Kto odpowiada za ochronę danych osobowych, gdy pracujemy zdalnie?

1 sierpnia 2020, 10:00
Andrzej Fortuna

Walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe, a więc pracodawcy z obowiązku zapewnienia należytej ochrony tychże danych. Dzieje się tak, choć pracownicy pracują u siebie w domu. Należy jednak wyraźnie zaznaczyć, że reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków.



- Pracuję w księgowości i mam do czynienia z dokumentami, które zawierają także dane osobowe. Na czas epidemii pracujemy zdalnie. Część dokumentów mam u siebie w domu, mam też służbowy komputer. Przeszłam w pracy szkolenia odnośnie ochrony danych osobowych. Jednak czy te wszystkie obostrzenia dotyczące przechowywania dokumentów, danych w komputerze powinny być spełnione także w domu, który na chwilę stał się biurem? Kto ponosi odpowiedzialność za ewentualny wyciek danych - ja czy jednak pracodawca? - pyta czytelniczka.   
 

Porady prawne w serwisie Praca



Na pytanie odpowiada Andrzej Fortuna - radca prawny z kancelarii Radcy Prawnego Fortuna.

Kwestia ochrony danych osobowych w czasie pracy zdalnej realizowanej w związku z pandemią koronawirusa była przedmiotem rozważań zarówno Europejskiej Rady Ochrony Danych, jak i Urzędu Ochrony Danych Osobowych. Jednoznacznie potwierdzono, że walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe (a więc pracodawcy) z obowiązku zapewnienia należytej ochrony tychże danych.

W czasie pracy zdalnej aktualne pozostają zatem wszelkie zasady przetwarzania danych osobowych. Dane osobowe winny więc być przetwarzane w konkretnych i wyraźnych celach, w zakresie niezbędnym do ich osiągnięcia oraz przez czas niezbędny dla realizacji tych celów. Przede wszystkim jednak - dane powinny być odpowiednio zabezpieczone przed ich ujawnieniem osobom nieupoważnionym.

Odpowiedzialność za te dane i ich należyte zabezpieczenie nadal ponosi pracodawca - najczęściej jako administrator danych osobowych czy też procesor przetwarzający dane osobowe. Fakt, że praca jest wykonywana zdalnie - nie przerzuca automatycznie ryzyka na pracownika, wykonującego czynności na danych osobowych w ramach pracy świadczonej poza zakładem pracy.

Pracodawca winien przede wszystkim zweryfikować obowiązujące u niego procedury, mające na celu ochronę danych osobowych - czy w związku ze zmianą formuły wykonywania pracy nie należy ich zmodyfikować, dopasowując do nowej rzeczywistości. Pracodawca winien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności.

W tym kontekście należy zwrócić uwagę na art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Zgodnie z tym przepisem narzędzia i materiały potrzebne do wykonywania pracy zdalnej oraz obsługę logistyczną pracy zdalnej zapewnia pracodawca. Pracownik może korzystać z narzędzi lub materiałów niezapewnionych przez pracodawcę - ale tylko pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Co więcej przywołana regulacja jednoznacznie stanowi, że wykonywanie pracy zdalnej może zostać polecone, jeżeli pracownik ma umiejętności i możliwości techniczne oraz lokalowe do wykonywania takiej pracy i pozwala na to rodzaj pracy.

Tym samym pracodawca decydując się na polecenie pracownikowi wykonywania pracy zdalnej- powinien po pierwsze dokonać analizy, czy - uwzględniając warunki leżące po stronie pracownika - jest to możliwe i bezpieczne, po drugie - winien wprowadzić pracownika w odpowiednie procedury zabezpieczania danych, jak również wyposażyć pracownika w niezbędne narzędzia lub zbadać, jakie możliwości w tym zakresie posiada pracownik - w tym w szczególności możliwości co do przechowywania i zapewnienia bezpieczeństwa danych osobowych i innych informacji.

Przepisy tej treści wprowadzone zostały, co prawda, dopiero na koniec czerwca br. (a więc gdy powoli znoszono, spowodowane epidemią, ograniczenia w życiu społecznym i gospodarczym) - początkowo przepis mówił jedynie ogólnie o prawie polecenia pracownikom wykonywania pracy zdalnej. Nie zmienia to jednak faktu, że wcześniej także pracodawca ponosił na ogólnych zasadach odpowiedzialność za zorganizowanie pracownikowi właściwych warunków pracy.

