W obowiązującym obecnie w Polsce stanie epidemii od pracodawców wymaga się zorganizowania pracy w taki sposób, aby ograniczyć osobiste kontakty pomiędzy pracownikami, w szczególności – gdy jest to możliwe – poprzez polecenie im wykonywania pracy zdalnej. To powoduje oczywiście określone konsekwencje związane z właściwym zorganizowaniem pracy zdalnej, także w zakresie zapewnienia odpowiedniego poziomu cyberbezpieczeństwa oraz ochrony danych osobowych. W tym ostatnim przypadku, wobec pojawiających się w związku z tym pytań dotyczących możliwości wykorzystywania przez pracowników świadczących pracę zdalną dokumentacji papierowej zawierającej dane osobowe, UODO przedstawił podstawowe zasady, którymi należy się w takiej sytuacji kierować.
Pracodawca musi zadbać o przestrzeganie zasad
Przede wszystkim pracodawcy, jako administratorzy danych przetwarzanych przez pracowników podczas pracy zdalnej, mają obowiązek zapewnić przestrzeganie zasad przetwarzania danych, w tym zagwarantować ich bezpieczeństwo, biorąc pod uwagę większe ryzyko związane z takimi działaniami. Odnosi się to zarówno do przetwarzania danych przy wykorzystaniu środków komunikacji elektronicznej, jak i danych zawartych w dokumentach papierowych.
W przypadku przetwarzania z wykorzystaniem środków komunikacji elektronicznej, wymaga to nie tylko wprowadzenia i przestrzegania odpowiednich procedur, ale także właściwego zabezpieczenia sprzętu, na którym pracownicy wykonują zdalną pracę związaną z przetwarzaniem danych osobowych. Jest to o tyle ważne, że w okresie pandemii mamy do czynienia ze szczególnym nasileniem się ataków polegających na uzyskiwaniu zdalnego dostępu do komputerów użytkowników, wykradania z nich danych, czy też nielegalnego ich szyfrowania w celu wyłudzenia okupu w zamian z umożliwienie ich ponownego odkodowania.
Konieczne jest zatem odpowiednie przygotowanie pracowników na takie zagrożenie, w tym wprowadzenie wyraźnych ograniczeń w celu wyeliminowania wykorzystywania firmowego sprzętu w celach nie związanych z pracą, dokonywania łączenia z nieautoryzowanymi sieciami komputerowymi, wykorzystywania prywatnych nośników danych (np. pendrive), czy też udostępniania takiego sprzętu członkom rodziny.
Nie zawsze papierowy dokument można zabrać do domu
Należy też pamiętać, że pracownicy podczas pracy zdalnej mogą przetwarzać dane osobowe tylko w celach związanych z wykonywaniem swoich obowiązków służbowych oraz muszą zapewnić ich bezpieczeństwo, przestrzegając wewnętrzne polityki oraz inne procedury przyjęte w tym zakresie przez pracodawcę. Na pracownikach spoczywa również ogólny obowiązek dbałości o dobro zakładu pracy w zakresie ochrony danych osobowych.
W przypadku pracy z dokumentacją zawierającą dane osobowe, przede wszystkie trzeba pamiętać, że pracownicy nie mogą samowolnie wynosić dokumentacji w postaci papierowej poza określony przez pracodawcę obszar przetwarzania danych. Nie ma zatem takiej możliwości, aby pracownik sam, bez uprzedniej zgody pracodawcy, mógł zabierać takie dokumenty do domu.
Co więcej, UODO wyjaśnił, że praca na dokumentach papierowych nie będzie uzasadniona, jeżeli pracodawca: wdrożył elektroniczny obieg dokumentów, a pracownik ma bezpieczny dostęp do niezbędnych do pracy danych osobowych przy pomocy środków komunikacji elektronicznej; ma możliwość szybkiego, sprawnego i bezpiecznego wdrożenia elektronicznego obiegu dokumentacji; może udostępnić pracownikowi odpowiednio zabezpieczone (m.in. zaszyfrowane) elektroniczne kopie niezbędnych dokumentów.
Dokumenty muszą być odpowiednio zabezpieczone
Pracodawca, decydując o możliwości wykorzystywania przez pracowników dokumentacji papierowej podczas pracy zdalnej musi przestrzegać szeregu szczegółowo wymienionych przez UODO zasad, w tym m.in zapewnić ewidencjonowanie wydanych pracownikom dokumentów zawierających dane osobowe oraz zobowiązać pracownika do odpowiedniego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji.
Oznacza to, że każdy dokument opuszczający firmę musi być zarejestrowany, z podaniem kto, kiedy i w jakim celu go wynosi. Zaś jego ponowne przyniesienie do firmy odnotwane w taki rejestrze.
W przypadku zabezpieczenia dokumentów przez pracownika chodzi natomiast zarówno o odpowiednie zabezpieczanie takiej dokumentacji w trakcie przemieszczania jej z siedziby pracodawcy do domu pracownika i z powrotem, jak i miejscu, w którym świadczona jest praca zdalna. Pracownik musi zadbać o to, by nikt poza nim nie miał dostępu do takich danych i nie mógł tej dokumentacji przeglądać. Dotyczy to także domowników pracownika. Co więcej, pracownik musi zabezpieczyć przed dostępem domowników nie tylko zawierające dane osobowe dokumenty papierowe, ale także ich elektroniczne odpowiedniki, w przypadku przetwarzania takich danych w ramach systemów teleinformatycznych, z których korzysta w domu w ramach tzw. pracy zdalnej.