- 1 Praca na wakacje 2024: oferty i zarobki (62 opinie)
- 2 Absolwent gdyńskiej "trójki" głównym naukowcem w OpenAI (66 opinii)
- 3 Elektrociepłownia gdyńska coraz bardziej ekologiczna (109 opinii)
- 4 Jak zarabiać na giełdzie codziennie? (72 opinie)
- 5 Mieszkańcy ruszyli z pomocą małej lodziarni (245 opinii)
- 6 Odwołano przetarg na terminal agro w Porcie Gdańsk (94 opinie)
Kto odpowiada za ochronę danych osobowych, gdy pracujemy zdalnie?
Walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe, a więc pracodawcy z obowiązku zapewnienia należytej ochrony tychże danych. Dzieje się tak, choć pracownicy pracują u siebie w domu. Należy jednak wyraźnie zaznaczyć, że reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków.
- Pracuję w księgowości i mam do czynienia z dokumentami, które zawierają także dane osobowe. Na czas epidemii pracujemy zdalnie. Część dokumentów mam u siebie w domu, mam też służbowy komputer. Przeszłam w pracy szkolenia odnośnie ochrony danych osobowych. Jednak czy te wszystkie obostrzenia dotyczące przechowywania dokumentów, danych w komputerze powinny być spełnione także w domu, który na chwilę stał się biurem? Kto ponosi odpowiedzialność za ewentualny wyciek danych - ja czy jednak pracodawca? - pyta czytelniczka.
Porady prawne w serwisie Praca
Na pytanie odpowiada Andrzej Fortuna - radca prawny z kancelarii Radcy Prawnego Fortuna.
Kwestia ochrony danych osobowych w czasie pracy zdalnej realizowanej w związku z pandemią koronawirusa była przedmiotem rozważań zarówno Europejskiej Rady Ochrony Danych, jak i Urzędu Ochrony Danych Osobowych. Jednoznacznie potwierdzono, że walka z pandemią, w tym wprowadzenie pracy zdalnej, w żadnym wypadku nie zwalnia administratora danych czy podmiotu przetwarzającego dane osobowe (a więc pracodawcy) z obowiązku zapewnienia należytej ochrony tychże danych.
W czasie pracy zdalnej aktualne pozostają zatem wszelkie zasady przetwarzania danych osobowych. Dane osobowe winny więc być przetwarzane w konkretnych i wyraźnych celach, w zakresie niezbędnym do ich osiągnięcia oraz przez czas niezbędny dla realizacji tych celów. Przede wszystkim jednak - dane powinny być odpowiednio zabezpieczone przed ich ujawnieniem osobom nieupoważnionym.
Odpowiedzialność za te dane i ich należyte zabezpieczenie nadal ponosi pracodawca - najczęściej jako administrator danych osobowych czy też procesor przetwarzający dane osobowe. Fakt, że praca jest wykonywana zdalnie - nie przerzuca automatycznie ryzyka na pracownika, wykonującego czynności na danych osobowych w ramach pracy świadczonej poza zakładem pracy.
Pracodawca winien przede wszystkim zweryfikować obowiązujące u niego procedury, mające na celu ochronę danych osobowych - czy w związku ze zmianą formuły wykonywania pracy nie należy ich zmodyfikować, dopasowując do nowej rzeczywistości. Pracodawca winien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności.
W tym kontekście należy zwrócić uwagę na art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Zgodnie z tym przepisem narzędzia i materiały potrzebne do wykonywania pracy zdalnej oraz obsługę logistyczną pracy zdalnej zapewnia pracodawca. Pracownik może korzystać z narzędzi lub materiałów niezapewnionych przez pracodawcę - ale tylko pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Co więcej przywołana regulacja jednoznacznie stanowi, że wykonywanie pracy zdalnej może zostać polecone, jeżeli pracownik ma umiejętności i możliwości techniczne oraz lokalowe do wykonywania takiej pracy i pozwala na to rodzaj pracy.
5 pomysłów na pracę zdalną w Trójmieście. Praca zdalna - oferty, stawki, wymagania
Tym samym pracodawca decydując się na polecenie pracownikowi wykonywania pracy zdalnej- powinien po pierwsze dokonać analizy, czy - uwzględniając warunki leżące po stronie pracownika - jest to możliwe i bezpieczne, po drugie - winien wprowadzić pracownika w odpowiednie procedury zabezpieczania danych, jak również wyposażyć pracownika w niezbędne narzędzia lub zbadać, jakie możliwości w tym zakresie posiada pracownik - w tym w szczególności możliwości co do przechowywania i zapewnienia bezpieczeństwa danych osobowych i innych informacji.
