Praca zdalna vs RODO. Sprawdź, o co najczęściej pytają pracodawcy

Nowelizacja kodeksu pracy i wprowadzenie do niego przepisów o pracy zdalnej, które wejdą w życie 7 kwietnia 2023 r., budzi wiele wątpliwości pracodawców. Największe wiążą się z prawidłowym rozliczeniem kosztów ponoszonych przez pracowników i możliwością kontroli pracy. Jednak nie mniej istotną rzeczą jest odpowiednie uregulowanie kwestii przetwarzania i zabezpieczenia danych osobowych w związku z pracą zdalną. Autorką jest Agata Majewska radca prawny, Ślązak Zapiór i Partnerzy.

Obowiązek ten ciąży co prawda na pracodawcach już teraz na podstawie samych przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, str. 1; dalej: RODO) oraz z ustawy z 26 czerwca 1974 r. – Kodeks pracy (t.j. Dz.U. z 2022 r. poz. 1510; ost.zm. Dz.U. z 2023 r. poz. 240; dalej: k.p.), ale przepisy nowelizujące wprowadzają nowe regulacje w tym przedmiocie. Jak więc odpowiednio przygotować organizację do bezpiecznego i zgodnego z przepisami przetwarzania danych osobowych w toku pracy zdalnej? Oto najczęściej zadawane przez pracodawców pytania.

• Czy przepisy o pracy zdalnej wymagają od pracodawcy opracowania nowych dokumentów dotyczących ochrony danych?

Niezależnie od tego, czy u pracodawcy funkcjonuje już praca zdalna, czy zostanie wprowadzona dopiero po wejściu w życie nowych przepisów, z dużym prawdopodobieństwem wiązać się będzie ze specyficznymi dla niej czynnościami przetwarzania danych, a co za tym idzie, także z ryzykami naruszenia ich bezpieczeństwa.

Dlatego potrzebna jest weryfikacja obowiązującej w organizacji dokumentacji dotyczącej przetwarzania danych, takiej jak: polityka bezpieczeństwa ochrony danych, rejestr czynności przetwarzania, zakres wydanych pracownikom upoważnień do przetwarzania danych. Z punktu widzenia przepisów nowelizujących najważniejsze będzie ustalenie zasad kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony danych osobowych oraz pozyskanie od pracowników oświadczeń o zapoznaniu się z procedurami oraz zobowiązaniu się do ich przestrzegania.

Konieczna stanie się weryfikacja obowiązujących już u administratorów danych zasad ich przetwarzania pod kątem tego, czy uwzględniają specyfikę przetwarzania i ryzyka związane ze świadczeniem pracy zdalnej, oraz ich ewentualna aktualizacja. Same zasady kontroli przestrzegania wymogów w zakresie bezpieczeństwa danych osobowych stanowić powinny element regulaminu pracy zdalnej. Ich formalne wprowadzenie może jednak okazać się niewystarczające. Zgodnie z nowymi przepisami pracodawca będzie miał obowiązek w tym zakresie przeprowadzić odpowiedni instruktaż lub szkolenie dla pracowników korzystających z pracy zdalnej.

• W jaki sposób zgodnie z przepisami o ochronie danych mogę kontrolować wykonywanie pracy zdalnej przez pracowników?

Świadczenie pracy zdalnej samo w sobie w żaden sposób nie modyfikuje obowiązującego pracownika czasu pracy, obowiązku pozostawania do dyspozycji pracodawcy oraz poświęcania czasu pracy na jej efektywne wykonywanie. Kodeks pracy w dotychczasowym brzmieniu pozwala pracodawcy na różne formy monitorowania pracowników, o ile jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych narzędzi pracy. Monitorowanie obejmować może m.in. pocztę elektroniczną pracownika, jego aktywność w sieci itd.

Niezależnie od tego przepisy nowelizujące k.p. wprowadzają możliwość kontrolowania przez pracodawcę wykonywania pracy zdalnej, a więc tego, czy pracownik stawia się do pracy i wykonuje zlecone mu zadania. Kontroli podlegać będzie również mogło przestrzeganie zasad bhp oraz bezpieczeństwa i ochrony informacji.

• Czy RODO pozwala na kontrolowanie pracownika zdalnego w jego domu?

Pracodawcy decydujący się na wprowadzenie regulaminu pracy zdalnej lub zawarcie z pracownikiem indywidualnego porozumienia regulującego jej zasady powinni określić sposób prowadzenia kontroli wykonywania pracy zdalnej, przestrzegania zasad bhp oraz bezpieczeństwa informacji, w tym danych osobowych. Dodatkowo konieczne będzie porozumienie się z pracownikiem co do przeprowadzenia kontroli w miejscu wykonywania pracy zdalnej.

