szkolenia nie jest bezwzględnie wymagane i powinno być wykonywane jedynie „w miarę potrzeby”, wydaje się, że z uwagi na istotne, a zarazem specyficzne zagrożenia dla ochrony danych osobowych związane z pracą zdalną, w większości przypadków zapewne trudno będzie uznać, że przeprowadzenie odpowiedniego szkolenia (lub nawet cyklicznych szkoleń) nie będzie potrzebne czy uzasadnione. Gdyby jednak pracodawca postanowił nie przeprowadzać odpowiednich szkoleń, powinien rozważyć opracowanie dla celów wewnętrznych odpowiedniego uzasadnienia takiej decyzji (z uwagi np. na wynikającą z RODO zasadę rozliczalności).
Nowelizacja przewiduje ponadto, że pracownik, który ma wykonywać pracę zdalną, będzie potwierdzał pracodawcy w postaci papierowej lub elektronicznej, że zapoznał się z procedurami ochrony danych osobowych w trakcie pracy zdalnej. Pracodawcy powinni więc przygotować wzory dokumentów, w których pracownicy będą potwierdzać zapoznanie się z odpowiednimi procedurami, oraz uwzględnić konieczność odebrania potwierdzeń od pracowników, np. w ramach onboardingu. Przy tej okazji warto też dokonać przeglądu treści informacji o przetwarzaniu danych osobowych dostarczanych pracownikowi w związku z zatrudnieniem (w celu realizacji obowiązku wynikającego z art. 13 i 14 RODO). Może się bowiem okazać, że wprowadzenie nowych regulacji wewnętrznych czy podejmowanie praktycznych działań pracodawcy w związku z pracą zdalną powoduje konieczność aktualizacji tego rodzaju klauzul informacyjnych.
Informacje konieczne do kontaktu na odległość
Projektowane przepisy przewidują, że pracownik wykonujący pracę zdalną i pracodawca przekazują sobie informacje niezbędne do wzajemnego porozumiewania się za pomocą środków bezpośredniego porozumiewania się na odległość lub w inny sposób uzgodniony z pracodawcą. Choć ww. przepisy nie odnoszą się wprost do danych osobowych, w praktyce będą mieć również znaczenie w tym obszarze. Informacje niezbędne do wzajemnego porozumiewania się za pomocą środków bezpośredniego porozumiewania się na odległość mogą bowiem obejmować dane osobowe pracownika, np. dane teleadresowe pracownika. Co warto odnotować, projektowane przepisy nie precyzują, czy pracodawca może pozyskać dla celów porozumiewania się na odległość z pracownikiem prywatne dane teleadresowe pracownika. Przy czym można mieć wątpliwości, czy pozyskiwanie danych prywatnych w tym celu byłoby dopuszczalne w świetle zasad przetwarzania danych wynikających z RODO, w szczególności zasady minimalizacji przetwarzania.
Niezależnie od powyższego warto wewnętrznie uregulować, jak pracodawca może korzystać z danych kontaktowych pracownika (m.in. kto i kiedy może mieć dostęp i korzystać z takich danych), zwłaszcza jeśli są to dane prywatne. Przetwarzanie tego rodzaju danych powinno być bowiem zgodne z celem ich pozyskania przez pracodawcę (którym jest wyłącznie kontakt z pracownikiem w trakcie wykonywania przez niego pracy zdalnej) i nie może naruszać zasady minimalizacji przetwarzania wynikającej z RODO.
Kontrola wykonywania pracy zdalnej
Zgodnie z projektowanymi przepisami pracodawca będzie miał prawo kontroli wykonywania pracy zdalnej przez pracownika, w tym przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji i procedur ochrony danych osobowych. Szczegółowe zasady przeprowadzania kontroli ustalane będą odrębnie w umowach lub regulaminach pracy. Niezależnie od tego projektowane przepisy stanowią, że kontrole przeprowadzane będą w porozumieniu z pracownikiem w miejscu wykonywania pracy zdalnej w godzinach pracy pracownika. Pracodawca będzie musiał dostosować sposób przeprowadzania kontroli do miejsca wykonywania pracy zdalnej i jej rodzaju. Projekt nowelizacji stanowi ponadto, że wykonywanie czynności kontrolnych nie może naruszać prywatności pracownika wykonującego pracę zdalną i innych osób ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem.
Jak wynika z uzasadnienia do projektu ustawy, z uwagi na wskazane wymogi, w praktyce kontrola pracy zdalnej będzie, co do zasady, przeprowadzana zazwyczaj przy wykorzystaniu środków bezpośredniego porozumiewania się na odległość (np. telefon, poczta elektroniczna, czat). Jednak projektowane przepisy dopuszczają możliwość przeprowadzenia kontroli również w miejscu świadczenia pracy przez pracownika. Gdyby pracodawca chciał przeprowadzać kontrolę w miejscu świadczenia pracy przez pracownika, powinien zapewnić, że kontrola będzie przebiegać w sposób odpowiedni i zgodny z wymogami Kodeksu pracy oraz ogólnymi wymogami w zakresie przetwarzania danych osobowych. Zasadne więc będzie przygotowanie wewnętrznej instrukcji lub procedury prowadzenia takich kontroli, w tym sposobu ich dokumentowania, aby zminimalizować ryzyko naruszenia w trakcie kontroli prywatności pracownika wykonującego pracę zdalną oraz innych osób.
Projekt nowelizacji zakłada również, że pracodawca, który w trakcie kontroli stwierdzi uchybienia m.in. w przestrzeganiu wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych, musi zobowiązać pracownika do usunięcia stwierdzonych uchybień we wskazanym terminie albo cofnąć zgodę na wykonywanie pracy zdalnej przez tego pracownika. Warto zaznaczyć, że stwierdzenie tego rodzaju uchybień może powodować implikacje wynikające z przepisów o ochronie danych osobowych, przede wszystkim RODO. Konieczne może być np. zgłoszenie naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych (jeśli uchybienie wiąże się np. z naruszeniem poufności danych osobowych przetwarzanych przez pracownika, których administratorem jest pracodawca).
Nowelizacja przepisów dotyczących pracy zdalnej wymaga więc od pracodawców podjęcia pewnych działań dotyczących przetwarzania danych osobowych pracowników. Warto je zaplanować jeszcze przed wejściem w życie nowych przepisów, aby później nie dać się zaskoczyć.
Karolina Romanowska, Łukasz Rutkowski