4 min. czytania 14 kwi 2023
internet rzeczy

Ochrona danych i informacji poufnych podczas wykonywania pracy zdalnej

Autor Alicja Guzy

EY Polska, Kancelaria EY Law, Associate

Alicja zajmuje stanowisko Associate w Zespole Własności Intelektualnej, Technologii i Danych Osobowych w EY Law

4 min. czytania 14 kwi 2023

Praca zdalna stała się codziennością wielu firm. Niektóre korzystały z niej od lat – inne dopiero ją wdrażają. Taka forma świadczenia pracy przynosi jednak nowe zagrożenia, np. w zakresie ochrony tajemnic przedsiębiorstwa. Jakich uregulowań w wewnętrznych procedurach to wymaga? 

Jeżeli pracownik świadczy pracę stacjonarnie (np. w biurze), łatwiej jest ochronić tajemnice przedsiębiorstwa. Podczas pracy zdalnej ryzyko wycieku danych i informacji może być większe – pracodawca nie ma pełnego wpływu na warunki, w jakich wykonywana jest praca, kto ma dostęp do komputera itd. Aby zminimalizować ryzyko, pracodawca powinien opracować zasady pracy zdalnej i przeszkolić personel. 

Bezpośrednio na maila

Bądź na bieżąco i subskrybuj newsletter EY

Subskrybuj

Konsekwencje związane z ujawnieniem i utratą danych

Każdy podmiot ma swoje dane, których nie chce ujawniać i które często stanowią tajemnicę przedsiębiorstwa. Zgodnie z art. 11 ust. 2 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. Nr 47 poz. 211 z późn. zm.) przez tajemnicę przedsiębiorstwa rozumie się informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął, przy zachowaniu należytej staranności, działania w celu utrzymania ich w poufności.

Jak widać, dane stanowiące tajemnicę przedsiębiorstwa mogą mieć bardzo różny charakter. Może to być chemiczna formuła użyta do stworzenia produktu (informacje technologiczne), ale też lista kontrahentów (dane o charakterze handlowym) czy sposób dystrybucji produktów (informacje o charakterze organizacyjnym) – oczywiście wszystko zależy od specyfiki danego podmiotu. Ujawnienie takich informacji może wyrządzić poważne szkody, chociażby w postaci utraty przychodów czy reputacji i zaufania klientów. 

Dodatkowo w wielu przypadkach wymóg dochowania tajemnicy może wynikać wprost z przepisów. Pracownicy urzędów skarbowych zobowiązani są do przestrzegania tajemnicy skarbowej, a doradcy podatkowi nie mogą zdradzać tajemnicy zawodowej. Niezależnie od tego, z jakim podmiotem mamy do czynienia, obowiązuje nas także ochrona danych osobowych, co wynika z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) – dalej RODO. Naruszenie obowiązków prawnych administratora lub podmiotu przetwarzającego może skutkować ukaraniem danego podmiotu wysokimi karami – np. za naruszenia dotyczące ochrony danych osobowych kary mogą wynieść 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa – zob. art. 83 ust. 4 RODO i art. 101 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781).

Ochrona danych osobowych

Przepisy RODO określają zasady, na jakich można przetwarzać dane osobowe. Przetwarzanie jest możliwe tylko wtedy, gdy administrator zapewni podstawę prawną dla takiego przetwarzania – katalog podstaw przewidziany został w art. 6 RODO (np. zgoda na realizację obowiązku prawnego spoczywającego na administratorze czy konieczność jego realizacji), przy czym trzeba pamiętać, że o podstawie zadecyduje kontekst przetwarzania. Dodatkowo administrator, który będzie chciał przetwarzać dane wrażliwe (np. dane o zdrowiu), będzie musiał spełnić również wymogi z art. 9 RODO i kolejnych. 

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych (zarówno prawdopodobieństwo jego wystąpienia, jak i wagę), administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Administrator powinien stale monitorować adekwatność dobranych środków, poddawać je przeglądom i aktualizować. Dodatkowo, na gruncie art. 24 RODO, administrator powinien rozważyć wdrożenie odpowiednich polityk ochrony danych. 

 

Ważne!

Od dnia 7 kwietnia 2023 r. (po wejściu w życie nowelizacji Kodeksu pracy) wprowadzenie przez pracodawcę procedury ochrony danych w pracy zdalnej jest jego obowiązkiem.

RODO podczas pracy zdalnej

Na mocy obowiązującego od dnia 7 kwietnia 2023 r. art. 67(26) Kodeksu pracy na potrzeby wykonywania pracy zdalnej pracodawca określa procedury ochrony danych osobowych oraz przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie. Pracownik, który wykonuje pracę zdalną, musi potwierdzić zapoznanie się z tymi procedurami oraz zobowiązać się do ich przestrzegania.

Pracodawca powinien opracować procedury ochrony danych osobowych dla pracowników wykonujących pracę zdalnie nie tylko dlatego, że wymaga tego prawo. Jest to także zabezpieczenie przed niefrasobliwością lub nielojalnością pracowników. Po potwierdzeniu zapoznania się z dokumentacją nie będą oni mogli zasłaniać się niewiedzą, a tym samym – w przypadku naruszenia zasad – będą odpowiadać przed pracodawcą za niestosowanie się do zasad przyjętych w organizacji. 

Stosowne procedury mogą być elementem regulaminu pracy zdalnej, ale biorąc pod uwagę ich specyfikę, najlepiej zrobić to w formie odrębnego dokumentu (np. jako element już funkcjonującej
procedury ochrony danych).  

