Zasady pracy zdalnej a RODO to najbardziej aktualny temat ostatnich miesięcy. Przygotuj swoją firmę, czy organizację do stosowania nowych zasad pracy zdalnej. Opisane w tym artykule zasady bezpiecznej pracy zdalnej będą dla Ciebie pomocne przy opracowaniu:
- Regulaminu pracy zdalnej
- Zasad pracy zdalnej
- Szkolenia dla pracowników z zakresu pracy zdalnej
Czym jest praca zdalna i dlaczego czytam ten artykuł?
Praca zdalna polega na możliwości świadczenia pracy poza zakładem pracy, najczęściej z prywatnego mieszkania lub domu. Od 7 kwietnia 2023 roku, praca zdalna została wskazana jako jedna z możliwych form świadczenia pracy w kodeksie pracy.
Opisane w tym artykule przykładowe zasady ochrony danych dotyczą zarówno pracowników, jak i współpracowników – niezależnie od formy zatrudnienia.
Kto może korzystać z pracy zdalnej?
Z możliwości pracy w formie pracy zdalnej mogą korzystać pracownicy na wszystkich stanowiskach. Pod jednym, bardzo ważnym warunkiem – że jest możliwe jej wykonywanie w formie zdalnej ze względu na organizację pracy lub rodzaj pracy.
Zasady pracy zdalnej a RODO – dlaczego je wdrażamy?
Praca zdalna jest sytuacją win-win: i dla pracownika i pracodawcy. Pod jednym, bardzo ważnym warunkiem – że jest bezpieczna.
Urządzenia i systemy informatyczne, z których korzystają pracownicy w codziennej pracy służą do przetwarzania danych osobowych tysięcy osób. Często są to wrażliwe informacje takie jak PESEL, czy wysokość wynagrodzenia.
Bezpieczeństwo to gra zespołowa. Obowiązkiem działu IT jest zabezpieczenie urządzeń i systemów przed wyciekiem, czy utratą danych. A obowiązkiem pracownika (szczególnie „zdalnego”) rozważne i zgodne z procedurami korzystanie z tych narzędzi.
Jeśli któregokolwiek elementu w tej współpracy zabraknie – służbowe dane będą narażone na ogromne niebezpieczeństwo.
Czym jest bezpieczne środowisko pracy zdalnej?
Jeśli pracujesz w biurze, w ramach zespołu, wszyscy pracujecie na podobnych kategoriach danych osobowych.
Współdomownicy „zdalnego” pracownika czy jego goście, to zupełnie inna kategoria osób.
To osoby nieupoważnione, które nie mogą mieć dostępu do służbowych danych które przetwarza pracownik zdalny.
W czasie pracy zdalnej pracownik ma obowiązek zadbać, żeby był jedyną osobą, która słyszy i widzi informacje, które są własnością pracodawcy.
W przypadku przetwarzania danych wrażliwych, w tym danych osobowych, monitory powinny być dodatkowo wyposażone w filtry prywatyzujące i ustawione w sposób uniemożliwiający podgląd osobom trzecim.
Domownicy „zdalnego” pracownika nie mogą korzystać z jego sprzętu służbowego. Nie mogą też znać jego loginów i haseł. Pracownik odpowiada również za to, żeby jego domownicy nie weszli w posiadanie jego loginu i hasła w sposób pośredni.
W niektórych miejscach pracy dozwolona jest praca na własnym, prywatnym sprzęcie – smartfonie lub laptopie. W takim przypadku, pracownik bezwzględnie musi zabezpieczyć sprzęt zgodnie z zaleceniami działu IT. Musi też działać zgodnie z obowiązującą w organizacji procedurą BYOD, czyli bring your own device.
Spełnij wymóg prawny: prz-e-szkól zespół z bezpiecznej pracy zdalnej
Na naszej platformie e-learningowej możesz przeszkolić wygodnie, szybko, nowocześnie i rozliczalnie cały swój zespół. Każdy Twój kolega / koleżanka pracy otrzyma imienny certyfikat ukończenia szkolenia.
Zamów nasze nowoczesne szkolenia e-learningowe – w tym z bezpiecznej pracy zdalnej.
… albo skorzystaj z naszego bezpłatnego szkolenia dla pracowników
Szkolenie w wersji video
Szkolenie w wersji audio
Jak bezpiecznie połączyć się z siecią internet?
Pracownik „zdalny” do łączenia się z interntem powinien korzystać z sieci domowej lub hotspotu z własnego telefonu. Hasło do sieci WiFi powinno być zabezpieczone silnym hasłem. Co to znaczy silne hasło?