Przepisy tej treści wprowadzone zostały, co prawda, dopiero na koniec czerwca br. (a więc gdy powoli znoszono, spowodowane epidemią, ograniczenia w życiu społecznym i gospodarczym) - początkowo przepis mówił jedynie ogólnie o prawie polecenia pracownikom wykonywania pracy zdalnej. Nie zmienia to jednak faktu, że wcześniej także pracodawca ponosił na ogólnych zasadach odpowiedzialność za zorganizowanie pracownikowi właściwych warunków pracy.
Do obowiązków pracodawcy - niezależnie od tego, czy chodzi o pracę zdalną, czy tez na miejscu - należy również zobowiązanie pracowników do zgłaszania każdego incydentu związanego z naruszeniem ochrony danych, ponieważ administrator ma obowiązek niezwłocznego zgłoszenia naruszenia organowi nadzorczemu.
Na szczególną uwagę zasługuje także kwestia wykorzystywania dokumentacji papierowej podczas pracy zdalnej. W tym zakresie wypowiedział się Urząd Ochrony Danych Osobowych wskazując, że korzystanie z dokumentacji papierowej - a w szczególności praca na oryginałach dokumentów (a nie ich kopiach, w tym kopiach zanonimizowanych)- powinna odbywać się tylko w wyjątkowych sytuacjach, gdy pracodawca nie udostępnia i nie może udostępnić dokumentów w sposób elektroniczny. Wynoszenie dokumentacji poza zakład pracy i przechowywanie jej przez pracownika może być dokonywane jedynie za zgodą pracodawcy i w określony przez niego sposób. Procedury stworzone przez pracodawcę w tym zakresie w szczególności winny określać m.in. sposób ewidencjonowania wynoszonych dokumentów, sposób ich przenoszenia i przechowywania w bezpieczny sposób (zamknięte aktówki, szafy, itp.), ale także i sposób ewentualnego niszczenia danych.
Obowiązują tutaj także ogólne zasady przewidziane w art. 3 ww. ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 - a więc praca zdalna z wykorzystaniem papierowych dokumentów może być polecona, jeśli pracownik posiada odpowiednie możliwości, w tym np. lokalowe celem zapewnienia bezpieczeństwa danych, a pracodawca zapewnił pracownikowi niezbędne narzędzia lub narzędzia posiadane przez pracownika umożliwiają pełne wywiązanie się z obowiązków należytej ochrony danych.
Niemniej należy także wyraźnie zaznaczyć, że powyższe reguły i obowiązki leżące po stronie pracodawcy nie oznaczają, że pracownik jest wolny od obowiązków. Przede wszystkim bowiem pracownik winien bezwzględnie przestrzegać procedur ustalonych przez pracodawcę - procedury te najczęściej odnoszą się do szyfrowania danych czy kontroli dostępu do sprzętu, obowiązku korzystania jedynie z narzędzi służbowych, ewentualnie zatwierdzonych przez pracodawcę, obowiązku zorganizowania stanowiska pracy w sposób uniemożliwiający dostęp osób trzecich do przetwarzanych informacji, zakazu instalowania niepewnych programów czy aplikacji na sprzęcie używanym do przetwarzania danych, właściwa archiwizacja lub usuwanie zapisu niepotrzebnych danych. Nieprzestrzeganie tychże obowiązków i procedur może skutkować odpowiedzialnością pracownika względem pracodawcy - czy to odszkodowawczą, czy to dyscyplinarną, czy też wiązać się z podjęciem przez pracodawcę decyzji o rozwiązaniu z pracownikiem umowy o pracą. Oczywiście, zastosowanie tychże sankcji musiałoby być poprzedzone analizą konkretnych okoliczności danej sprawy. W skrajnych sytuacjach - w szczególności związanych z celowym wykorzystaniem niejawnych informacji - nie jest również wykluczona odpowiedzialność karna pracownika.
Podsumowując - epidemia absolutnie nie zwalnia z obowiązku przestrzegania zasad związanych z zapewnieniem należytej ochrony danych osobowych, a wręcz niekiedy wymusza konieczność stosowania dodatkowych środków ostrożności i stworzenia dodatkowych procedur. To pracodawca odpowiada za stworzenie właściwych warunków do należytego zabezpieczenia danych i ponosi odpowiedzialność za nieprawidłowości w tym zakresie. Natomiast pracownik zasadniczo odpowiada względem pracodawcy - jeśli pomimo stworzenia mu odpowiednich warunków i określenia procedur - nie dopełnił obowiązków w zakresie ochrony danych.
