Jak dowiedział się serwis Prawo.pl, do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła pierwsza skarga dotycząca przetwarzania danych osobowych podczas pracy zdalnej. Jest ona związana z przetwarzaniem danych bez odpowiednich zabezpieczeń w domu na prywatnym komputerze pracownic administratora. Sprawa ta jest na etapie wezwania wnioskodawcy do uzupełnienia braków formalnych wniesionego pisma.
- Od początku wskazywaliśmy na potrzebę zwracania bacznej uwagi na bezpieczeństwo danych przy pracy zdalnej, w tym na wpływ pracy poza biurem na ochronę danych osobowych, i to nie tylko dokumentów papierowych, ale także elektronicznych. Niestety zdarza się, że pracodawcy bagatelizują to – mówi Michał Kibil, adwokat, senior partner w kancelarii DGTL Kibil Piecuch i Wspólnicy.

Czytaj w LEX: Ochrona danych osobowych w warunkach pracy zdalnej >

 


RODO i ocena ryzyka

Zgodnie z art. 24 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), obowiązkiem administratora – przy uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze - jest wdrożenie  odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby mógł to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jeżeli, jak stanowi ust. 2 artykułu 24, jest to proporcjonalne w stosunku do czynności przetwarzania, środki te obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Czytaj w LEX: Minimalizowanie ryzyka związanego z powrotem do modelu pracy stacjonarnej >

Z kolei art. 35 RODO dotyczący oceny skutków dla ochrony danych stanowi, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Zobacz w LEX: Praca zdalna - zarządzanie zespołem zdalnym - szkolenie online >

Co ważne, ocena skutków dla ochrony danych, jak mówi ust. 3 artykułu 35 RODO, jest wymagana w szczególności w przypadku:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10; lub
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Zobacz procedurę w LEX: Praca zdalna w dobie pandemii koronawirusa  >


Ocena ryzyka i zabezpieczenia

Zdaniem mec. Michała Kibila, praca zdalna zmieniła sytuację pod kątem ochrony danych osobowych w przedsiębiorstwach i dlatego konieczne jest dokonanie rewizji oceny ryzyk, która to ocena jest elementem ochrony danych osobowych. – Firmy powinny zaktualizować też politykę bezpieczeństwa, by zabezpieczyć się przed wyciekiem danych osobowych, niezależnie od tego, czy pracownicy pracują zdalnie na dokumentach papierowych, czy dokumentach w wersji elektronicznej – mówi mec. Kibil.

Czytaj w LEX: Praca zdalna - co zmieniła tarcza antykryzysowa 4.0 >

Także Katarzyna Siemienkiewicz, ekspert ds. prawa pracy Pracodawców RP jest zdania, że wykonywanie pracy poza zakładem pracy niesie ze sobą zagrożenie dla bezpieczeństwa danych i innych tajemnic przedsiębiorstwa. - Najbezpieczniejszym sposobem zapewnienia ochrony byłoby rozdysponowanie pracownikom sprzętu służbowego. Jednak nie wszystkie firmy są w stanie wyposażyć pracowników w laptopy służbowe, które mogliby zabrać z firmy. Pracownicy wykonując swoją pracę często korzystają więc z prywatnego sprzętu. Nie ma przeszkód, aby pracownik wykonywał pracę za pośrednictwem swojego komputera, o ile wyrazi taką wolę – mówi Katarzyna Siemienkiewicz. Jej zdaniem, w obu przypadkach pracodawca powinien jednak ustalić zasady pracy zdalnej, uwzględniając konieczność zapewnienia odpowiedniego bezpieczeństwa,  w tym przetwarzanych danych osobowych.

Zobacz procedurę w LEX: Ryczałt za sprzęt używany do pracy zdalnej w dobie pandemii koronawirusa >

- Sprzęt powinien zostać należycie zabezpieczony – podkreśla Katarzyna Siemienkiewicz. I dodaje: Jeżeli pracownik korzysta z prywatnego sprzętu, istotne jest, aby zapewnić mu dostęp do korzystania z wirtualnej sieci VPN, która jest siecią bezpieczniejszą niż domowe WI-FI. Minimalizuje ona ryzyko cyberataku. Sieć domowa może być słabo zabezpieczona, co zwiększa prawdopodobieństwo kradzieży danych. Jeszcze większe zagrożenie niesie ze sobą korzystanie z otwartych sieci publicznych.

Sprawdź w LEX: Od którego momentu kończy się świadczenie pracy w charakterze home office, a zaczyna telepraca?  >

Ponadto, jak zaznacza ekspert ds. prawa pracy Pracodawców RP, pracodawca powinien zobowiązać pracowników do zachowania szczególnej staranności w procesie przetwarzania danych klientów firmy. Warto zainwestować w programy antywirusowe, które pracownicy powinni zainstalować na swoim sprzęcie. - Zapewnienie bezpieczeństwa danych i wyposażenie w odpowiednie środki techniczne niosą za sobą większe koszty prowadzenia działalności. Jednak te inwestycje są konieczne, aby uniknąć dotkliwych kar za wyciek danych – zaznacza Katarzyna Siemienkiewicz.

Czytaj w LEX: Okiem ID-a: ochrona danych osobowych przy pracy zdalnej  >

 


Jakie kary grożą za naruszenie ochrony?

A kary są dotkliwe. Zgodnie z RODO, firmie, która dopuści się naruszenia w kwestii ochrony danych osobowych grozi kara pieniężna do 20 mln zł lub 4 proc. obrotów. – W polskich warunkach kary wynoszą od kilkudziesięciu tysięcy złotych. Maksymalna dotychczas nałożona kara to blisko 3 mln zł – zaznacza mec. Michał Kibil.
Nakłada je Prezes Urzędu Ochrony Danych Osobowych.

Czytaj w LEX: Szkolenia bhp w dobie koronawirusa >

Czytaj również: UODO wkrótce zacznie karać za nieprzestrzeganie RODO>>