Zgodnie z najnowszymi wytycznymi CERT, czyli polskiej instytucji zajmującej się cyberbezpieczeństwem, silne hasło to hasło, które:
- jest unikalne, czyli nie jest stosowane nigdzie indziej
- ma minimum 12 znaków
- nie zawiera żadnych przewidywalnych członów jak: Twoje imię, imię Twoich dzieci, współmałżonka, zwierzątka, nazwa ulubionego klubu sportowego
- nie znajduje się na liście najpopularniejszych haseł: np. 123456, qwerty, password
Wskazówka od CERT Polska dla działów IT:
Czy można pracować zdalnie tylko z terytorium Polski?
Pracę zdalną pracownik powinien realizować wyłącznie w miejscu uzgodnionym wcześniej z pracodawcą. Jeśli na przykład na wskazał pracodawcy swój adres zamieszkania, a planuje pracować zdalnie z innej lokalizacji, koniecznie powinien uzgodnić to z przełożonymi.
Dotyczy to szczególnie przypadków, jeśli pracownik planujee pracować zdalnie spoza terytorium Polski.
Praca zdalna co do zasady powinna być zakazana z terytorium państw nienależących do Europejskiego Obszaru Gospodarczego. Czyli NIE należy do Unii Europejskiej, ani nie jest Islandią, Norwegią i Liechtensteinem.
Jak pracować z dokumentacją papierową?
Pracodawca powinien stworzyć takie środowisko pracy, żeby „zdalny” pracownik nie musiał korzystać z dokumentów papierowych. W dzisiejszych czasach wykonywanie większości prac biurowych jest możliwych w 100% na dokumentach elektronicznych.
Jeśli jednak pracownik musi korzystać z papierowych dokumentów, ma obowiązek ich zwrotu do biura. Albo ich zniszczenia, kiedy przestaną być przydatne. Pracodawca powinien umożliwić pracownikowi dostęp do niszczarek do dokumentów przynajmniej na obszarze swojego biura.
Domownicy „zdalnego” pracownika nie powinni mieć dostępu do dokumentów papierowych. „Zdalny” pracownik powinien posiadać szafkę lub szufladę zamykaną na klucz.
Co z backupem podczas pracy zdalnej?
W dzisiejszych czasach bardzo powszechne jest korzystanie z chmurowych rozwiązań i systemów dostępnych z poziomu przeglądarki internetowej. Dlatego też bardzo rzadko dochodzi do sytuacji, żeby na sprzęcie lokalnym pracownika pracującego zdalnie znalazła się JEDYNA kopia danych osobowych.
Dlatego też, dane wymagające backupowania pracownik powinien przechowywać na dyskach sieciowych. Pracownik „zdalny” powinien mieć świadomość, że odpowiada za zabezpieczenie i utratę danych przechowywanych na dyskach lokalnych (na przykład C: i D:).
Jakie są największe zagrożenia w toku pracy zdalnej?
Pracując zdalnie wszyscy musimy liczyć się z większym ryzykiem wystąpienia naruszeń ochrony danych osobowych. Poniżej znajduje się lista przykładowych zagrożeń w toku pracy zdalnej:
- „Zdalny” pracownik transportuje sprzęt komputerowy znacznie częściej niż w czasie pracy z biura. Rosną więc ryzyka jego zgubienia albo kradzieży. Pracownik „zdalny” nie może zostawiać laptopa w miejscach publicznych, czy w aucie.
- Pracując zdalnie w środkach transportu czy innych miejscach publicznych „zdalny” pracownik musi zwrócić uwagę na to, żeby osoby trzecie nie miały możliwości podsłuchania lub podejrzenia jego ekranu.
- Pracując w biurze, pracownik korzysta na ogół z jednej, dobrze zabezpieczonej sieci WIFI. Przy pracy zdalnej jego urządzenie może logować się do wielu różnych sieci. Zwłaszcza, jeśli podróżuj. Pracownik „zdalny” powinien być świadomy, żeby zwracać uwagę na to, żeby były to sieci zaufane i bezpieczne z szyfrowanym połączeniem wymagającym podania hasła.
- Znasz tego mężczyznę?
To najbardziej znany haker i socjotechnik, Kevin Mitnick. Chociaż akurat TEN Pan już swoje odsiedział i nie przestał być groźny, to nadal pracodawca musi pamiętać, że, pracownik „zdalny” jest jest bardziej narażony na ataki socjotechniczne. Mogą być do nich wykorzystani nawet jego domownicy czy znajomi (również nieświadomie).
Może ktoś podający się za przełożonego w bardzo realistyczny sposób poprosi domownika „zdalnego” pracownika o pilne udostępnienie jego loginu i hasła. Jeśli domownicy „zdalnego” pracownika mają dostęp do takich informacji, ryzyka rosną.
Czy w czasie pracy zdalnej można instalować nowe aplikacje i programy?
