W ciągu najbliższych dwóch tygodni przedsiębiorcy zmierzą się z obowiązkiem zapłaty zaliczki na podatek dochodowy, złożenia deklaracji VAT-7, wysłania pliku JPK czy też sporządzenia sprawozdania finansowego za ubiegły rok obrotowy. Rutynowe zadania w obecnej sytuacji mogą stanowić jednak nie lada wyzwanie dla księgowych oraz biur rachunkowych.

Polacy dostosowali się do apeli służb i przez ostatnie dni pozostają w domach, a wielu pracodawców nakazało swoim pracownikom pracę zdalną. Aby zachować przewidziane prawem terminy dość powszechne stało się także polecenie pracy w godzinach nadliczbowych czy też branie pracy do domu. W tej gonitwie kwestia ochrony danych osobowych, tajemnicy przedsiębiorstwa czy nawet tajemnicy zawodowej zeszła niejako na dalszy plan.

Zobacz również: Koronawirus utrudni biegłym weryfikację sprawozdań finansowych >>

- Co prawda żadne przepisy nie zakazują pracy w tzw. trybie home office, ale na uwadze trzeba mieć kilka ograniczeń. Zgodnie z art. 32 RODO niezależnie od miejsca, w którym świadczona będzie praca, należy stosować adekwatne środki zabezpieczeń technicznych i organizacyjnych. RODO nie narzuca jednak konkretnych rozwiązań – ich dobór zależy od decyzji samego przedsiębiorcy – tłumaczy Mariusz Palian, aplikant adwokacki w kancelarii Chmielniak Adwokaci.

Czytaj w LEX: Zagrożenie koronawirusem a prawo do prywatności >

Specjalne zalecenia dla pracowników zdalnych

Wśród zaleceń w takich sytuacjach wymienia się przede wszystkim pracę na sprzęcie służbowym, a dopiero w ostateczności na komputerze prywatnym. Wszelkie urządzenia elektroniczne wykorzystywane do pracy powinny zostać zabezpieczone poprzez wprowadzenie hasła dostępu do systemu, zaszyfrowanie danych, zainstalowanie programu antywirusowego czy też wprowadzenie automatycznego back-upu danych. - Nawet jednak zastosowanie wszystkich powyższych zabezpieczeń nie spełni swoich wymagań, jeżeli pracownik udostępni komputer lub telefon służbowy osobie trzeciej (np. domownikowi), więc równie ważna jak środki ochrony danych pozostaje świadomość pracownika – podkreśla Mariusz Palian.

Czytaj w LEX: Prawa i obowiązki pełnomocników procesowych w praktyce w związku z koronawirusem >

Inne podejście do dokumentów papierowych

Ekspert zwraca też uwagę, że nieco inaczej wygląda sytuacja z tradycyjnymi dokumentami w formie papierowej. O ile to możliwe, należy unikać ich wynoszenia z firmy – obecna technologia pozwala bez trudu na pracę na skanach, zdjęciach czy gotowych bazach danych.

Czytaj w LEX: Uprawnienia i obowiązki pracodawcy związane z koronawirusem >

- Jeżeli jednak nie będzie innej możliwości należy przede wszystkim zadbać, aby żadna osoba nieupoważniona nie miała możliwości zapoznania się z nimi. Zakaz ten dotyczy także, a może przede wszystkim domowników i osób najbliższych. Bezpieczeństwo informacji należy mieć na uwadze także po zakończeniu korzystania z dokumentów. Z tego względu zakazane jest ich proste wyrzucanie do kosza w domu. Jeżeli pracownik nie posiada w domu niszczarki, powinien dokumenty zabezpieczyć w celu przechowania, a po zakończeniu pracy zdalnej zniszczyć je w biurze – przestrzega Mariusz Palian. Tłumaczy, że wszystkie powyższe zasady powinny zostać przewidziane w dobrze przygotowanych wewnętrznych procedurach dotyczących przetwarzania danych osobowych, zwłaszcza polityce bezpieczeństwa danych. Ci przedsiębiorcy, którzy nie przespali wdrożenia RODO są zatem gotowi na pracę zdalną w obecnej sytuacji.

Sprawdź w LEX: Jakie świadczenia przysługują pracownikowi, jeśli pracownik lub jego dziecko zostanie objęty kwarantanną w zw. z epidemią koronawirusa? >  

Biura narażone na ataki

Dr hab. Robert Suwaj, prof. Politechniki Warszawskiej, zwraca z kolei uwagę, że w większości te bardziej profesjonalne biura, dzisiaj już pracują w formie zdalnej, co pozwala zaplanować i wykonywać pracę w formule zdalnej. Jego zdaniem, problem przewożenia dokumentów już praktycznie nie istnieje, co nie zmienia faktu, że pozostaje kwestia bezpieczeństwa przesyłania elektronicznego danych pomiędzy klientem, biurem, pracownikiem, znów biurem i klientem a urzędem skarbowym. Wydaje się, że - wbrew pozorom - mogą to być informacje najbardziej właśnie dzisiaj narażone na największe ataki hakerskie, co wymaga dużej dbałości o standardy bezpieczeństwa. Bezpieczne połączenia, odpowiednio zabezpieczona poczta i szyfrowane pliki pozwalają jednak zadbać o prawidłowy standard w każdej płaszczyźnie kontaktów.