Naruszenia procedur

Naruszenie procedur ochrony danych i informacji poufnych może zostać uznane za nieprzestrzeganie przez pracownika ustalonej organizacji ani porządku w procesie pracy, a tym samym pracodawca może nałożyć na takiego pracownika karę dyscyplinarną (np. karę upomnienia lub nagany). 

Działanie pracownika może być także uznane za ciężkie naruszenie podstawowych obowiązków pracownika – zgodnie z art. 100 Kodeksu pracy pracownik powinien m.in. zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę, oraz przestrzegać tajemnicy określonej w odrębnych przepisach. Złamanie tych zasad może więc uzasadniać wypowiedzenie umowy o pracę, a nawet zwolnienie dyscyplinarne z pracy (art. 52 § 1 pkt 1 Kodeksu pracy). 

Dobre praktyki

Opracowane procedury powinny uwzględniać format, w jakim przetwarzane są dane, i odpowiednio regulować kwestie pracy z dokumentami papierowymi oraz bezpieczeństwa elektronicznego. 

Do dobrych praktyk w zakresie ochrony informacji, które pracodawca może przyjąć w swojej organizacji, zaliczyć można:

  1. wymóg zorganizowania i zabezpieczenia miejsca pracy zdalnej oraz materiałów i narzędzi w taki sposób, aby osoby postronne nie miały do nich dostępu (w tym domownicy czy goście), m.in. poprzez przechowywanie dokumentów i innych nośników danych w zamkniętej i zabezpieczonej przestrzeni (np. w zamykanej szafie);
  2. wymóg blokowania komputera przy każdorazowym, także krótkotrwałym, opuszczeniu stanowiska pracy; 
  3. zabezpieczenie komputera stosownym oprogramowaniem (firewall, programy antywirusowe) oraz bieżące aktualizowanie takiego oprogramowania;
  4.  polityka haseł wymagająca zabezpieczenia konta hasłem o odpowiednim poziomie skomplikowania oraz zakaz udostępniania kodów dostępu osobom postronnym (w tym domownikom), a także wymóg okresowych zmian hasła;
  5.  wymóg niszczenia niepotrzebnych kopii dokumentów i kasowanie niepotrzebnych plików w sposób uniemożliwiający odtworzenie ich treści, jeśli nie są już niezbędne, lub ich zwracanie do stacjonarnego biura po zakończeniu na nich pracy;
  6. wymóg korzystania wyłącznie z bezpiecznych łączy internetowych (np. przez zapewniony VPN) i zaufanego dostępu do chmury – w szczególności unikanie pracy na otwartych łączach, w kawiarenkach internetowych itp.;
  7. stosowanie technik szyfrowania w wykorzystywanym sprzęcie;
  8. wymóg odpowiedniego zabezpieczenia dokumentów i nośników w czasie podróży, w tym unikanie pracy w miejscach publicznych (np. pociągach);
  9. zakaz instalowania nielegalnych lub niezaakceptowanych przez pracodawcę oprogramowania oraz aplikacji;
  10. określenie, jakie informacje stanowią tajemnicę przedsiębiorstwa;
  11. wskazanie konsekwencji naruszenia procedury.

Oczywiście przyjęte zasady i procedury powinny uwzględniać specyfikę pracy i zakres informacji, do których dostęp ma pracownik. Pracownik działu kadr i płac ma dostęp do innych danych niż np. redaktor w czasopiśmie. Pracownicy pracują też na różnych programach i sprzętach. Dlatego też przyjęte procedury należy dopasować do rodzaju pracy i zasad jej wykonywania. Dodatkowo pracodawca powinien na bieżąco przeglądać przyjęte procedury i – w razie potrzeby – je aktualizować. Pracodawca powinien także reagować w sytuacji, gdy dane zabezpieczenie okaże się niewystarczająco skuteczne – w takiej sytuacji konieczne może okazać się wzmocnienie zabezpieczeń. 

Pracodawca 4.0 - Praca zdalna to nie tylko regulamin

Zapraszamy do obejrzenia webcastu

Obejrzyj webcast

 

Podsumowanie

Praca zdalna stanowi wyzwanie dla pracodawców i może wiązać się z niebezpieczeństwem udostępniania danych i informacji podlegających ochronie. Aby zmniejszyć to ryzyko, konieczne jest opracowanie odpowiednich, dopasowanych do potrzeb pracodawcy i rodzaju pracy procedur oraz przeprowadzenie instruktaży i szkoleń, a także zebranie od pracowników oświadczeń o zapoznaniu się z nimi. Choć wyeliminowanie ryzyka nie będzie możliwe, to pracodawca może je w ten sposób ograniczyć. Dodatkowo funkcjonowanie w organizacji procedur ochrony danych może mieć wpływ na decyzję urzędu w sytuacji, gdyby wszczęte zostało postępowanie wobec pracodawcy. 

Trzeba także pamiętać, że procedury, zwłaszcza w świetle nowych zagrożeń pojawiających się w wyniku szybkiego postępu technologicznego, mogą wymagać aktualizacji. Dlatego też samo ich opracowanie to nie wszystko – trzeba na bieżąco monitorować ich skuteczność i adekwatność do istniejących ryzyk. 

Kontakt

Chcesz dowiedziec sie wiecej? Skontaktuj sie z nami.

Informacje

Autor Alicja Guzy

EY Polska, Kancelaria EY Law, Associate

Alicja zajmuje stanowisko Associate w Zespole Własności Intelektualnej, Technologii i Danych Osobowych w EY Law

  • Facebook
  • LinkedIn
  • X (formerly Twitter)