Pracodawcy i pracownicy mają coraz więcej praktycznych problemów z pracą zdalną, a dokładnie - z zapewnieniem bezpieczeństwa informacji i dokumentów zawierających dane osobowe. – Wolę nawet nie wiedzieć, co urzędnicy, pracownicy banków i innych instytucji czy firm, pracujący na dokumentach, mieli w swoich reklamówkach, torbach czy plecakach, gdy wsiadali do komunikacji miejskiej czy pociągów podmiejskich. Albo co mieli w bagażnikach swoich samochodów, gdy z krótkiego wypadu do zakładu pracy po potrzebne im do pracy dokumenty, jechali na działkę albo wracali do domu – mówi nam nieoficjalnie radca prawny specjalizujący się w prawie pracy. Mówi, że w czasie epidemii COVID-19 zdarzają się przypadki utraty dokumentów czy danych, ale firmy nie chcą się do tego przyznawać publicznie, gdyż mogłoby to narazić ich wizerunek.

Czytaj w LEX: Gdzie należy przechowywać dokumenty: zawiadomienie o przestoju oraz polecenie pracy zdalnej, jeżeli zostały przygotowane imiennie dla pracowników? >

Utraty dokumentów bądź ich zniszczenia obawiają się też sami pracownicy. Zwłaszcza w kontekście ich odpowiedzialności za to i odpowiedzialności ich pracodawcy wobec kontrahentów.

 


Dzieci i dokumenty – problemy pracy zdalnej  

Pracownicy najczęściej skarżą się związkom zawodowym, działającym w ich organizacji, na rozpraszającą atmosferę (np. biegające dzieci), która może mieć wpływ na błędy. Stąd chcą wiedzieć, jakie konsekwencje grożą w takim przypadku pracownikowi. Podobnie - co stanie się, gdy dokumentacja zaginie. - Często wykonane działania w domu generują powstanie wersji papierowych dokumentów, które pracownik raz lub dwa razy w tygodniu odwozi komunikacją miejską do firmy – zwraca uwagę jeden z pracowników. Jak mówi, w firmie nie ma procedury, która  określiłaby, w jaki sposób pracownik wykonujący pracę zdalną ma dostarczyć dokumenty - często zawierające dane wrażliwe - do pracy. Inny zwraca uwagę na fakt, że pracownicy również pracują na dokumentach źródłowych, które w podobny sposób transportują do domu lub miejsca, z którego pracują (np. ogródek działkowy). - Oryginały ulegną zniszczeniu lub zaginięciu. Co w takim wypadku - kto ponosi odpowiedzialność za dokumenty wyniesione za zgodą i wiedzą banku, choć tak naprawdę nie ma na to żadnego pisemnego poświadczenia ani procedur – pyta kolejny.

Sprawdź w LEX: Czy pracownik wykonujący pracę zdalną w związku z pandemią koronawirusa powinien posiadać upoważnienie do przetwarzania danych z wykorzystaniem zdalnego dostępu? >

- Jeśli wynoszenie dokumentów z zakładu pracy odbywa się za wiedzą i przyzwoleniem - choćby milczącym - pracodawcy, to odpowiedzialność za ich utratę spoczywa na pracodawcy. Jeśli natomiast pracownik sam, z własnej woli takie dokumenty wynosi, nie informując o tym wcześniej swego pracodawcy i nie mając jego zgody, to w razie ich utraty czy uszkodzenia, odpowiedzialność poniesie zatrudniony. Wtedy w grę wchodzić może nawet ciężkie naruszenia podstawowych obowiązków pracowniczych – mówi dr hab. Monika Gładoch, prof. UKSW, kierownik Katedry Prawa Pracy, radca prawny. I dodaje: - Dlatego w sytuacji, gdy wykonanie pracy zdalnej wiąże się z koniecznością pracy na dokumentach, zwłaszcza większej ich liczbie, należy te przesyłane skanem zabezpieczyć przynajmniej kodem. 

