Gdy ponad dwa lata temu wybuchła pandemia praca zdalna stała się jedyną opcją, która umożliwiła wielu przedsiębiorstwom przetrwanie na rynku, bez jednoczesnego narażania zdrowia pracowników. Wówczas pracodawcy wysyłający swoich pracowników na pracę zdalną nie mieli w tej kwestii wyboru, a w dodatku sytuacja była napięta i mało kto miał czas na zastanowienie się nad zasadami, jakie mają dotyczyć świadczenia pracy w zdalnej formie. Obecnie już po wyjściu z pandemicznego kryzysu, nastąpił czas na ocenienie i zanalizowanie ryzyk, jakie niesie za sobą praca zdalna, a tych jest całkiem sporo.
Obecnie, doczekaliśmy się długo zapowiadanej nowelizacji Kodeksu pracy, która wprowadziła także zapisy odnoszące się do pracy zdalnej. Regulacje wiążące się z pracą zdalną, ze względu na liczne nałożone na pracodawców obowiązki, weszły w życie po dłuższym vacatio legis, co nastąpiło 7 kwietnia 2023 r. Wśród nowych przepisów w Kodeksie pracy pojawił się także artykuł 6726 odnoszący się do zasad ochrony danych. Zgodnie z tym przepisem, pracodawca na potrzeby wykonywania pracy zdalnej przez jego pracowników, określa procedury ochrony danych osobowych oraz przeprowadza wszelkie niezbędne do realizacji tego celu szkolenia czy instruktaże. Natomiast, do obowiązków pracownika należy potwierdzenie na papierze lub w formie elektronicznej, że zapoznał się z procedurami i co za tym idzie, że będzie ich przestrzegał.
Wprowadzona regulacja dotyczy nie tylko danych osobowych przetwarzanych w postaci elektronicznej. Pracownik świadczący pracę zdalnie może także otrzymać papierowe dokumenty zawierające dane i w takim przypadku również musi on przestrzegać obowiązujących u pracodawcy zasad bezpieczeństwa.
Na pracodawcy ciąży zatem obowiązek stworzenia szczegółowych procedur, które jednocześnie będą stanowiły dla pracowników jasne instrukcje dotyczące tego, w jaki sposób mają oni przechowywać dokumenty, przesyłać je, ograniczać ich dostęp dla nieuprawnionych osób – w tym domowników, czy niszczyć dokumenty, które nie są już dłużej potrzebne. Tożsame procedury muszą zostać wprowadzone, aby zapewnić bezpieczeństwo danych przetwarzanych w formie elektronicznej, gdyż bez wątpienia ta forma przetwarzania będzie na porządku dziennym w przypadku osób świadczących pracę w formie zdalnej.
Pracownik, powinien w takim samym zakresie przestrzegać zasad bezpieczeństwa pracując zdalnie z domu, jak i świadcząc pracę w biurze. Ze względu na łączący pracownika z pracodawcą stosunek pracy, to pracodawca będzie odpowiadał za każdy błąd pracownika czy wypadek przez niego spowodowany.
Praca zdalna charakteryzuje się świadczeniem pracy przez pracownika w miejscu zdecydowanie mniej hermetycznym niż zakład pracy, czyli we własnym domu. Ze względu na brak stałej możliwości kontroli sposobu, w jaki pracownik pracuje, pracodawca powinien podjąć wszelkie działania, które doprowadzą do zabezpieczenia w zakresie cyberbezpieczeństwa urządzeń, z których korzysta pracownik. Zatem pracodawca musi zadbać nie tylko o przeszkolenie pracownika z zakresu wdrożonych procedur przetwarzania danych, niezbędnych w świetle RODO oraz wdrożenie dopasowanych do realiów pracy zdalnej zapisów w m.in.: polityce bezpieczeństwa, metodyce utrzymywania bezpieczeństwa dokumentacji, czystości biurka oraz dysku twardego komputera czy procedury zgłaszania incydentów naruszeń bezpieczeństwa przetwarzania danych, ale także o sprawdzenie czy urządzenia pracowników posiadają aktualne zabezpieczenia, jak antywirusy, firewalle, czy aplikacje szyfrujące. Każdy pracodawca musi samodzielnie ocenić, jakie zabezpieczenia powinien wprowadzić, przy uwzględnieniu kategorii i ilości przetwarzanych danych przez jego pracowników.