O autorze
Andrzej Fortuna
radca prawny z kancelarii Radcy Prawnego Fortuna
Miejsca
Opinie (26) 5 zablokowanych
-
2020-08-01 10:10
(1)
Kto odpowiada i w jaki sposób zabezpiecza i archiwizuje dane dotyczące dzieci w przedszkolu np. mierzona przynajmniej dwukrotnie temperatura ciała. Te dane są zapisywane. Co się później z nimi dzieje? Są to dane dotyczące stanu zdrowia z imieniem i nazwiskiem.
- 10 5
-
2020-08-01 10:26
a w śmietniku ile jest danych
- 6 0
-
2020-08-01 10:30
(1)
Jak to działa w rozumieniu typowego polactwa? ze**any Pan Janusz- żeby pozyskać jakieś umowy na pożądany sprzęt to podałby nawet numer buta wszystkich babci do 3 pokoleń wstecz. Tylko potem jak przychodzi do wyjaśnień w zw. z długiem i zobowiązaniami to nagle zasłania się RODO i nagle staje się miłośnikiem ochrony swoich danych osobowych:)
- 12 1
-
2020-08-01 10:33
i się wyjaśniło
- 1 0
-
2020-08-01 11:35
RODO hahahaha (2)
jak pracowałem w banku na m to każdy miał na pendrive w kieszeni dane kilkudziesięciu tysięcy klientów, bo musiał dzwonić i oferować kredyty, karty i pseudo ubezpieczenia po godzinach w domu
A dane takie że nawet klient tyle o sobie nie wiedział- 19 1
-
2020-08-01 16:01
Nojo
- 0 0
-
2020-08-01 23:35
To ciekawe bo nawet nie powinno być złącz USB w komputerach.
- 1 2
-
2020-08-01 11:39
(1)
a Poczta Polska oddała nasze dane osobowe ,czy będzie nimi kupczyć,jak co niektóre firmy
- 14 4
-
2020-08-01 22:42
będzie kupczyć, kupczyć niezbornie, niezbornie sakramencko.
Motyla noga- 0 1
-
2020-08-01 13:12
Problem na poziomie mówienia do pustych krzeseł.
Sztuka dla sztuki. Dane osobowe są przedmiotem handlu, weźmy na przykład firmę Axciom, która w Gdańsku ma swoją siedzibę, a zajmuje się profesjonalnie...spamowanien i handlem danymi osobowymi.
- 13 1
-
2020-08-01 13:38
Smrodo
Rodo zamiast pomagać tylko utrudnia życie..A Ci co potrzebują nasze dane i tak je zdobywają..Sztuczny przepis
- 20 3
-
2020-08-01 13:44
Surowość prawa jest łagodzona wybiórczością jego stosowania.
"Pracownik może korzystać z narzędzi lub materiałów niezapewnionych przez pracodawcę - ale tylko pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę."
To który nauczyciel idzie siedzieć?- 9 1
-
2020-08-01 16:54
ponieważ obowiązuje Rodo
ze żonom i dzieciakami nadaliśmy sobie kryptonimy operacyjne w postaci liczb.
Zmieniamy te liczby raz na miesiąc, w nieparzysty czwartek.
Życie na poziomie.- 20 0
-
2020-08-01 18:22
Nie liczcie na żadną ochronę! To ciepłe stołki dla śmierdzieli, którzy n i g d y i w niczym nie pomogą! (3)
Przekonałam się na własnej skórze: dotąd będą kręcić, manewrować i lawirować, aż wmówią ci, że nie masz racji, a twoje zastrzeżenia (oczywiste!) to ...nie dane wrażliwe!
- 8 0
-
2020-08-01 22:44
bierzesz magnez przed snem?
dlaczego nic nie pamiętasz?
- 1 1
-
2020-08-02 03:54
Skarga (1)
Proponuję złożyć skargę do Urzędu Ochrony Danych Osobowych.
- 1 0
-
2020-08-02 18:04
Haha hahaha dobre
- 1 0
-
2020-08-02 09:45
Czemu zniknął (1)
mój komentarz? Przecież nie był "hejterski"... Spodziewałabym się raczej małego "dziękuję" za zwrócenie uwagi na błąd językowy, który - jak widzę - już poprawiono. Panie Andrzeju, czy to eleganckie postępowanie?
- 8 0
-
2020-08-06 10:32
To nie autor poprawia, tylko ktoś inny. Fakt, kiedyś był komunikat "dziękujemy, błąd został poprawiony. Teraz tylko poprawiają i kasują uwagę.
- 0 0
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.