Sprawdź w LEX: Czy w rejestrze czynności przetwarzania danych należy umieścić czynność, która była do niedawna wykonywana, ale już nie jest (np. wykonywanie pracy zdalnej i zbieranie w związku z tym dodatkowych danych np. prywatny nr telefonu)? >

 

Sprawdź również książkę: MERITUM Ochrona danych osobowych ebook >>


Atak typu ransomware

Fakt, że bezpieczeństwo informacji i danych osobowych w dobie COVID-19 nabiera szczególnego znaczenia, potwierdzają dane Urzędu Ochrony Danych Osobowych.
- W okresie od 1 kwietnia br. do 6 sierpnia br. do prezesa UODO zostało zgłoszonych 2520 naruszeń ochrony danych osobowych, o których mowa w art. 34 RODO. UODO w swoich statystykach nie uwzględnia,  jakiego typu są to naruszenia – poinformował serwis Prawo.pl Adam Sanocki, rzecznik prasowy UODO. Jak twierdzi, zauważalne jest, że w okresie pandemii zwiększyła się liczba naruszeń ochrony danych osobowych związanych z ransomware. Jest to powiązane m.in. z koniecznością przejścia podmiotów na tryb pracy zdalnej, podczas której w sposób nieodpowiedni zabezpieczone zostają połączenia pomiędzy komputerami użytkowników a serwerami, na których znajdują się aktywa/zasoby danego podmiotu.

Wspomniany art. 34 RODO dotyczy zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. Przepis mówi, że:

  1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, admi­nistrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d).
  3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach: a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyf­rowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; b) administrator zastosował następnie środki eliminujące prawdopodo­bieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1; c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przy­padku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
  4. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

Sprawdź w LEX: Czy pracownik może wykonywać pracę zdalną na podstawie porozumienia z pracodawcą i wyrazić zgodę na przetwarzanie swoich danych osobowych np. prywatnego numeru telefonu, IP komputera? >

- Dawniej nierzadko słyszało się o zgubieniu akt sprawy przez sędziego w tramwaju. Teraz nie słychać o podobnych zdarzeniach, ale zgubienie służbowego telefonu komórkowego czy zalanie służbowego laptopa kawą i w efekcie - utrata wszystkich danych, jest problemem. Nie tylko zresztą z powodu kawy – mówi Maciej Gawroński, radca prawny, partner zarządzający w kancelarii Gawroński & Partners. Dlatego, jak podkreśla, tak ważne jest zabezpieczenie nośników informacji, i to zarówno elektronicznych, jak i papierowych, przed dostępem dzieci i współmałżonków, a także osób trzecich (gości), chociażby z uwagi na tajemnicę przedsiębiorstwa i postanowienia ustawy o zwalczaniu nieuczciwej konkurencji.

Zobacz procedurę w LEX: Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >

Zdaniem mec. Macieja Gawrońskiego, to na pracodawcy spoczywa obowiązek zadbania o bezpieczeństwo danych, także osobowych kontrahentów i klientów.

Zobacz procedurę w LEX: Ryczałt za sprzęt używany do pracy zdalnej w dobie pandemii koronawirusa >

– W pierwszej kolejności pracodawca powinien wydać zalecenia, jak chronić informacje, a pracownicy mają obowiązek się do nich zastosować. Odrębną kwestią jest to, czy pracownicy powinni przechowywać dokumenty służbowe w zamykanych pomieszczeniach lub szafach. Jeśli pracodawca uzna, że taka ma być forma ich zabezpieczenia, to powinien ustalić, czy pracownik posiada zamykane biurko – zaznacza mec. Maciej Gawroński. I dodaje: - Alternatywą jest odkładanie dokumentów w miejsca pozostające poza zasięgiem dzieci. Na tzw. najwyższą półkę. 

W ocenie eksperta, trudno byłoby przypisać winę pracownikowi w konkretnym przypadku, np. celowe zalanie sprzętu kawą. Nie można też zwolnić pracownika z tego powodu, choć pracodawca może dochodzić wyrównania szkody do równowartości trzykrotnego wynagrodzenia. Osobnym zagadnieniem oczywiście jest odpowiedzialność materialna za mienie powierzone. – Znane mi są jednak przypadki kilkusettysięcznych kar umownych w agencjach reklamowych za błąd pracownika, który kwalifikowany jest jako naruszenie poufności. A swoją drogą to ciekawe, jak sąd podszedłby do kwestii odpowiedzialności pracodawcy za błąd pracownika powodujący odpowiedzialność wobec kontrahenta – zastanawia się mec. Gawroński.

