Wedle doniesień, z projektu tarczy 4.0 mają zniknąć przepisy o uproszczonym wypowiadaniu umów, ale mają pozostać te dotyczące pracy zdalnej. Część z nich oceniamy pozytywnie (w szczególności te dotyczące ograniczenia odpowiedzialności pracodawcy za bezpieczeństwo i higienę pracy), część wydaje się być zupełnie niepotrzebna (jak prawo pracodawcy do polecenia ewidencji czynności, do czego pracodawca i bez takiego przepisu i tak jest uprawniony wydając stosowne polecenie służbowe), a jeden z nich budzi nasz zdecydowany niepokój. Chodzi o przepis uprawniający pracownika do używania środków pracy niezapewnionych przez pracodawcę oraz przerzucający na pracownika prawo decydowania, czy dobrane środki zapewniają bezpieczeństwo danych pracodawcy, czy też nie.

 

Sprawdź również książkę: Kodeks pracy ze schematami >>


To pracodawca ma przygotować pracownika do pracy zdalnej

Epidemia pokazała, że nie wszystkie firmy były przygotowane na masowe przejście na pracę zdalną – tak w zakresie dostępności sprzętu, dostosowania oprogramowania, jak i przeszkolenia ludzi.

Sprawdź w LEX: Gdzie należy przechowywać dokumenty: zawiadomienie o przestoju oraz polecenie pracy zdalnej, jeżeli zostały przygotowane imiennie dla pracowników? >

Osoby pracujące z domu, są narażone na szereg zagrożeń, poczynając od najbardziej popularnych ataków phishingowych, a kończąc na fizycznej utracie chronionej informacji.

Agencje takie jak: amerykański NIST, europejska ENISA, czy polski UODO, wyraźnie rekomendują w swoich stanowiskach, aby przy wprowadzaniu pracy zdalnej pracodawca stosował odpowiednie mechanizmy, eliminujące ryzyko wycieku, czy też utraty danych.

Czytaj w LEX: Czy w związku z poleceniem wykonywania pracy zdalnej przez pracowników, wynikającym z panującej epidemii koronawirusa, należy zmieniać wewnętrzne procedury kadrowe w tym zakresie? >

  


Zadaniem pracodawcy nie jest wyłącznie dostarczenie pracownikowi odpowiedniego sprzętu, ale też przygotowanie swoich pracowników do takiej pracy.

Pracodawca powinien w szczególności:

  1. wprowadzić zasady korzystania z oprogramowania i sprzętu (tego dostarczonego przez pracodawcę, jak i prywatnego do celów służbowych),
  2. nauczyć pracowników jak mają obchodzić się z danymi,
  3. wdrożyć pracowników w plan kontynuacji działania biznesu (BCP), 
  4. zapewnić kontakt z właściwym zespołem reagowania na incydenty oraz 
  5. wprowadzić zasady postępowania w razie naruszenia bezpieczeństwa danych.

Czytaj w LEX: Jak zadbać o zdrowie psychiczne pracowników - budowanie odporności psychicznej w kryzysie >

Przyjęte rozwiązania powinny zostać utrwalone, np. w regulaminie pracy, czy też procedurze pracy zdalnej, a pracownicy powinni zostać poinformowani nie tylko o odpowiedzialności za naruszenie procedur, ale przede wszystkim o tym, jak unikać zagrożeń.

 

Małgorzata Iżycka-Rączka, Krzysztof Wojciech Rączka

Sprawdź  
POLECAMY

O zabezpieczeniach decyduje pracodawca

Decyzja o poziomie zabezpieczeń spoczywa tylko i wyłącznie na pracodawcy. Uprawnienie w ustawie pracowników do decydowania o wyjątkach od zasad bezpieczeństwa (w tym uprawnienie go do decydowania co jest wystarczającym zabezpieczeniem danych) jest drogą donikąd

Czytaj w LEX: Praca zdalna a ochrona danych osobowych >

 


Funkcjonowanie w Tarczy 4.0 przepisu o proponowanej przez ustawodawcę treści, może doprowadzić do kuriozalnej sytuacji, w której pracownik będzie mógł jawnie ignorować w wewnętrzne regulacje pracodawcy dotyczące  bezpieczeństwa informatycznego pracodawcy i korzystać z prywatnych narzędzi, bo uzna, że to bezpieczne (pomimo, że nie ma kompetencji do zastępowania w takim uznaniu pracodawcy). Gdy otrzyma z tego powodu wypowiedzenie, będzie mógł twierdzić, że przepisy ustawy są dla niego bardziej korzystne i że ze względu na to (ponieważ ustawa pozwalała mu korzystać ze sprzętu) decyzja pracodawcy - nawet gdy wynika bezpośrednio z wprowadzonych u pracodawcy procedur bezpieczeństwa informacji - jest wadliwa.

Dlatego wskazany przepis należy ocenić bardzo krytycznie jako tworzący wyłom w tak pożądanym tworzeniu zasad bezpieczeństwa informacji w zakładach pracy.

 

Michał Kibil, adwokat, partner zarządzający w kancelarii Kibil i Wspólnicy
Łukasz Masztalerz, aplikant adwokacki z kancelarii IMP

Czytaj również: Tarcza 3 uchwalona, ale znowu bez e-komunikacji z sądem