W związku z panującym czasem pandemii i wdrażaniem środków zapobiegających rozprzestrzenianiu się wirusa COVID-19 wiele osób musiało zmienić tryb pracy na zdalną i wykonywać dotychczasowe zadania poza stałą siedzibą biura (co zresztą było sugestią ustawodawcy – art. 3 tzw. ustawy o koronawirusie). Nie oznacza to jednak zwolnienia z zasad przetwarzania danych osobowych wynikających z rozporządzenia o ochronie danych osobowych (RODO).
Przepisy RODO nie wykluczają pracy zdalnej, jednak zmiana środowiska pracy może nieść za sobą nowe ryzyka i stwarzać więcej zagrożeń niż wykonywanie zadań w biurze. Działanie w trybie tzw. home office wymaga zwrócenia szczególnej uwagi na ochronę danych osobowych i podstawowe zasady wynikające z RODO.
Postanowił o tym przypomnieć Prezes UODO i w jednym z ostatnich komunikatów zwrócił uwagę na podstawowe środki ostrożności wymagane przy przetwarzaniu danych osobowych w trakcie pracy zdalnej. Poniżej kilka najistotniejszych zasad, o których warto pamiętać w trakcie pracy zdalnej:
- urządzenia, na których dochodzi do przetwarzania danych osobowych (a więc nie tylko laptopy, ale również telefony komórkowe czy tablety, a także dyski zewnętrzne) powinny być wykorzystywane jedynie do celów służbowych, a zatem nie należy instalować na nich dodatkowych aplikacji czy oprogramowania wbrew przyjętym procedurom bezpieczeństwa w organizacji,
- dostęp do urządzeń powinien być zabezpieczony przed osobami trzecimi, zwłaszcza domownikami poprzez stosowanie haseł i ich regularną zmianę, a także blokowanie urządzeń przy każdym odejściu od miejsca pracy;
- jeżeli koniecznym jest korzystanie z dokumentów w formie papierowej, należy zadbać, aby zarówno w czasie pracy jaki i po jej zakończeniu osoby nieupoważnione nie miały do nich dostępu,
- korzystając z poczty elektronicznej w pierwszej kolejności należy używać kont służbowych i unikać przesyłania dokumentów z danymi osobowymi na prywatne skrzynki pocztowe czy wprowadzać je do prywatnych urządzeń, a w razie konieczności trzeba szczególnie zadbać o odpowiednie szyfrowanie plików,
- przesyłając wiadomości zaszyfrowane trzeba pamiętać, aby hasło przesyłać osobno, najlepiej innym środkiem komunikacji (nie w osobnym mailu).
Analizując temat pracy zdalnej nie można nie zapomnieć o zasadzie rozliczalności, o której mowa w art. 5 ust. 2 RODO. W tym celu warto rozważyć krótki instruktaż pracy zdalnej (m.in. w oparciu o przedstawione powyżej zasady oraz komunikat Prezesa Urzędu Ochrony Danych Osobowych), a na potwierdzenie powyższego – zebrać dodatkowe oświadczenia od pracowników np. o treści jak w pliku.
Podsumowując – przepisy RODO zezwalają na pracę zdalną, ale w tej kwestii nie czynią wyjątków co do poziomu bezpieczeństwa danych. Praca z domu nie oznacza bowiem, że nie obowiązują reguły bezpieczeństwa wdrożone w danej organizacji, a Administrator wciąż musi umieć wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z zasadami RODO.