Zobacz procedurę w LEX: Praca zdalna w dobie pandemii koronawirusa  >

Dlatego radzi, by firmy, zabezpieczając się przed utratą danych osobowych i ewentualnymi naruszeniami, zadbały o zabezpieczenie narzędzi elektronicznych i uświadomienie pracowników np. przed ryzykiem utraty laptopa pozostawionego w bagażniku samochodu. – Najprostsze zabezpieczenie to transfer danych w formie elektronicznej, a nie noszenie papierowych dokumentów. Z kolei pozostawienie służbowego laptopa w  bagażniku jest naruszeniem bezpieczeństwa, bo złodzieje – co nie jest tajemnicą – używają wykrywaczy bluetooth – podkreśla mec. Maciej Gawroński.

Czytaj również: W pracy zdalnej uwaga na dokumentację zawierającą dane osobowe

COVID-19 to sprawdzian wiedzy i kompetencji

- Wpływają do nas dwa rodzaje sygnałów. Część przedsiębiorców twierdzi, że sytuacja związana z COVID-19 nie wpłynęła na organizację ochrony danych osobowych i informacji w firmach. Część natomiast uważa, że w tym względzie nastąpiła katastrofa, związana z brakiem bieżącego nadzoru użytkowników  – mówi serwisowi Prawo.pl Jarosław Feliński, prezes Zarządu Stowarzyszenia Inspektorów Ochrony Danych Osobowych. Jak twierdzi, są pracodawcy (JST, oświata, sądy), którzy są zdania, że absolutnie nie jesteśmy przygotowani do tego, aby gwarantować pracownikom stabilność pracy świadczonej w formie zdalnej, z uwagi na charakter i ilość przetwarzanych danych za pomocą nowoczesnych technologii cyfrowych.

Sprawdź w LEX: Czy w związku z epidemią koronawirusa należy dokonać aktualizacji rejestru czynności przetwarzania danych?  >

Jarosław Feliński zwraca przy tym uwagę, że w przypadku, gdy dojdzie do uszkodzenia lub bezpowrotnej utraty nośnika (np. laptopa czy telefonu), na którym zgromadzone były dane osobowe klientów czy kontrahentów, to pracodawca – zgodnie z Kodeksem pracy – może żądać naprawienia szkody na zasadach przewidzianych stosownymi przepisami. W przypadku natomiast utraconych danych osobowych, należy dokonać rozpoznania sytuacji pod kątem odpowiedzialności za działania niezgodne, możliwe straty oraz szkody w świetle przepisów prawa ochrony danych i tajemnic prawem chronionych.

Czytaj w LEX: Organizacja pracy zdalnej w kontekście technicznego bezpieczeństwa pracy >

W ocenie prezesa SIODO, trudno jest jednoznacznie stwierdzić, czy COVID-19 bardziej czy mniej sprzyja utracie dokumentów. – Nie mamy przypadków, by zmieniano polisy ubezpieczeniowe OC w związku z COVID-19 – podkreśla Jarosław Feliński. I dodaje: - Najważniejsze jest racjonalne i odpowiedzialne zachowanie pracowników jako użytkowników nośników danych.

Czytaj w LEX: Epidemia koronawirusa a bhp w praktyce >

Według prezesa SIODO, najlepiej radzą sobie pracodawcy, którzy mają świadomych pracowników. Zaletą sytuacji jest też to, że ludzie nauczyli się (edukacja ponad wszystko!) tzw. e-kopertowania, czyli zabezpieczania przesyłanych elektronicznie dokumentów (załączników). - COVID-19 to wymagający sprawdzian wiedzy, kompetencji i sprawności społeczeństwa informacyjnego - podsumowuje.

Czytaj w LEX:  Jak skutecznie zwolnić pracownika pracującego zdalnie? >