Przepisy RODO nie wyłączają możliwości kontrolowania pracownika zdalnego, zarówno za pośrednictwem komunikacji elektronicznej, jak i osobiście w miejscu, gdzie faktycznie wykonuje swoje obowiązki. Ważne jest, by sposób takiej kontroli został wcześniej z nim ustalony, a sama kontrola odbywała się w czasie jego pracy (by uchronić się przed ewentualnym roszczeniem z tytułu pracy w godzinach nadliczbowych) oraz by była ona dostosowana do rodzaju i miejsca wykonywania pracy zdalnej. W szczególności nie może ona naruszać prywatności pracownika i innych osób ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem, a więc np. obejmować obszarów domu, w których zgodnie z deklaracją nie wykonuje on swoich zadań.

Ważne jest również, by osoby kontrolujące miały odpowiednie upoważnienie wydane przez pracodawcę. Powinny być to osoby, których stanowisko uzasadnia przeprowadzenie kontroli i wiąże się z jej zakresem, a więc w szczególności bezpośredni przełożony, pracownik HR lub inspektor ochrony danych.

• Czy mogę wymagać od pracownika, by pracował zdalnie przy włączonej kamerze internetowej?

Kontrola pracy zdalnej nie musi odbywać się osobiście w miejscu jej świadczenia przez pracownika. Może również przybrać formę zdalną i polegać w szczególności na poleceniu pracownikowi odbywania spotkań online przy włączonej kamerze, nagrania stanowiska pracy zdalnej w celu kontroli wymogów bezpieczeństwa itp.

Za nadmiernie ingerujące w prywatność pracownika i jego komfort pracy uznać należy jednak żądanie, by wykonywał swoje zadania przy stale włączonej skierowanej na niego kamerze. Stanowisko takie wyraził niedawno m.in. holenderski sąd pracy, wskazując, że jest to nadmiarowe działanie ze strony pracodawcy, nieadekwatne do celu, jakim jest kontrola pracy zdalnej.

• Czy wprowadzenie pracy zdalnej wymaga aktualizacji rejestru czynności przetwarzania danych osobowych i przeprowadzenia oceny skutków dla ochrony danych?

Przepisy RODO nakazują administratorowi bieżącą weryfikację i odpowiednie zabezpieczenie operacji przetwarzania danych osobowych. Dotyczy to zarówno danych osobowych samych pracowników, jak i danych innych podmiotów, które pracownicy przetwarzają w ramach pracy zdalnej.

Dlatego też, jeśli pracodawca przewiduje możliwość pracy zdalnej, w sposób transparentny powinien móc wykazać, że uwzględnia tę okoliczność na płaszczyźnie ochrony danych osobowych – zgodnie z zasadą privacy by design (obowiązek wzięcia pod uwagę ochrony danych osobowych już w początkowych fazach tworzenia danego projektu). Wymaga to w szczególności weryfikacji kompletności rejestru czynności przetwarzania w zakresie operacji związanych z pracą zdalną (jak np. monitorowanie pracy zdalnej, kontrola pracowników itp.) oraz oceny zasadności przeprowadzenia oceny skutków dla ochrony danych, jeśli pracodawca stwierdzi, że dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności podmiotów danych.

Warto zaznaczyć, że przepisy RODO kładą nacisk na zasadność takiej analizy, w szczególności gdy do przetwarzania danych dochodzi z użyciem nowych technologii, co w przypadku pracy zdalnej wydaje się nieodzowne.

• Nie planujemy wprowadzenia regulaminu pracy zdalnej. W jaki sposób zobowiązać pracowników wykonujących pracę zdalną do odpowiedniego zabezpieczenia danych osobowych, do których mają dostęp?

Przepisy wprowadzające do k.p. pracę zdalną nie przewidują bezwzględnego obowiązku ustanowienia regulaminu pracy zdalnej. W szczególności, w przeciwieństwie do regulaminu pracy, nie nakładają na pracodawcę obowiązku jego wprowadzenia po przekroczeniu określonego progu zatrudnienia.

Jeśli w danej organizacji regulamin pracy zdalnej nie funkcjonuje, to zasady jej świadczenia, w tym te dotyczące zabezpieczenia danych osobowych, warto uregulować w indywidualnym porozumieniu zawieranym z pracownikiem. Może ono w szczególności odwoływać się do obowiązujących u pracodawcy wewnętrznych regulacji, zwłaszcza do polityki bezpieczeństwa danych osobowych, oraz określać zasady kontroli przestrzegania obowiązków w tym zakresie.

Pamiętajmy również, że zgodnie z wprowadzanymi przepisami miejsce pracy zdalnej wskazane przez pracownika będzie musiało być każdorazowo zaakceptowane przez pracodawcę. Ten zaś powinien uzależnić zgodę od spełniania przez nie odpowiedniego poziomu bezpieczeństwa nie tylko dla samego pracownika, lecz także dla danych, z których będzie korzystać, świadcząc pracę na odległość.

