• Kino
  • Mapa
  • Ogłoszenia
  • Forum
  • Komunikacja
  • Raport
Skopiowano

Kto odpowiada za ochronę danych osobowych, gdy pracujemy zdalnie?

Andrzej Fortuna
1 sierpnia 2020 (artykuł sprzed 2 lat) 
Opinie (26)
Kto ponosi odpowiedzialność za ewentualny wyciek danych gdy pracujemy zdalnie? Kto ponosi odpowiedzialność za ewentualny wyciek danych gdy pracujemy zdalnie?

Walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe, a więc pracodawcy z obowiązku zapewnienia należytej ochrony tychże danych. Dzieje się tak, choć pracownicy pracują u siebie w domu. Należy jednak wyraźnie zaznaczyć, że reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków.



- Pracuję w księgowości i mam do czynienia z dokumentami, które zawierają także dane osobowe. Na czas epidemii pracujemy zdalnie. Część dokumentów mam u siebie w domu, mam też służbowy komputer. Przeszłam w pracy szkolenia odnośnie ochrony danych osobowych. Jednak czy te wszystkie obostrzenia dotyczące przechowywania dokumentów, danych w komputerze powinny być spełnione także w domu, który na chwilę stał się biurem? Kto ponosi odpowiedzialność za ewentualny wyciek danych - ja czy jednak pracodawca? - pyta czytelniczka.   
 

Porady prawne w serwisie Praca



Na pytanie odpowiada Andrzej Fortuna - radca prawny z kancelarii Radcy Prawnego Fortuna.

Andrzej Fortuna, radca prawny Andrzej Fortuna, radca prawny
Kwestia ochrony danych osobowych w czasie pracy zdalnej realizowanej w związku z pandemią koronawirusa była przedmiotem rozważań zarówno Europejskiej Rady Ochrony Danych, jak i Urzędu Ochrony Danych Osobowych. Jednoznacznie potwierdzono, że walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe (a więc pracodawcy) z obowiązku zapewnienia należytej ochrony tychże danych.

W czasie pracy zdalnej aktualne pozostają zatem wszelkie zasady przetwarzania danych osobowych. Dane osobowe winny więc być przetwarzane w konkretnych i wyraźnych celach, w zakresie niezbędnym do ich osiągnięcia oraz przez czas niezbędny dla realizacji tych celów. Przede wszystkim jednak - dane powinny być odpowiednio zabezpieczone przed ich ujawnieniem osobom nieupoważnionym.

Odpowiedzialność za te dane i ich należyte zabezpieczenie nadal ponosi pracodawca - najczęściej jako administrator danych osobowych czy też procesor przetwarzający dane osobowe. Fakt, że praca jest wykonywana zdalnie - nie przerzuca automatycznie ryzyka na pracownika, wykonującego czynności na danych osobowych w ramach pracy świadczonej poza zakładem pracy.

Pracodawca winien przede wszystkim zweryfikować obowiązujące u niego procedury, mające na celu ochronę danych osobowych - czy w związku ze zmianą formuły wykonywania pracy nie należy ich zmodyfikować, dopasowując do nowej rzeczywistości. Pracodawca winien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności.

W tym kontekście należy zwrócić uwagę na art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Zgodnie z tym przepisem narzędzia i materiały potrzebne do wykonywania pracy zdalnej oraz obsługę logistyczną pracy zdalnej zapewnia pracodawca. Pracownik może korzystać z narzędzi lub materiałów niezapewnionych przez pracodawcę - ale tylko pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Co więcej przywołana regulacja jednoznacznie stanowi, że wykonywanie pracy zdalnej może zostać polecone, jeżeli pracownik ma umiejętności i możliwości techniczne oraz lokalowe do wykonywania takiej pracy i pozwala na to rodzaj pracy.

5 pomysłów na pracę zdalną w Trójmieście. Praca zdalna - oferty, stawki, wymagania



Tym samym pracodawca decydując się na polecenie pracownikowi wykonywania pracy zdalnej- powinien po pierwsze dokonać analizy, czy - uwzględniając warunki leżące po stronie pracownika - jest to możliwe i bezpieczne, po drugie - winien wprowadzić pracownika w odpowiednie procedury zabezpieczania danych, jak również wyposażyć pracownika w niezbędne narzędzia lub zbadać, jakie możliwości w tym zakresie posiada pracownik - w tym w szczególności możliwości co do przechowywania i zapewnienia bezpieczeństwa danych osobowych i innych informacji.

