Nakaz pracy zdalnej w urzędach, mimo że decyduje o tym wójt, może oznaczać znaczny wzrost liczby urzędników pracujących z domu. Powoduje to pytania o bezpieczeństwo danych osobowych, których skala w samorządach jest większa niż na przykład w firmach. Problemem nie jest sama organizacja pracy zdalnej, ale bezpiecznej sieci, systemów i działania na dokumentach papierowych. Obowiązujące procedury nie przystają do potrzeb pracy zdalnej w pandemii.

Czytaj w LEX: Praca zdalna w administracji samorządowej w czasie epidemii >

Wiele procesów przetwarzania danych  

Dr Marlena Sakowska-Baryła, radca prawny i partner w  Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp. p. podkreśla, że skala procesów przetwarzania danych osobowych, którymi posługują się w pracy urzędnicy w jednostkach samorządowych jest dużo większa niż w innych podmiotach. – Nawet mały samorząd ma do czynienia z o wiele większą ilością danych i procesów przetwarzania, niż nawet duża firma produkcyjna – mówi.

Sprawdź w LEX: Czy pracownik może świadczyć pracę zdalną w innym miejscu niż miejsce zamieszkania? >

Piotr Sojka, inspektor ochrony danych (IOD) w Urzędzie Miasta Gliwice, członek Zespołu Ochrony Danych Osobowych przy Śląskim Związku Gmin i Powiatów, podkreśla, że przejście na pracę zdalną to spore wyzwanie dla administracji – od wyodrębnienia stanowisk, na których praca może być wykonywana zdalnie, określenia możliwości technicznych i lokalowych, po oszacowanie ryzyk związanych z przetwarzaniem danych, ze szczególnym uwzględnieniem danych osobowych.

Sprawdź w LEX: Czy organ prowadzący szkołę może wydać zarządzenie o pracy zdalnej dla dyrektora, który objęty jest kwarantanną? >

Ochrona danych osobowych w warunkach pracy zdalnej

Marlena Sakowska-Baryła

Sprawdź  

Problem związany z postępowaniami

Postępowania administracyjne, mimo postępującej cyfryzacji, toczą się jednak wciąż na papierze i nie da się ich prowadzić z dowolnego miejsca. Pojawia się tu problem związany z dokumentacją. Tym bardziej że dane, jakimi dysponują samorządy, to w głównej mierze dane mieszkańców, często - dane wrażliwe. – Pojawia się pytanie o system informatyczny, na czyim sprzęcie i czyjej infrastrukturze te dane są przetwarzane – mówi dr Sakowska-Baryła.

Duża liczba urzędników i zadań powoduje, że urzędy często są nieprzygotowane logistycznie i nie mają zasobów, żeby odpowiednio zadbać o bezpieczeństwo danych przetwarzanych zdalnie. Problem urzędnikom sprawia to, jak zabezpieczyć pracę zdalną od strony sprzętu, sieci czy przygotowania stanowisk pracy, ale także pod względem oprogramowania.

Działanie pracodawcy - administratora danych, powinno być nakierowane na wypełnienie wszystkich obowiązków tak, aby przetwarzanie nie naruszało praw, wolności i interesów osób, których dane są przetwarzane. Piotr Sojka podkreśla, że wszystkie operacje na danych muszą być wyraźnie uzasadnione i powinny przebiegać w ścisłym reżimie zakresu, formy i czasu trwania przetwarzania danych osobowych. - W przypadku wykonywania pracy poza urzędem, ryzyko dodatkowo rośnie ze względu na nowe zagrożenia, z którymi w budynku urzędu nie trzeba się było mierzyć - dodaje.

