Przepis uprawniający pracownika do używania środków pracy niezapewnionych przez pracodawcę oraz przerzucający na pracownika prawo decydowania, czy dobrane środki zapewniają bezpieczeństwo danych pracodawcy, czy też nie to wyłom w tworzeniu zasad bezpieczeństwa informacji w zakładach pracy – piszą Michał Kibil i Łukasz Masztalerz.
Wedle doniesień, z projektu tarczy 4.0 mają zniknąć przepisy o uproszczonym wypowiadaniu umów, ale mają pozostać te dotyczące pracy zdalnej. Część z nich oceniamy pozytywnie (w szczególności te dotyczące ograniczenia odpowiedzialności pracodawcy za bezpieczeństwo i higienę pracy), część wydaje się być zupełnie niepotrzebna (jak prawo pracodawcy do polecenia ewidencji czynności, do czego pracodawca i bez takiego przepisu i tak jest uprawniony wydając stosowne polecenie służbowe), a jeden z nich budzi nasz zdecydowany niepokój. Chodzi o przepis uprawniający pracownika do używania środków pracy niezapewnionych przez pracodawcę oraz przerzucający na pracownika prawo decydowania, czy dobrane środki zapewniają bezpieczeństwo danych pracodawcy, czy też nie.
Epidemia pokazała, że nie wszystkie firmy były przygotowane na masowe przejście na pracę zdalną – tak w zakresie dostępności sprzętu, dostosowania oprogramowania, jak i przeszkolenia ludzi.
Osoby pracujące z domu, są narażone na szereg zagrożeń, poczynając od najbardziej popularnych ataków phishingowych, a kończąc na fizycznej utracie chronionej informacji.
Agencje takie jak: amerykański NIST, europejska ENISA, czy polski UODO, wyraźnie rekomendują w swoich stanowiskach, aby przy wprowadzaniu pracy zdalnej pracodawca stosował odpowiednie mechanizmy, eliminujące ryzyko wycieku, czy też utraty danych.
Zadaniem pracodawcy nie jest wyłącznie dostarczenie pracownikowi odpowiedniego sprzętu, ale też przygotowanie swoich pracowników do takiej pracy.
Pracodawca powinien w szczególności:
Czytaj w LEX: Jak zadbać o zdrowie psychiczne pracowników - budowanie odporności psychicznej w kryzysie >
Przyjęte rozwiązania powinny zostać utrwalone, np. w regulaminie pracy, czy też procedurze pracy zdalnej, a pracownicy powinni zostać poinformowani nie tylko o odpowiedzialności za naruszenie procedur, ale przede wszystkim o tym, jak unikać zagrożeń.
Decyzja o poziomie zabezpieczeń spoczywa tylko i wyłącznie na pracodawcy. Uprawnienie w ustawie pracowników do decydowania o wyjątkach od zasad bezpieczeństwa (w tym uprawnienie go do decydowania co jest wystarczającym zabezpieczeniem danych) jest drogą donikąd.
Czytaj w LEX: Praca zdalna a ochrona danych osobowych >
Funkcjonowanie w Tarczy 4.0 przepisu o proponowanej przez ustawodawcę treści, może doprowadzić do kuriozalnej sytuacji, w której pracownik będzie mógł jawnie ignorować w wewnętrzne regulacje pracodawcy dotyczące bezpieczeństwa informatycznego pracodawcy i korzystać z prywatnych narzędzi, bo uzna, że to bezpieczne (pomimo, że nie ma kompetencji do zastępowania w takim uznaniu pracodawcy). Gdy otrzyma z tego powodu wypowiedzenie, będzie mógł twierdzić, że przepisy ustawy są dla niego bardziej korzystne i że ze względu na to (ponieważ ustawa pozwalała mu korzystać ze sprzętu) decyzja pracodawcy - nawet gdy wynika bezpośrednio z wprowadzonych u pracodawcy procedur bezpieczeństwa informacji - jest wadliwa.
Dlatego wskazany przepis należy ocenić bardzo krytycznie jako tworzący wyłom w tak pożądanym tworzeniu zasad bezpieczeństwa informacji w zakładach pracy.
Michał Kibil, adwokat, partner zarządzający w kancelarii Kibil i Wspólnicy
Łukasz Masztalerz, aplikant adwokacki z kancelarii IMP
Czytaj również: Tarcza 3 uchwalona, ale znowu bez e-komunikacji z sądem
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