Przepisy tej treści wprowadzone zostały, co prawda, dopiero na koniec czerwca br. (a więc gdy powoli znoszono, spowodowane epidemią, ograniczenia w życiu społecznym i gospodarczym) - początkowo przepis mówił jedynie ogólnie o prawie polecenia pracownikom wykonywania pracy zdalnej. Nie zmienia to jednak faktu, że wcześniej także pracodawca ponosił na ogólnych zasadach odpowiedzialność za zorganizowanie pracownikowi właściwych warunków pracy.

Do obowiązków pracodawcy - niezależnie od tego, czy chodzi o pracę zdalną, czy tez na miejscu - należy również zobowiązanie pracowników do zgłaszania każdego incydentu związanego z naruszeniem ochrony danych, ponieważ administrator ma obowiązek niezwłocznego zgłoszenia naruszenia organowi nadzorczemu.

Na szczególną uwagę zasługuje także kwestia wykorzystywania dokumentacji papierowej podczas pracy zdalnej. W tym zakresie wypowiedział się Urząd Ochrony Danych Osobowych wskazując, że korzystanie z dokumentacji papierowej - a w szczególności praca na oryginałach dokumentów (a nie ich kopiach, w tym kopiach zanonimizowanych)- powinna odbywać się tylko w wyjątkowych sytuacjach, gdy pracodawca nie udostępnia i nie może udostępnić dokumentów w sposób elektroniczny. Wynoszenie dokumentacji poza zakład pracy i przechowywanie jej przez pracownika może być dokonywane jedynie za zgodą pracodawcy i w określony przez niego sposób. Procedury stworzone przez pracodawcę w tym zakresie w szczególności winny określać m.in. sposób ewidencjonowania wynoszonych dokumentów, sposób ich przenoszenia i przechowywania w bezpieczny sposób (zamknięte aktówki, szafy, itp.), ale także i sposób ewentualnego niszczenia danych.

Obowiązują tutaj także ogólne zasady przewidziane w art. 3 ww. ustawy  o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 - a więc praca zdalna z wykorzystaniem papierowych dokumentów może być polecona, jeśli pracownik posiada odpowiednie możliwości, w tym np. lokalowe celem zapewnienia bezpieczeństwa danych, a pracodawca zapewnił pracownikowi niezbędne narzędzia lub narzędzia posiadane przez pracownika umożliwiają pełne wywiązanie się z obowiązków należytej ochrony danych.

Niemniej należy także wyraźnie zaznaczyć, że powyższe reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków. Przede wszystkim bowiem pracownik winien bezwzględnie przestrzegać procedur ustalonych przez pracodawcę - procedury te najczęściej odnoszą się do szyfrowania danych czy kontroli dostępu do sprzętu, obowiązku korzystania jedynie z narzędzi służbowych, ewentualnie zatwierdzonych przez pracodawcę, obowiązku zorganizowania stanowiska pracy w sposób uniemożliwiający dostęp osób trzecich do przetwarzanych informacji, zakazu instalowania niepewnych programów czy aplikacji na sprzęcie używanym do przetwarzania danych, właściwa archiwizacja lub usuwanie zapisu niepotrzebnych danych. Nieprzestrzeganie tychże obowiązków i procedur może skutkować odpowiedzialnością pracownika względem pracodawcy - czy to odszkodowawczą, czy to dyscyplinarną, czy też wiązać się z podjęciem przez pracodawcę decyzji o rozwiązaniu z pracownikiem umowy o pracą. Oczywiście, zastosowanie tychże sankcji musiałoby być poprzedzone analizą konkretnych okoliczności danej sprawy. W skrajnych sytuacjach - w szczególności związanych z celowym wykorzystaniem niejawnych informacji - nie jest również wykluczona odpowiedzialność karna pracownika.

Podsumowując - epidemia absolutnie nie zwalnia z obowiązku przestrzegania zasad związanych z zapewnieniem należytej ochrony danych osobowych, a wręcz niekiedy wymusza konieczność stosowania dodatkowych środków ostrożności i stworzenia dodatkowych procedur. To pracodawca odpowiada za stworzenie właściwych warunków do należytego zabezpieczenia danych i ponosi odpowiedzialność za nieprawidłowości w tym zakresie. Natomiast pracownik zasadniczo odpowiada względem pracodawcy - jeśli pomimo stworzenia mu odpowiednich warunków i określenia procedur - nie dopełnił obowiązków w zakresie ochrony danych.