Czytaj w LEX: Zmiany w organizacji pracy w urzędach gmin w związku z wprowadzeniem stanu epidemii >

Jego zdaniem praca na dokumentach papierowych poza tzw. obszarem przetwarzania, to również duże wyzwanie. - Zanim będzie decyzja o skierowaniu pracownika do pracy zdalnej, trzeba przewidzieć konieczność pracy na dokumencie papierowym – mówi. Jak dodaje, godząc się na wynoszenie dokumentu poza urząd, należy wziąć pod uwagę jego "powrót", a tu może wchodzić w grę jeszcze odkażanie, kwarantanna dokumentów.

Praca na prywatnym sprzęcie

Jak mówi Marek Cebula, burmistrz Krosna Odrzańskiego, prezes Zrzeszenia Gmin Województwa Lubuskiego, do danych osobowych nie mogą mieć dostępu członkowie rodzin urzędników. - Nie możemy doprowadzić do sytuacji, kiedy urzędnik, przez dostęp do sieci zdalnej, mógłby spowodować wyciek informacji – podkreśla. I dodaje, że urzędnicy są wyczuleni na ochronę danych również w urzędach, stosując hasła dostępu, blokując porty USB, czy np. stawiając komputery tak, żeby nikt z zewnątrz nie widział, co znajduje się na ich monitorach.

Sprawdź w LEX: Czy w przypadku pracy zdalnej związanej ze zwalczaniem COVID-19 trzeba wypłacać ekwiwalent za Internet, prąd lub sprzęt pracownika? >

Jeśli jednak administrator uzna, że nie ma innego wyjścia lub wynik szacowania ryzyka mu na to pozwala – może zgodzić się na wykonywanie pracy na sprzęcie prywatnym. - Jako Zespół nie rekomendujemy użycia prywatnych urządzeń do wykonywania pracy zdalnej, jednak są  podstawowe wymagania, aby zapewnić spełnienie tych najbardziej podstawowych zasad bezpieczeństwa – mówi Piotr Sojka.

Niestety, bardzo często samorządy po prostu nie mają pieniędzy, żeby zapewnić urzędnikom sprzęt komputerowy, który mogliby zabrać do domu. Niejednokrotnie ten używany w urzędach stacjonarnie, jest przestarzały i nie nadaje się do przenoszenia. - Samorządy często pracują na starym sprzęcie. Przez oszczędności, często w urzędach cyfryzacja była odsuwana w czasie - podkreśla dr Sakowska-Baryła.

Czytaj w LEX: Okiem ID-a: ochrona danych osobowych przy pracy zdalnej  >

W UE w większości sprzęt ma zapewnić pracodawca

Dr Wojciech Wiewiórowski, Europejski Inspektor Ochrony Danych, mówi nam, że w większości krajów Unii Europejskiej pracodawca jest tym, który powinien zapewnić sprzęt do pracy pracownikom. - Tym niemniej uważam, że pracodawca – a w szczególności urząd administracji publicznej – który nie jest przygotowany do pracy zdalnej przy użyciu sprzętu należącego do kogoś innego, prawdopodobnie nie zauważył, że żyjemy w XXI wieku i to już w jego trzeciej dekadzie - mówi.

Jak podkreśla, nawet jeśli nie dopuszczamy wykonywania zadań służbowych na sprzęcie nienależącym do pracodawcy, powinniśmy to wyraźnie uregulować w ramach urzędu. - W większości przypadków korzystanie z własnego sprzętu będzie zapewne wskazane, a niekiedy niezbędne - dodaje.

Kłopot w małych urzędach

Większy problem z pracą zdalną w kontekście ochrony danych będą zapewne miały małe urzędy. W dużych z reguły jest łatwiej zastąpić jednego urzędnika innym. W mniejszych urzędach częściej jedna osoba wykonuje wiele czynności różnych tematycznie, w osobnych systemach, programach, zasobach danych.