Ustawodawca nie wymaga od pracodawcy, konkretnej formy określenia procedur postępowania z danymi osobowymi, mogą one przybrać formę zarówno aktu generalnego jak i indywidualnego. Niezależnie od wybranej formy, każdorazowo pracownik zobligowany jest do potwierdzenia zapoznania się z owymi procedurami, co może nastąpić zarówno w formie elektronicznej, jak i papierowej. Biorąc pod uwagę charakter zapisu dotyczącego obligatoryjnego potwierdzenia przez pracownika, zapoznania się z procedurami obowiązującymi u pracodawcy, odmowa potwierdzenia zapoznania się z procedurami bezpieczeństwa lub odmowa świadczenia pracy w sposób zgodny z nimi przez pracownika zdalnego uzasadnia wypowiedzenie umowy o pracę.
Każdy pracodawca zainteresowany świadczeniem pracy zdalnej przez jego pracowników, w sposób bezpieczny i zgodny z obowiązującymi w firmie procedurami, powinien przyłożyć dużą wagę do szkoleń. Powinny one uczulać pracowników w zakresie wykrywania i reagowania na wiadomości phishingowe (np. podszywanie się pod osoby uprawnione do autoryzacji działań pracownika) czy formy ochrony przed atakami ransomware (np. pod postacią pobrania niebezpiecznego oprogramowania, w skutek korzystania przez pracownika z niezabezpieczonego dostępu do sieci). Dodatkowo, ze względu na stale rozwijająca się technologie, a wraz z nią nowe zagrożenia, każda firma powinna stale monitorować przestrzeganie zasad bezpieczeństwa i doszkalać personel w razie zajścia takiej potrzeby.
Szkolenia skupiające się na ochronie przed atakami ransomware, nie mogą jednak stanowić zastępstwa profesjonalnych narzędzi, które pracodawca powinien zapewnić swoim pracownikom, na używanym przez nich sprzęcie. Dodatkowo, procedury powinny także odnosić się do regularnego tworzenia kopii zapasowych oraz ich testowania, przechowywania czy usuwania danych, gdy ich okres retencji już upłynie, gdyż właśnie te działania uznawane są za jeden z najskuteczniejszych sposobów radzenia ze skutkami ataku ransomware.
Ponadto, pracodawcy powinni rozważyć korzystanie z narzędzi, które wspomagają kontrolę urządzeń, z których korzystają pracownicy. Stosowanie rozwiązań, umożliwiających zarządzanie wszystkimi urządzeniami przez administratora danych osobowych, może zdecydowanie przyspieszyć czas reakcji, w przypadku wystąpienia incydentu naruszenia bezpieczeństwa danych. Dodatkową pomocą będzie zapewnienie pracownikom przez pracodawcę stałego wsparcia ze strony zespołu technicznego IT, co znacznie ogranicza ryzyko rozwiązywania problemów technicznych przez pracowników na własną rękę. Specjaliści z branży IT dodatkowo mogą uczulać pracowników na zagrożenia w postaci m.in.: ataków DDoS czy typu man-in-the-middle, sniffery, a także stanowić wsparcie w przypadku skutecznego ataku.
Nawet najlepiej przeszkolony pracownik realizujący swoje zadania w formie zdalnej może być kontrolowany przez pracodawcę. Ze strony pracownika kontrola może być oceniana jako przejaw niedostatecznego poziomu zaufania pracodawcy względem pracownika, jednak ze strony pracodawcy jest niczym innym jak jedną z cech stosunku pracy i realizowaniem uprawnień kierowniczych, które z tego stosunku wynikają.