Obowiązują podobne zasady jak podczas pracy w biurze. Nowe aplikacje, programy i rozszerzenia do przeglądarki mogą być instalowane wyłącznie, jeśli są konieczne do wykonania pracy oraz po uznaniu ich za bezpieczne przez Dział IT.
Co do zasady, służbowy sprzęt i systemy informatyczne (również urządzenia mobilne) powinny być wykorzystywane do celów służbowych. Korzystanie ze służbowego sprzętu do innych celów niż służbowy powinno być wyjątkiem od reguły i odbywać się wyłącznie na zasadach określonych przez dział IT.
Jak bezpiecznie korzystać z poczty e-mail?
Korzystanie z poczty elektronicznej generuje trzy główne rodzaje ryzyk.
- UDW / BCC
Pracownik „zdalny” może przypadkowo udostępnić dane osobowe.
Jak pewnie pamiętasz z poprzednich naszych artykułów – już sam tylko adres e-mail może być danymi osobowymi.
Wysyłając korespondencję do wielu adresatów, bez zastosowania opcji UDW, możesz spowodować naruszenie ochrony danych osobowych.
- Phsishing
Pracownik „zdalny” powinien zachować szczególną ostrożność, jeśli otrzymał od niezaufanego adresata podejrzane załączniki i linki. Możesz „uodpornić” swoich pracowników na tego typu phishingowe praktyki i pokazać mu nasze bezpłatne szkolenie: Cyberbezpieczny pracownik (security awareness).
Pracownik powinien każdorazowo zgłaszać takie podejrzane wiadomości e-mail do Działu IT.
- Szyfrowanie
Załączane przez pracowników pliki zawierające dane osobowe i inne poufne informacje mogą trafić przez pomyłkę do adresata o podobnym imieniu i nazwisku.
Żeby uniknąć takiego ryzyka pracownik powinien szyfrować pliki zawierające poufne informacje. Hasło powinien przesłać osobnym kanałem komunikacji (np. SMSem).
Jak zachować się w przypadku naruszenia ochrony danych osobowych?
Pracując zdalnie wszyscy musimy liczyć się z większym ryzykiem wystąpienia naruszeń ochrony danych osobowych. Pracownik „zdalny” powinien być świadom, że w takich sytuacjach od szybkości jego reakcji BARDZO dużo zależy. W wielu przypadkach organizacje będą miał tylko 72 godziny na zgłoszenie naruszenia ochrony danych do UODO.
Dlatego bardzo ważne jest, żeby w takich przypadkach pracownik „zdalny” postępował zgodnie z procedurami postępowania związanymi z naruszeniem ochrony danych osobowych. I żeby niezwłocznie poinformował odpowiednie osoby odpowiedzialne za RODO w organizacji.
Czy pracodawca może skontrolować pracownika w prywatnym mieszkaniu?
Tak, według przepisów zmienionego kodeksu pracy, pracodawca może skontrolować “zdalne” stanowisko pracy. Celem kontroli będzie weryfikacja, czy jest ono faktycznie bezpieczne oraz czy zasady i regulaminy pracy zdalnej są przestrzegane przez pracownika.
Pracodawca może też skontrolować to, jak pracownik „zdalny” wykorzystuje swój czas pracy i czy wykorzystuje otrzymane służbowe urządzenia i materiały zgodnie z ich przeznaczeniem.
Pracodawca, za pośrednictwem bezpośredniego przełożonego może przeprowadzić kontrolę w miejscu wskazanym przez pracownika jako miejsce świadczenia pracy. Na przykład w jego miejscu zamieszkania. Pracodawca zobowiązuje się, że wykonywanie czynności kontrolnych nie będzie naruszało prywatności ani pracownika „zdalnego”, ani jego rodziny.
Kontrolę pracodawca powinien zapowiedzieć z odpowiednim wyprzedzeniem.
Jakie konsekwencje grożą pracownikowi za brak stosowania się do zasad pracy zdalnej?
Tak jak zaznaczaliśmy na początku, praca zdalna może być korzystna dla obu stron: i dla pracodawcy i dla pracownika.
Ale pod jednym bardzo ważnym warunkiem – jeśli będzie bezpieczna.
Konsekwencje niestosowania się do przedstawionych zasad, będą zależeć od stopnia ich naruszenia przez pracownika. Może być to wyłączenie możliwości pracy zdalnej, upomnienie, nagana albo rozwiązanie umowy.
Kiedy pracodawca musi zapewnić pracownikowi możliwość pracy zdalnej?