Sprawdź w LEX: Czy pracodawca może występować do pracowników z wnioskiem o informację, czy w okresie ostatnich 14 dni przebywali w regionie podwyższonego zagrożenia epidemiologicznego i/lub czy mieli kontakt z osobą zakażoną? >

Przegląd Podatkowy - Nr 3/2020 [347]

Sprawdź  

Praca zdalna ryzykowna

Kacper Rączkowiak, ekspert ochrony danych osobowych w Grant Thornton podkreśla z kolei, że zdalna praca rodzi ryzyko naruszenia bezpieczeństwa danych osobowych, a także naruszenia ogólnie bezpieczeństwa informacji, jednak nie należy jej demonizować, o ile zadba się o bezpieczeństwo. - W przypadku biur księgowych i podatkowych ryzyko naruszenia praw i wolności podmiotów danych może być minimalne. Główne zagrożenie dotyczy bezpieczeństwa informacji wrażliwych dla przedsiębiorstw. W praktyce bezpieczna praca zdalna, to przede wszystkim świadomość pracowników. Taką świadomość osiągamy m.in. poprzez szkolenia i… zachowanie zdrowego rozsądku. Kluczowa podatność na zagrożenia, w przypadku pracy zdalnej, wiąże się z możliwością wglądu do danych osób nieuprawnionych, a także z ryzykiem zgubienia nośników danych (np. wydrukowanych dokumentów). Jeżeli pracodawca zdecyduje się skorzystać z uprawnienia, jaki daje mu nowa specustawa – czyli polecenia wykonywania pracy zdalnej – powinien wdrożyć w firmie przynajmniej minimalne środki ochronne – podkreśla ekspert.

Sprawdź w LEX: Czy polecenie pracodawcy dotyczące pracy zdalnej dla pracownika, powracającego z regionu objętego działaniem koronowirusa, może mieć formę ustną? >

Lepsze dokumenty elektroniczne

Zwraca uwagę, że jeżeli możemy, pracujmy na dokumentach elektronicznych. Ograniczymy w ten sposób ryzyko utraty nośników danych. Jeśli pracownicy zabierają dokumenty do domów, prowadźmy przynajmniej minimalną ewidencję tego, co opuszcza nasze biuro. Powstrzymujmy pracowników przed zbędnym generowaniem wydruków (niestety w praktyce niewielu pracodawców na rynku posiada efektywne systemy monitorowania tego typu procesów). Jeżeli praca wymaga wymiany danych i ich wzajemnego udostępniania, warto zadbać o sprawne i bezpieczne usługi chmurowe lub odpowiednie ruchome nośniki  danych. Należy ograniczać sytuacje, w których pracownicy korzystają z własnych nośników podłączanych do służbowego sprzętu. Ważne jest również zabezpieczenie urządzeń używanych przez pracowników (komputer, smartfon, nośniki danych) odpowiednimi hasłami, mechanizmami szyfrującymi, stosowaniem tunelu VPN czy innych podstawowych metod ochrony transmisji danych.

Zobacz procedurę w LEX: Narzędzia podatkowe wpierające zwalczanie pandemii koronawirusa (COVID-19) >

W bieżącej sytuacji pomocne jest korzystanie z oprogramowania MDM (Mobile Device Management), które umożliwia zdalne zarządzanie sprzętem powierzonym pracownikom, pozwala na zastosowanie zdalnej blokady w razie konieczności czy wyczyszczenia danych w przypadku kradzieży lub zgubienia. Egzamin zdają też inne rozwiązania, które dotąd sprawdzały się w trakcie podróży służbowych, tj. np. folie prywatyzujące. W ciężkim okresie na pewno sprawdzą się te procedury wewnętrzne, które zakazują samodzielnego instalowania oprogramowania na służbowym sprzęcie, wykorzystywania prywatnych kont pocztowych, czy nieautoryzowanych usług chmurowych.

Kacper Rączkowiak zwraca jednak uwagę, że jeżeli pracodawca zdecyduje się na wprowadzenie najbardziej ryzykownego wariantu, związanego z użyciem prywatnych komputerów pracowników oraz ich prywatnych kont mailowych, powinien przynajmniej starać się przekazać pracownikom podstawowe zasady bezpieczeństwa: minimalizowania liczby wydruków papierowych, szyfrowania załączników, podstawowej ochrony antywirusowej oraz ograniczenia do minimum liczby plików zapisywanych na dyskach.

Zobacz w LEX: Koronawirus - uprawnienia i obowiązki pracodawcy i pracownika - szkolenie online >

Wszystko w rękach pracodawcy

Dr Maciej Kawecki, prezes Instytutu Lema, dziekan WSB w Warszawie, podkreśla dodatkowo, że o ile pracodawca w związku z podjęciem przez pracowników pracy zdalnej dopuszcza w regulaminie pracy bądź w wewnątrzzakładowych procedurach możliwość wynoszenia przez pracowników dokumentów do domu, nawet gdy zawierają one dane osobowe, jest to zgodne z prawem. - Oczywiście musimy pamiętać, że obszarem przetwarzania danych osobowych w organizacji stają się wtedy również miejsca, w których pracują pracownicy poza organizacją. To oznacza, że powinny wiązać ich zasady bezpieczeństwa, które muszą sprowadzić się do realizacji jednego, zasadniczego celu: dokumenty, które wynosimy poza organizację muszą być wykorzystane wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy oraz żadna osoba trzecia nie powinna mieć do nich dostępu. Ryzyko dostępu do takich dokumentów osób trzecich w tym członków rodziny pracowników jest tutaj duże, stąd bardzo ważne jest by pracodawca wyraźnie podkreślał te kwestie – przestrzega dr Kawecki.