Publicystyka - ngo.pl

Praca zdalna zmieniła uwarunkowania związane z przetwarzaniem danych osobowych, a tym samym spowodowała konieczność dostosowania dotychczas ustalonych reguł do nowych okoliczności.

Przetwarzanie danych osobowych w ramach pracy zdalnej wymaga odpowiedniego ich zabezpieczenia. Jedną z głównych zasad wynikających z art. 5 RODO jest konieczność przetwarzania danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności danych osobowych). 

O bezpieczeństwo danych osobowych powinni dbać wszyscy zatrudnieni w organizacji, z nią współpracujący czy wspierający ją w innej formie, np. wolontariusze. Jednocześnie to nie na tych osobach bezpośrednio spoczywa obowiązek ustalenia reguł związanych z bezpiecznym przetwarzaniami danych osobowych.

Jak wskazuje art. 24 ust. 1 RODO to administrator (czyli organizacja pozarządowa) wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO, a także żeby móc to wykazać zgodnie z tzw. zasadą rozliczalności. Ustalając wspomniane środki administrator bierze pod uwagę charakter, zakres, kontekst oraz cele przetwarzania danych osobowych. Administrator bierze również pod uwagę ryzyko naruszenia praw lub wolności osób fizycznych, do którego może dojść w wyniku przetwarzania danych osobowych. Dobrane środki w razie potrzeby administrator zobowiązany jest poddawać przeglądom i uaktualnieniom. 

Oznacza to zatem, że zmiana okoliczności związanych ze sposobem wykonywania pracy, w przypadku wielu organizacji pozarządowych mogła spowodować zmianę sytuacji związanej z przetwarzaniem danych osobowych, a tym samym wpłynąć na modyfikację stosowanych przez organizację środków zabezpieczeń. Praca zdalna może wiązać się również z innym ryzykiem naruszenia praw i wolności osoby, której dane osobowe przetwarza organizacja, niż ryzyko, które zostało oszacowane w przypadku wykonywania pracy w sposób standardowy (praca w zakładzie pracy).

Nie ma tutaj uniwersalnych rozwiązań. Warto jednak korzystać z wydanych w tym zakresie wskazówek Urzędu Ochrony Danych Osobowych (zobacz koniecznie: https://uodo.gov.pl/pl/138/1459) dotyczących m.in. sposobu korzystania z urządzeń służących do przetwarzania danych osobowych, wysyłania maili czy dostępu do sieci. Wspomniane wskazówki zostały skierowane co prawda do pracownika, jednak mogą okazać się również pomocne dla całej organizacji – jako administratora danych osobowych. W szczególności nie ma wątpliwości, że w sytuacji, w której pracownik korzysta ze służbowego sprzętu, powinien stosować się do reguł określonych przez pracodawcę. Nie powinien instalować na komputerze służbowym dodatkowych aplikacji czy oprogramowania, w tym w szczególności z niesprawdzonych i nieznanych źródeł. Urządzenia powinny mieć niezbędne aktualizacje systemu operacyjnego oraz powinny mieć zainstalowane aktualne oprogramowanie antywirusowe. Maile powinny być wysyłane w sposób świadomy. W temacie maila nie powinno się umieszczać danych osobowych. Należy dbać o właściwe zaadresowanie maila i korzystać z opcji „kopii ukrytych”. Nie należy otwierać wiadomości od nieznanych nadawców. Sieć powinna być zabezpieczona. Za wysoce ryzykowane uznaje się korzystanie z otwartych sieci publicznych, natomiast sieć VPN będzie najprawdopodobniej lepiej zabezpieczona niż sieć WI-FI używana przez pracownika w jego domu. 

Należy pamiętać, że to organizacja jako administrator odpowiada za bezpieczne przetwarzanie danych osobowych i odpowiedzialność ta nie powinna być przerzucana na pracowników lub też współpracowników tej organizacji. Praca zdalna wcześniej nie miała miejsca w tak szerokim wymiarze jak obecnie. Zdarzało się, że niektórzy pracodawcy dopuszczali możliwość tzw. „home office”, ale nie było to zjawisko powszechne i zazwyczaj ograniczało się do kilku dni w miesiącu. Z tego też względu większość organizacji nie była przygotowana na prowadzenie swoich działań spoza biura i nie miała wdrożonych reguł dotyczących organizowania pracy w taki sposób. Większość polityk ochrony danych osobowych przyjętych przez organizacje ograniczała się do ustalenia reguł dotyczących przetwarzania danych osobowych w zakładzie pracy i, albo nie uwzględniała opcji realizacji pracy poza takim stałym miejscem pracy, albo uwzględniała w sposób bardzo marginalny. Pandemia oraz konieczność wykonywania pracy zdalnej wymagają tego, aby przyjęte przez takie organizacje reguły zostały dostosowane do obecnej sytuacji i obecnych realiów. Pracownicy czy współpracownicy nie powinni pozostać bez wsparcia ze strony organizacji.