Pracodawca nie może odmówić pracy zdalnej w przypadku:
- pracownicy w ciąży,
- pracownikowi wychowującemu dziecko do ukończenia przez nie 4 roku życia,
- pracownikowi sprawującemu opiekę nad innym członkiem najbliższej rodziny lub inną osobą pozostającą we wspólnym gospodarstwie domowym, posiadającymi orzeczenie o niepełnosprawności albo orzeczenie o znacznym stopniu niepełnosprawności,
- pracownikowi-rodzicowi dziecka posiadającego zaświadczenie, o ciąży powikłanej oraz w sytuacji niepowodzeń położniczych,
- pracownikowi-rodzicowi dziecka legitymującego się orzeczeniem o niepełnosprawności albo orzeczeniem o umiarkowanym lub znacznym stopniu niepełnosprawności określonym w przepisach o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (nawet po ukończeniu przez nie 18 roku życia),
- pracownikowi-rodzicowi dziecka posiadającego odpowiednio opinię o potrzebie wczesnego wspomagania rozwoju dziecka, orzeczenie o potrzebie kształcenia specjalnego lub orzeczenie o potrzebie zajęć rewalidacyjno-wychowawczych (nawet po ukończeniu przez nie 18 roku życia).
Podsumowanie
Praca zdalna może być komfortowym rozwiązaniem. Pracownik „zdalny” musi jednak pamiętać, że jest też druga strona tego medalu. Praca zdalna to też dodatkowe ryzyka i dodatkowe obowiązki, jakie wiążą się z koniecznością zabezpieczenia służbowych danych.
A niestety, wraz z rozwojem technologii umożliwiających i usprawniających pracę zdalną, rośnie też kreatywność cyber-przestępców.
Dlatego, żeby bezpiecznie przetwarzać dane służbowe w czasie pracy zdalnej, pracownik zdalny musi znać i stosować się do wszystkich obowiązujących w miejscu pracy zasad bezpieczeństwa informacji.
Pracownik „zdalny” musi też oczywiście zapoznać się ze szczegółowymi regulaminami, procedurami instrukcjami pracy zdalnej obowiązującymi w organizacji.
Pobierz artykuł w PDFŹródła:
- Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz.U. 2023 poz. 240)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L Nr 119, str. 1)
3 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Mnie ciekawi jak to jest z tym obowiązkiem szkoleń w zakresie pracy zdalnej. W art. 67(24) par. 1 ust. 4) jest mowa o obowiązku „zapewnienia szkolenia”, czyli nie ma obowiązku „przeprowadzenia” czy „odbycia” przez pracownika takiego szkolenia. Wynika z tego, że w razie potrzeby pracownika, pracodawca ma obowiązek takie szkolenie „zapewnić”. No i art. 67(26) par. 1 – tu tez jest mowa, że pracodawca przeprowadza szkolenie w zakresie pracy zdalnej „w miarę potrzeby”. Czyli wystarczy mieć już szkolenie z ochrony danych osobowych w firmie, a w razie gdyby pracownik zdalny lub pracodawca odczuł taką potrzebę, to takie (wtedy dodatkowe) szkolenie zapewnić? Co Państwo sądzą na ten temat?
Dzień dobry,
pracodawca ustalił limit dni pracy zdalnej 6 dni/miesiąc (regulamin pracy, porozumienie ze związkami) zarówno dla pracowników uprzywilejowanych i tych nie uprzywilejowanych, twierdząc że składając wniosek osoba należąca do grupy uprzywilejowanej musi zaznaczyć to we wniosku. Różnica między tymi pracownikami jest taka że pracodawca taki wniosek musi uwzględnić, a w przypadku pracownika z po za tej grupy nie musi.
Czy pracownik z grupy uprzywilejowanej nie może wnioskować o dowolną ilość dni w miesiącu w ramach swoich potrzeb, czy pracodawca może mu narzucić liczbę dni w których może przebywać na pracy zdalnej?
Z góry dziękuję!
Dzień dobry,
Wymiar i tryb pracy oraz zasady składania wniosków o pracę zdalną przez pracowników z tzw. „grupy uprzywilejowanej” powinny zostać dookreślone w samym Regulaminie pracy lub postanowieniach innego właściwego dokumentu. Jest też możliwość dokonania zmiany trybu pracy indywidualnie z pracownikiem w ramach indywidualnych warunków zatrudnienia, co zresztą byłoby dla niego najkorzystniejsze. Wtedy pracownik wiedziałby, czy pracuje w trybie całkowicie zdalnym, czy hybrydowym. Jeśli jednak powyższe zasady nie zostały określone, pracownik może każdorazowo składać wniosek o pracę zdalną i oczekiwać na jego rozpatrzenie. Trzeba mieć na uwadze, że pracodawca może nie uwzględnić wniosku, jeśli nie pozwala na to charakter wykonywanej pracy.
Pozdrawiamy!