PROBLEM
Z powodu pandemii COVID-19 praca w naszej firmie odbywa się głównie w sposób zdalny. Ponieważ taka organizacja pracy nie zakłóca funkcjonowania firmy, chcemy ją wprowadzić na stałe. Jak zabezpieczyć dane osobowe przetwarzane przez pracowników podczas wykonywania przez nich obowiązków poza miejscem pracy i kto za to odpowiada?
RADA
Za zabezpieczenie danych osobowych odpowiada pracodawca, który pełni rolę administratora. W razie wykonywania obowiązków służbowych przez pracownika poza miejscem pracy administrator w każdym przypadku jest zmuszony rozważyć możliwość odpowiedniego zabezpieczenia danych osobowych. Musi on m.in. uwzględnić stopień ryzyka naruszenia ochrony danych osobowych i ewentualnie wdrożyć odpowiednie środki minimalizujące to ryzyko lub zrezygnować z tego rodzaju praktyki, np. umożliwiając pracownikowi, który nie ma właściwych warunków do pracy zdalnej, korzystanie ze sprzętu znajdującego się w miejscu pracy.
UZASADNIENIE
Jeśli chodzi o zabezpieczenie danych osobowych podczas pracy zdalnej, to w ogólnym rozporządzeniu o ochronie danych (RODO) nie ma w tym zakresie regulacji, które wprost odnoszą się do takiej sfery działalności administratora. RODO jest aktem prawnym, który wyznacza pewne określone kierunki działań, ale pozostawia administratorom możliwość wyboru rozwiązań dostosowanych do ich potrzeb. W związku z tym w przedstawionej sytuacji znajdą zastosowanie ogólne reguły RODO dotyczące zabezpieczania danych osobowych.
Administrator danych powinien wdrażać takie środki techniczne i organizacyjne, które uniemożliwią udostępnianie danych osobom nieupoważnionym, a dane te nie ulegną zniszczeniu lub utracie. Ponadto administrator musi być w stanie wykazać, jakie działania podjął, aby zabazpieczyć przepisy o ochronie danych osobowych (zasada rozliczalności zawarta w art. 5 ust. 2 RODO). Wybierając konkretne rozwiązanie, administrator powinien więc wziąć pod uwagę charakter działalności, jej zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia (art. 24 RODO).
Mimo że ocena, czy i jakie środki należy podjąć w celu ochrony danych, należy do wyłącznej decyzji administratora, jednak rezultaty ich zastosowania zależą także od pracowników, w tym ich wiedzy na temat ochrony danych osobowych oraz ich postaw. Organizując pracę poza biurem, warto zwrócić uwagę na kilka zagadnień.
Jeśli chodzi o administratora, to oprócz przeprowadzenia oceny ryzyka naruszenia ochrony danych osobowych powinien on dostosować wewnętrzną dokumentację do nowych okoliczności, np. uaktualniając politykę bezpieczeństwa lub inne dokumenty opisujące przetwarzanie danych osobowych w danej organizacji o informacje na temat miejsc przechowywania danych (mieszkanie pracownika). Jeśli administrator wystawił pracownikom upoważnienia do przetwarzania danych, powinien je przejrzeć i w tych przypadkach, w których nastąpiła znacząca zmiana, także je zaktualizować.
W sytuacji gdy administrator powierzył podmiotowi zewnętrznemu obsługę jakiegoś zadania, musi mieć pewność, że usługodawca zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych spełniało wymogi wskazane w RODO i chroniło prawa osób, których dane dotyczą. Dlatego przed podjęciem takiej decyzji administrator powinien przeanalizować wszystkie możliwe rozwiązania oraz oszacować ryzyko naruszenia ochrony danych.
W obecnych okolicznościach pracodawca musi także zapewnić realne możliwości komunikowania się z pracownikami wykonującymi prace w trybie zdalnym. Gdy decyduje się na użycie np. konkretnego rodzaju komunikatora internetowego, powinien wybrać taki, który zapewnia odpowiedni stopień bezpieczeństwa komunikacji.