Oczywiście nie każda organizacja jest taka sama. Na rynku działają zarówno duże organizacje, które już przed pandemią zapewniały swoim pracownikom narzędzia pozwalające na bezpieczne przetwarzanie danych osobowych, takie jak odpowiednio zabezpieczone komputery służbowe, telefony, wsparcie informatyczne czy dostęp do sieci VPN, jak i małe organizacje, które nie posiadają środków finansowych na tak szerokie wyposażenie. Nie oznacza to jednak, że mniejsze organizacje są zwolnione z obowiązków związanych z zabezpieczeniem przetwarzanych przez nie danych osobowych. Podejmowana przez nie działania będą zapewne węższe od działań prowadzonych przez duże podmioty, jednak w przeważającej mierze również zakres przetwarzania danych będzie mniejszy. Praca zdalna może być wykonywana przy użyciu prywatnego sprzętu pracownika, może być wykonywana z domu lub nawet z innego miejsca.

Przy ustalania zasad związanych z przetwarzaniem danych osobowych, przy dostosowywaniu polityk dotyczących przetwarzania danych osobowych, w tym polityk bezpieczeństwa, oprócz przywołanych wyżej wskazówek UODO, należy brać pod uwagę różnego rodzaju okoliczności związane z tych polityk realizacją. Ustalane reguły nie mogą być nierealne i niemożliwe do spełnienia dla pracownika czy współpracownika organizacji. Ze wskazówek opublikowanych przez UODO wynika, że zanim pracownik przystąpi do pracy powinien wydzielić sobie odpowiednią przestrzeń, aby ewentualne osoby postronne nie miały dostępu do dokumentów, nad którymi pracuje. W mojej opinii, nie oznacza to jednak, że pracownik powinien bezwzględnie posiadać w domu sejf czy zamykaną na klucz szafkę, do której przy każdym opuszczeniu miejsca pracy, tj. stołu znajdującego się w salonie, przy którym siedzi również jego dziecko i odrabia lekcje, będzie chował wspomnianą dokumentację. Bezpieczne przetwarzanie danych osobowych nie oznacza również, że możemy jako pracodawca zabronić pracownikowi używania jego prywatnego komputera (wykorzystywanego w pracy) do innych aktywności niezwiązanych z pracą (pomijając fakt, że nie mamy do tego uprawnień).

Co zatem, będąc małą organizacją, możemy zrobić? Może uczulać swoich pracowników lub współpracowników, możemy edukować, może zwracać uwagę (np. nie trzeba zabierać oryginałów dokumentów do domu, jeżeli istnieje potrzeba pracy na dokumentach to może wystarczy, że będzie się to dobywało na kopiach), może podpowiadać (np. jeżeli pracownik korzysta z prywatnego komputera, niech założy osobny zahasłowany profil, do którego nie będą mieli dostępu członkowie jego rodziny), możemy zapewniać chociaż wybrane narzędzia, które zminimalizują ryzyko wycieku danych osobowych (np. bezpieczna sieć VPN, jedno wybrane narzędzie do prowadzenia wideokonferencji i spotkań online, poczta służbowa). 

Wprowadzenie wspomnianych rozwiązań nie obciąży budżetu organizacji w istotnym zakresie, a z całą pewnością zwiększy bezpieczeństwo przetwarzanych danych osobowych. Nie ulega wątpliwości, że podjęcie przez organizację tych wszystkich działań wymaga od niej zaangażowania czasowego. Należy zrobić rozeznanie rynku, poprosić o oferty, przeczytać polityki prywatności dostępnych platform, ustalić wspólne reguły i być może opracować je w formie pisemnej, tak żeby były dostępne dla osób zaangażowanych w działania organizacji. To jest czas, który trzeba poświęcić, ale dzięki temu wszyscy mogą czuć się bezpieczniej. 

Jedno jest pewne, organizacja nie powinna pozostawiać pracowników samych sobie, ani też bagatelizować kwestii związanych z koniecznością zapewnienia bezpieczeństwa danych osobowych. Kary za naruszenie ochrony danych osobowych mogą być dotkliwe, zatem w interesie organizacji jest działać w taki sposób, aby nie narażać się na sytuacje, w których mogłyby zostać nałożone.

Na koniec należy przypomnieć, że - jak wynika z obowiązujących przepisów - narzędzia i materiały potrzebne do wykonywania pracy zdalnej oraz obsługę logistyczną pracy zdalnej zapewnia pracodawca. Przy wykonywaniu pracy zdalnej pracownik może używać narzędzi lub materiałów niezapewnionych przez pracodawcę, ale pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. 

Jednocześnie to pracodawca jest podmiotem, który decyduje o skierowaniu pracownika na pracę zdalną i to on ocenia czy wykorzystywane przez tego pracownika narzędzia spełniają ww. wymagania. Pracodawca nie może przerzucić na pracownika odpowiedzialności związanej z ich wykorzystywaniem. Jeżeli pracodawca ma świadomość, że wykorzystywanie prywatnych narzędzi nie będzie wiązało się z bezpiecznym przetwarzaniem danych osobowych to powinien albo zrezygnować z możliwości ich wykorzystywania albo podjąć działań, chociażby te opisane powyżej, które zmniejszą prawdopodobieństwo wystąpienia zdarzeń związanych z naruszeniem ochrony danych osobowych.