Do obowiązków pracodawcy - niezależnie od tego, czy chodzi o pracę zdalną, czy tez na miejscu - należy również zobowiązanie pracowników do zgłaszania każdego incydentu związanego z naruszeniem ochrony danych, ponieważ administrator ma obowiązek niezwłocznego zgłoszenia naruszenia organowi nadzorczemu.

Na szczególną uwagę zasługuje także kwestia wykorzystywania dokumentacji papierowej podczas pracy zdalnej. W tym zakresie wypowiedział się Urząd Ochrony Danych Osobowych wskazując, że korzystanie z dokumentacji papierowej - a w szczególności praca na oryginałach dokumentów (a nie ich kopiach, w tym kopiach zanonimizowanych)- powinna odbywać się tylko w wyjątkowych sytuacjach, gdy pracodawca nie udostępnia i nie może udostępnić dokumentów w sposób elektroniczny. Wynoszenie dokumentacji poza zakład pracy i przechowywanie jej przez pracownika może być dokonywane jedynie za zgodą pracodawcy i w określony przez niego sposób. Procedury stworzone przez pracodawcę w tym zakresie w szczególności winny określać m.in. sposób ewidencjonowania wynoszonych dokumentów, sposób ich przenoszenia i przechowywania w bezpieczny sposób (zamknięte aktówki, szafy, itp.), ale także i sposób ewentualnego niszczenia danych.

Obowiązują tutaj także ogólne zasady przewidziane w art. 3 ww. ustawy  o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 - a więc praca zdalna z wykorzystaniem papierowych dokumentów może być polecona, jeśli pracownik posiada odpowiednie możliwości, w tym np. lokalowe celem zapewnienia bezpieczeństwa danych, a pracodawca zapewnił pracownikowi niezbędne narzędzia lub narzędzia posiadane przez pracownika umożliwiają pełne wywiązanie się z obowiązków należytej ochrony danych.

Niemniej należy także wyraźnie zaznaczyć, że powyższe reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków. Przede wszystkim bowiem pracownik winien bezwzględnie przestrzegać procedur ustalonych przez pracodawcę - procedury te najczęściej odnoszą się do szyfrowania danych czy kontroli dostępu do sprzętu, obowiązku korzystania jedynie z narzędzi służbowych, ewentualnie zatwierdzonych przez pracodawcę, obowiązku zorganizowania stanowiska pracy w sposób uniemożliwiający dostęp osób trzecich do przetwarzanych informacji, zakazu instalowania niepewnych programów czy aplikacji na sprzęcie używanym do przetwarzania danych, właściwa archiwizacja lub usuwanie zapisu niepotrzebnych danych. Nieprzestrzeganie tychże obowiązków i procedur może skutkować odpowiedzialnością pracownika względem pracodawcy - czy to odszkodowawczą, czy to dyscyplinarną, czy też wiązać się z podjęciem przez pracodawcę decyzji o rozwiązaniu z pracownikiem umowy o pracą. Oczywiście, zastosowanie tychże sankcji musiałoby być poprzedzone analizą konkretnych okoliczności danej sprawy. W skrajnych sytuacjach - w szczególności związanych z celowym wykorzystaniem niejawnych informacji - nie jest również wykluczona odpowiedzialność karna pracownika.

Podsumowując - epidemia absolutnie nie zwalnia z obowiązku przestrzegania zasad związanych z zapewnieniem należytej ochrony danych osobowych, a wręcz niekiedy wymusza konieczność stosowania dodatkowych środków ostrożności i stworzenia dodatkowych procedur. To pracodawca odpowiada za stworzenie właściwych warunków do należytego zabezpieczenia danych i ponosi odpowiedzialność za nieprawidłowości w tym zakresie. Natomiast pracownik zasadniczo odpowiada względem pracodawcy - jeśli pomimo stworzenia mu odpowiednich warunków i określenia procedur - nie dopełnił obowiązków w zakresie ochrony danych.
autor Andrzej Fortuna radca prawny z kancelarii Radcy Prawnego Fortuna