Z kolei pracownik, który wykonuje pracę poza biurem, musi pamiętać, że urządzenia i oprogramowanie przekazane przez pracodawcę do pracy zdalnej służą tylko do wykonywania obowiązków służbowych. Dlatego należy postępować zgodnie z przyjętą w organizacji procedurą bezpieczeństwa. Pracownik nie powinien instalować na służbowym sprzęcie dodatkowych aplikacji i oprogramowania niezgodnych z procedurą bezpieczeństwa przyjętą w danej organizacji.
Pracodawcy często nie mają sprzętu komputerowego lub innych urządzeń potrzebnych do wykonania pracy poza biurem dla każdego pracownika, który przeszedł na zdalny tryb pracy. Wiele osób wykorzystuje w tym celu prywatne urządzenia. Takie postępowanie nie jest sprzeczne z RODO, jednak nawet w takiej sytuacji sprzęt ten musi być odpowiednio zabezpieczony, a pracownik powinien postępować zgodnie z polityką lub inną procedurą wprowadzoną w tym zakresie u pracodawcy. To pracodawca bowiem, a nie pracownik, jest odpowiedzialny za opracowanie, wprowadzenie i wdrożenie odpowiednich rozwiązań technicznych i organizacyjnych poprzez dokonaną także uprzednio analizę ryzyka.
Przykładowo, prywatny sprzęt pracownika, którego używa on w celach zawodowych, musi posiadać niezbędne aktualizacje systemu operacyjnego (IOS lub Android), oprogramowania oraz systemu antywirusowego. Na bieżąco aktualizowane powinny być także zainstalowane programy antymalware i antyspyware. Należy również przypominać pracownikom, aby rozważnie podchodzili do kwestii instalowania na swoich urządzeniach oprogramowania i pobierali je tylko z wiarygodnych źródeł (ze stron producentów).
Przechowując dane na sprzęcie, do którego mogą mieć dostęp inne osoby, należy używać "mocnych" haseł dostępowych, a przed odejściem od stanowiska pracy urządzenie powinno zostać zablokowane. Zalecane jest także skonfigurowanie automatycznego blokowania komputera po pewnym czasie bezczynności oraz założenie odrębnych kont użytkowników w przypadku korzystania z komputera przez wiele osób. Podczas używania programów lub aplikacji mobilnych należy posłużyć się możliwymi do zastosowania w nich mechanizmami ochrony prywatności użytkowników.
Gdy dane są przechowywane na urządzeniach przenośnych (np. pamięć USB), muszą być bezwzględnie szyfrowane i chronione hasłem, by zapewnić odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem albo uszkodzeniem.
Rekomenduje się, aby pracownicy w korespondencji e-mailowej korzystali ze służbowych adresów e-mail. Niemniej, nawet jeśli nie jest to możliwe i pracownik korzysta z prywatnej poczty elektronicznej, także w tym przypadku powinien odpowiednio zabezpieczać dane osobowe udostępniane w przesyłanych wiadomościach. Przykładowe środki służące zabezpieczeniu danych to pseudonimizacja czy szyfrowanie danych. W przypadku szyfrowania danych trzeba zaznaczyć, aby klucz służący do ich odczytania nie był dostarczany odbiorcy tym samym kanałem komunikacji co nośnik zaszyfrowanych informacji.
W kształtowaniu wśród pracowników właściwych postaw i zachowań w zakresie ochrony danych osobowych może pomóc edukacja, a więc wszelkie formy dzielenia się wiedzą i dobrymi praktykami. Przydatne będą szkolenia, instruktaże, a nawet wewnętrzne bazy wiedzy. Nieocenioną pomoc w tym zakresie może zapewnić także inspektor ochrony danych.
PODSTAWA PRAWNA:
art. 5 ust. 2, art. 24 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - ogólne rozporządzenie o ochronie danych - Dz.Urz. UE L z 2016 r. Nr 119, str. 1; ost.zm. Dz.Urz. UE L z 2018 r. Nr 127, str. 2
Ewelina Janczylik-Foryś
zastępca Rzecznika Prasowego UODO