Marek Cebula podkreśla, że praca zdalna w samorządach jest możliwa w mocno ograniczonym zakresie. Wśród powodów jest ochrona danych osobowych, ponieważ pracownicy muszą mieć dostęp do baz danych, których nie da się „wyprowadzić na zewnątrz”. – To dotyczy m.in. systemów do obsługi spraw obywatelskich, ośrodków pomocy społecznej, urzędów stanu cywilnego, obsługi przedsiębiorców czy Centralnej Ewidencji Pojazdów i Kierowców w zakresie pracy straży miejskiej – wskazuje.

Jak zadbać o dane?

Największy problem leży w organizacji i świadomości pracowników – ważne więc, by zasady dotyczące ochrony danych osobowych były pracownikom właściwie komunikowane. Jeśli nie są - nie działają, bo pracownicy nie znają procedur.

Tym bardziej że system ochrony danych jest stworzony na czas pracy stacjonarnej i sposobu przetwarzania danych, który występuje w związku z ich tworzeniem podczas pracy w urzędzie. - Zasady na czas stacjonarnej pracy są ustalone odgórnie, a wśród nich ta, że danych i dokumentów nie wynoszą poza obszar przetwarzania, a w przypadku pracy zdalnej ta zasada nie działa - mówi dr Sakowska-Baryła.

Zobacz też: Szykuje się zawieszenie biegu spraw administracyjnych

Co można, a czego nie – i czy się o tym wie?

Eksperci podkreślają, że ochrona danych odnosi się do zabezpieczeń informatycznych, ale ogromne znaczenie ma świadomość pracowników, co mogą, a czego nie mogą robić. A także to, czy pracując w urzędzie, urzędnicy pracowali w systemach, czy wyręczali się innymi osobami, np. gminnym informatykiem.

Jak wynika z naszych rozmów zdarzają się samorządowcy, którzy przy obsłudze maila korzystają... z pomocy sekretarki. Czy to spowodowane jest brakiem czasu czy…  maila? Z rozmów z informatykami gminnymi jeszcze kilka lat temu wynikało, że wielu urzędników nie potrafi bez ich pomocy pracować przy komputerze. To samo dotyczy podpisu elektronicznego, z którego np. osoba decyzyjna nigdy nie korzystała czy urzędów, które przeszły na elektroniczne zarządzanie dokumentacją, a w systemie EZD nie pracują osoby, które są do tego uprawnione, a te „bardziej świadome cyfrowo”. Oby te czasy odeszły w niepamięć, ale co jeśli taka osoba miałaby być skierowana do pracy zdalnej?

Zobacz też: Powiatom brakuje sprzętu do rejestracji pojazdów
 

Procedury powinny zawierać rozwiązania praktyczne

Jak zauważa dr Marlena Sakowska-Baryła, procedury wielokrotnie są zupełnie nieprzystające do rzeczywistości, bo np. są przekopiowaniem RODO bez przełożenia na praktykę. - Są często tak ogólne, że pracownicy nie wiedzą, jak je zastosować – podkreśla. Często polecenia pracy zdalnej w samorządzie są opisane krótko, bez szczegółów, jak „z zachowaniem dotychczasowych procedur”, wskazaniem, że nie wolno wynosić danych poza urząd i należy pracować zgodnie z RODO.

Zobacz procedurę w LEX: Zasady wykonywania pracy zdalnej w okresie stanu epidemii >

Piotr Sojka dodaje, że IOD powinien doradzać, szkolić, wspomagać administratora, monitorować stan i jakość realizacji przepisów dotyczących ochrony prywatności. - Obowiązkiem IOD nie jest sprawdzanie procedur tylko monitorowanie czy przepisy RODO są stosowane - mówi. Już w wakacje Zespół ds. Ochrony Danych Osobowych działający przy Śląskim Związku Gmin i Powiatów wypracował dokument zawierający analizę problemu wykonywania pracy zdalnie w urzędach oraz rekomendacje w tym zakresie, który dostępny jest TUTAJ. 

Zobacz też: Praca zdalna w samorządach, czyli wyważanie otwartych drzwi