Zapytaj prawnika: RODO a praca zdalna

Przedstawiamy artykuł dotyczący zastosowań RODO - rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w pracy zdalnej. Odpowiedzi udzieliła Katarzyna Ziółkowska, doktorantka w Katedrze Prawa i Postępowania Administracyjnego Instytutu Nauk Prawno-Administracyjnych Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Zawodowo związana z Narodowym Centrum Badań i Rozwoju, gdzie udziela wsparcia prawnego w zakresie programów związanych z inwestycjami w start-upy technologiczne oraz innowacyjne rozwiązania w sektorach energetycznym i transportowym. 

Tryb pracy zdalnej ma zarówno wielu zwolenników, jak i przeciwników. Niezależnie od preferencji, dla dużej części aktywnych zawodowo Polaków - przynajmniej 1/3, jak wynika z badań przeprowadzonych na zlecenie BIG InfoMonitor – jest to w obecnych warunkach nowa rzeczywistość, do której muszą się przystosować. Oprócz szeregu wygód, takich jak choćby oszczędność czasu poświęcanego na dojazdy do pracy, prawa zdalna niesie ze sobą także pewne wyzwania. Jednym z takich wyzwań jest ochrona danych osobowych w warunkach home office.

Podstawowym aktem prawnym regulującym kwestie ochrony danych osobowych w skali całej Unii Europejskiej jest rozporządzenie 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie o ochronie danych, czyli RODO). Rozporządzenie weszło w życie 25 maja 2018 r. i w ciągu ostatnich dwóch lat jego obowiązywania narosło wokół niego mnóstwo mitów i negatywnych skojarzeń. Celem niniejszego krótkiego opracowania jest przedstawienie garści praktycznych porad, dzięki którym łatwiej będzie zagwarantować, że wykonywanie pracy w formie zdalnej będzie pozostawało w zgodzie z przepisami regulującymi ochronę danych osobowych. 

Na potrzeby omówienia kwestii praktycznych związanych z RODO w pracy zdalnej, konieczne jest wyjaśnienie pokrótce kilku podstawowych pojęć, takich jak: „dane osobowe”, „przetwarzanie danych osobowych”, „administrator”, „IOD” oraz „PUODO”. 

W RODO nie znajdziemy wyczerpującej listy kategorii danych, które rozporządzenie rozpoznaje jako dane osobowe. Będzie to bowiem zależało od konkretnej sytuacji. Danymi osobowymi będą zatem, co do zasady, wszelkie informacje umożliwiające w sposób pośredni lub bezpośredni ustalenie tożsamości konkretnej osoby fizycznej. Wśród przykładów danych osobowych są oczywiste imię, nazwisko czy numer identyfikacyjny (np. PESEL), jak również mniej oczywiste, tak jak np. adres IP. Jeśli zatem dokumenty, którymi posługujemy się podczas pracy zdalnej zawierają wzmianki odnoszące się do konkretnych osób, z dużą dozą pewności możemy stwierdzić, że mamy wówczas do czynienia z danymi osobowymi, a posługując się językiem RODO – przetwarzamy dane osobowe. W tym miejscu uwaga (!), bo pojęcie to – zupełnie nieintuicyjnie – oznacza w zasadzie jakąkolwiek czynność, którą wykonujemy na danych. RODO zalicza do przetwarzania danych między innymi zbieranie, przechowywanie, przeglądanie, a nawet usuwanie danych osobowych. Co istotne, dla zaliczenia danej czynności jako przetwarzania danych osobowych nie ma znaczenia jej forma. Może przybrać ona formę pisemną (np. sporządzanie dokumentu, pisanie maila), ale do przetwarzania danych może także dojść w formie ustnej (np. w trakcie telekonferencji). 

Biorąc więc pod uwagę, że zarówno kategoria danych osobowych, jak i przetwarzania danych osobowych są bardzo pojemne, istnieje duża szansa, że podczas pracy zdalnej prędzej czy później konieczne będzie zapewnienie zgodności z RODO. Jedną z podstawowych zasad jest ograniczenie przetwarzania danych osobowych tylko do celu, w jakim zostały zebrane. Zadanie określenia tego celu spoczywa na administratorze, którym np. w przypadku zbierania danych przez przedsiębiorcę jest sam ten przedsiębiorca. Z uwagi na pełnioną funkcję administrator ma szereg obowiązków (w tym informacyjnych), w wypełnianiu których może wspierać go IOD, czyli inspektor danych osobowych. 