O autorze

autor

Andrzej Fortuna

radca prawny z kancelarii Radcy Prawnego Fortuna

Miejsca

Opinie (26) 5 zablokowanych

  • (1)

    Kto odpowiada i w jaki sposób zabezpiecza i archiwizuje dane dotyczące dzieci w przedszkolu np. mierzona przynajmniej dwukrotnie temperatura ciała. Te dane są zapisywane. Co się później z nimi dzieje? Są to dane dotyczące stanu zdrowia z imieniem i nazwiskiem.

    • 10 5

    • a w śmietniku ile jest danych

      • 6 0

  • (1)

    Jak to działa w rozumieniu typowego polactwa? ze**any Pan Janusz- żeby pozyskać jakieś umowy na pożądany sprzęt to podałby nawet numer buta wszystkich babci do 3 pokoleń wstecz. Tylko potem jak przychodzi do wyjaśnień w zw. z długiem i zobowiązaniami to nagle zasłania się RODO i nagle staje się miłośnikiem ochrony swoich danych osobowych:)

    • 12 1

    • i się wyjaśniło

      • 1 0

  • RODO hahahaha (2)

    jak pracowałem w banku na m to każdy miał na pendrive w kieszeni dane kilkudziesięciu tysięcy klientów, bo musiał dzwonić i oferować kredyty, karty i pseudo ubezpieczenia po godzinach w domu

    A dane takie że nawet klient tyle o sobie nie wiedział

    • 19 1

    • Nojo

      • 0 0

    • To ciekawe bo nawet nie powinno być złącz USB w komputerach.

      • 1 2

  • (1)

    a Poczta Polska oddała nasze dane osobowe ,czy będzie nimi kupczyć,jak co niektóre firmy

    • 14 4

    • będzie kupczyć, kupczyć niezbornie, niezbornie sakramencko.

      Motyla noga

      • 0 1

  • Problem na poziomie mówienia do pustych krzeseł.

    Sztuka dla sztuki. Dane osobowe są przedmiotem handlu, weźmy na przykład firmę Axciom, która w Gdańsku ma swoją siedzibę, a zajmuje się profesjonalnie...spamowanien i handlem danymi osobowymi.

    • 13 1

  • Smrodo

    Rodo zamiast pomagać tylko utrudnia życie..A Ci co potrzebują nasze dane i tak je zdobywają..Sztuczny przepis

    • 20 3

  • Surowość prawa jest łagodzona wybiórczością jego stosowania.

    "Pracownik może korzystać z narzędzi lub materiałów niezapewnionych przez pracodawcę - ale tylko pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę."

    To który nauczyciel idzie siedzieć?

    • 9 1

  • ponieważ obowiązuje Rodo

    ze żonom i dzieciakami nadaliśmy sobie kryptonimy operacyjne w postaci liczb.
    Zmieniamy te liczby raz na miesiąc, w nieparzysty czwartek.
    Życie na poziomie.

    • 20 0

  • Nie liczcie na żadną ochronę! To ciepłe stołki dla śmierdzieli, którzy n i g d y i w niczym nie pomogą! (3)

    Przekonałam się na własnej skórze: dotąd będą kręcić, manewrować i lawirować, aż wmówią ci, że nie masz racji, a twoje zastrzeżenia (oczywiste!) to ...nie dane wrażliwe!

    • 8 0

    • bierzesz magnez przed snem?

      dlaczego nic nie pamiętasz?

      • 1 1

    • Skarga (1)

      Proponuję złożyć skargę do Urzędu Ochrony Danych Osobowych.

      • 1 0

      • Haha hahaha dobre

        • 1 0

  • Czemu zniknął (1)

    mój komentarz? Przecież nie był "hejterski"... Spodziewałabym się raczej małego "dziękuję" za zwrócenie uwagi na błąd językowy, który - jak widzę - już poprawiono. Panie Andrzeju, czy to eleganckie postępowanie?

    • 8 0

    • To nie autor poprawia, tylko ktoś inny. Fakt, kiedyś był komunikat "dziękujemy, błąd został poprawiony. Teraz tylko poprawiają i kasują uwagę.

      • 0 0

1

alert Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.