• Czy osoby wyznaczone do kontroli pracy zdalnej muszą mieć dodatkowe upoważnienie do przetwarzania danych?

Przepisy wprowadzające pracę zdalną nakładają na pracodawcę w ramach przekazywania informacji o warunkach zatrudnienia na podstawie art. 29 par. 3 k.p. obowiązek wskazania osoby lub organu, upoważnionych do przeprowadzenia kontroli w miejscu wykonywania pracy zdalnej. Przeprowadzenie takiej kontroli niewątpliwie wiązać będzie się z przetwarzaniem danych osobowych nie tylko pracownika, lecz także, z dużym prawdopodobieństwem, jego domowników. Tym samym konieczne jest odpowiednie dostosowanie w tym zakresie upoważnień do przetwarzania danych osobowych zgodnie z art. 29 RODO.

• W jaki sposób zabezpieczyć dane osobowe, pozwalając pracownikom na okazjonalną pracę zdalną na własnym sprzęcie?

Okazjonalna praca zdalna wiąże się z istotnym ograniczeniem obowiązków pracodawcy, m.in. dotyczących zapewnienia narzędzi pracy oraz pokrywania kosztów z nią związanych. Nie wyklucza ona jednak uzależnienia uwzględnienia wniosku pracownika o jej wykonywanie od przestrzegania określonych przez pracodawcę zasad bezpieczeństwa ochrony danych obowiązujących w organizacji. Warunek ten powinien być w szczególności brany pod uwagę, jeśli okazjonalna praca zdalna miałaby być świadczona przy użyciu prywatnego sprzętu pracownika, pozostającego poza infrastrukturą pracodawcy.

O ile bowiem przepisy pozwalają na pewne złagodzenie wymogów z uwagi na incydentalny charakter tej formy pracy zdalnej, o tyle nie można zapominać, że odpowiedzialność za odpowiednie zabezpieczenie danych osobowych z jednej strony stanowi obowiązek prawny pracodawcy jako administratora tych danych, a z drugiej leży również w zakresie podstawowych obowiązków pracowniczych, z których pracownik może zostać rozliczony w ramach odpowiedzialności porządkowej.

• Czy mogę żądać od pracownika, by wykazał, że należy do grona osób mogących wystąpić z wiążącym wnioskiem o świadczenie pracy zdalnej?

Nowelizacja k.p. wprowadza możliwość złożenia wiążącego wniosku o pracę zdalną dla określonej grupy pracowników. Należą do niej m.in. pracownice w ciąży, opiekunowie dzieci do lat 4 lub osób niepełnosprawnych. Pracownik składający taki wniosek powinien podać podstawy upoważniające go do skorzystania z tego rozwiązania.

Zgodnie z art. 221 par. 3 pkt 3 k.p. pracodawca może żądać od pracownika dodatkowych danych osobowych jego, a także jego dzieci i innych członków jego najbliższej rodziny, jeżeli są one konieczne ze względu na korzystanie przez niego ze szczególnych uprawnień przewidzianych w prawie pracy. W analizowanym przypadku takim uprawnieniem jest właśnie skorzystanie z wiążącego wniosku o świadczenie pracy zdalnej.

• Co mogę zrobić, jeśli pracownik zdalny nie przestrzega obowiązków w zakresie ochrony danych?

Przepisy nowelizujące k.p. pozwalają pracodawcy, który stwierdzi w toku kontroli uchybienia w zakresie przestrzegania przez pracownika zasad bezpieczeństwa ochrony danych, na zobowiązanie go do usunięcia stwierdzonych nieprawidłowości albo cofnięcie zgody na wykonywanie pracy zdalnej. W tym drugim przypadku pracownik ma obowiązek podjęcia pracy w dotychczasowym miejscu w terminie określonym przez pracodawcę. Nieuzasadnione niezastosowanie się do takiego polecenia może zostać potraktowane jako naruszenie podstawowych obowiązków pracowniczych i skutkować nawet rozwiązaniem umowy o pracę. ©℗

Pozostało 89% treści

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Wybierz pakiet odpowiedni dla siebie i korzystaj codziennie!

Jesteś subskrybentem?
Zaloguj się

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Jesteś subskrybentem?
Zaloguj się

<span style="font-size:20px; color: #000000">Kup dostęp <br>już od <strong style="color: #FD0509">9,90 zł</strong> za pierwszy miesiąc</span>

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Ten artykuł jest dostępny tylko dla subskrybentów wersji cyfrowej DGP Premium.

Potrzebujesz więcej treści dla specjalistów? Szukasz kompleksowej informacji i wyjaśnień ekspertów dotyczących zmieniającego się prawa?
Wybierz wersję cyfrową DGP Premium z nielimitowanym dostępem do wszystkich treści (gazetaprawna.pl. edgp.gazetaprawna.pl, aplikacja DGP) i pełnym archiwum wydań.