Niezależnie jednak od posiadania statusu administratora czy IOD i związanymi z tym dodatkowymi obowiązkami, należy podkreślić, że każdy pracujący zdalnie jest zobowiązany przetwarzać dane osobowe zgodnie z RODO. Prezes Urzędu Ochrony Danych Osobowych (czyli PUODO) od początku epidemii COVID-19 wielokrotnie przestrzegał, że wyjątkowe okoliczności nie zwalniają z konieczności zapewnienia odpowiednich rozwiązań i procedur zapewniających zgodność w RODO. Choć zdecydowana większość pracujących w trybie home office może zatem liczyć na wytyczne ze strony pracodawców, niejednokrotnie procedury są długie, napisane skomplikowanym językiem (a’la ustawa) lub nie odpowiadają na podstawowe pytania. Poza tym nie wszyscy pracujący z domu mogą liczyć na takie wskazówki, z uwagi na samozatrudnienie lub brak dostępu do takich procedur. 

O co w takim razie należy zadbać, aby pracować zdalnie zgodnie z RODO? 

W tym zakresie RODO również nie odpowiada wprost, ale pewną pomocną wskazówką może być sam tytuł rozporządzenia. Pracując w nietypowych warunkach domowych powinniśmy zatem skupić się w pierwszej kolejności na chronieniu danych, które przetwarzamy, przed dostępem do nich osób nieuprawnionych. Z jednej strony należy zatem:

- zapewnić sobie (w miarę możliwości) wydzielone, prywatne miejsce do pracy (ryzyko naruszenia zasad RODO, pracując np. na balkonie będzie zatem większe), 

- nie użyczać sprzętu służbowego domownikom lub zapewnić, że dostęp do informacji wykorzystywanych w trakcie pracy na urządzeniach domowych jest zablokowany dla innych, 

- chować dokumenty papierowe i blokować ekran komputera przy każdorazowym odejściu od biurka. 

Poważniejsze ryzyka wystąpienia naruszenia ochrony danych osobowych, które RODO definiuje jako naruszenie bezpieczeństwa, czyhają jednak z innej strony. Z uwagi na przeniesienie w ostatnich miesiącach dużej części życia zawodowego i gospodarczego kraju i świata do świata online, nasilają się ataki hackerskie. Każdy sprzęt, bez wyjątku, może stać się celem takiego ataku, dlatego warto pamiętać o podstawowych zasadach „cyber-higieny”. Prezes Urzędu Ochrony Danych Osobowych (PUODO) wskazał w swojej broszurze (dostępna pod tym linkiem: https://uodo.gov.pl/pl/138/1459), że należy w tym zakresie przede wszystkim:

- używać silnych, wieloetapowych i regularnie zmienianych haseł dostępu do sprzętu oraz kluczowych aplikacji, 

- szyfrować dane oraz nośniki zawierające dane osobowe, 

- zadbać o aktualność oprogramowania na wykorzystywanym sprzęcie (w tym w szczególności antywirusowego), 

- unikać korzystania z niesłużbowych kont e-mail.

Podkreślenia wymaga, że zastosowanie się do powyższych wskazówek nie zwalnia z obowiązku zachowania ostrożności oraz zdrowego rozsądku. Wzmożona aktywność hackerska wymaga dodatkowej czujności w trakcie pracy zdalnej, ale nie tylko. Należy zatem dokładnie sprawdzać, czy osoby, od których otrzymujemy korespondencję lub im ją wysyłamy są na pewno tymi osobami, za które się podają lub do których rzeczywiście chcemy przesłać wiadomości. Z racjonalną dozą nieufności należy podchodzić do nowych, nieznanych nam aplikacji oraz linków, które podsuwają nam reklamy marketingowe w dowolnej formie. 
 

 Jeśli masz pytania dotyczące tego artykułu - pisz śmiało: promocja@uo.uw.edu.pl lub skontaktuj się z nami za pośrednictwem portalu Facebook. Zapraszamy także do zapoznania się z pozostałymi częściami cyklu Zapytaj prawnika.