Jednak mimo posiadania kierowniczych uprawnień, pracodawca w związku z obowiązkiem poszanowania dóbr osobistych pracownika, wynikającym z art. 111 Kodeksu pracy, nie ma całkowitej swobody kontrolowania pracownika. Dopuszcza się kontrolowanie pracowników pod warunkiem przestrzegania przez pracodawcę poniższych zasad:
Co istotne, prawo pracodawcy do kontroli pracownika dotyczy każdej formy pracy zdalnej, zatem bez znaczenia będzie miał fakt, czy jest ona dobrowolna, polecona (przymusowa) czy okazjonalna.
Na podstawie art. 6720 § 5 pkt 5–7 i art. 223 Kodeksu pracy, wyróżniamy następujące metody kontroli:
1) bieżącą kontrolę wykonywania pracy przez zdalnego pracownika;
2) kontrolę w zakresie BHP;
3) kontrolę przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji – w tym danych osobowych;
4) monitoring poczty elektronicznej.
Metody kontroli opisane w pkt 1–3 muszą wynikać z indywidualnego porozumienia lub być zawarte w regulaminie dotyczącym pracy zdalnej. W przeciwnym razie, rodzaje i metody kontroli powinny zostać określone w poleceniu pracodawcy, o którym mowa w art. 6719 § 3 KP.
Kontrolę w zakresie BHP oraz przestrzegania wytycznych w zakresie bezpieczeństwa i ochrony informacji – w tym danych osobowych, pracodawca przeprowadza w miejscu wykonywania pracy zdalnej w godzinach pracy pracownika, po uprzednim uzgodnieniu z pracownikiem tych kwestii.
Na to pytanie nie znajdziemy jednoznacznej odpowiedzi. Kodeks pracy nie reguluje, czy z racji formy w jakiej realizowana jest praca zdalna, również kontrola powinna zostać przeprowadzona przy użyciu środków porozumiewania się na odległość, czy też powinna odbyć się w miejscu zamieszkania pracownika. Zgodnie z wprowadzonymi przepisami, pracodawca powinien dostosować adekwatną metodę przeprowadzanej przez niego kontroli, przy uwzględnieniu miejsca wykonywania pracy zdalnej oraz jej rodzaju.
Bieżąca kontrola zdalnego pracownika może sprowadzać się do stałego utrzymywania z nim kontaktu służbowego, korzystając przy tym z użycia obrazu i/lub dźwięku czy wymiany korespondencji. Także, dopuszczalna jest forma ewidencjonowania wykonanych przez pracownika zdalnego zadań, pomimo, że w Kodeksie pracy metoda ta nie została wskazana jako jeden z obowiązków pracowniczych.
Zatem, nie ma przeszkód, aby pracodawca korzystał z powszechnie dostępnych narzędzi takich jak Zoom czy Teams, podczas przeprowadzania rutynowej kontroli pracownika. Rozwiązanie to zdaje się nieść także dodatkową korzyść, w postaci braku groźby naruszenia miru domowego pracownika, czy jego dóbr osobistych. Zasadniczo, kontrolę fizyczną przeprowadzaną w miejscu zamieszkania pracownika, pracodawca powinien przeprowadzać, tylko gdy jej zrealizowanie za pomocą środków komunikacji elektronicznej jest wysoce utrudnione lub zupełnie niemożliwe. Dodatkowo, korzyścią płynącą z przeprowadzania „zdalnej” kontroli jest brak potrzeby uzyskania zgody przez pracodawcę do jej przeprowadzenia, gdyż nie niesie ona za sobą ryzyka naruszenia prywatności pracownika.
Warto zwrócić uwagę, aby sama kontrola odbywała się w czasie świadczenia pracy przez pracownika zdalnego, aby uniknąć ewentualnych skarg i roszczeń pracownika z tytułu pracy w nadprogramowych godzinach. Dodatkowo, nie można przeprowadzać kontroli w sposób, który będzie powszechnie uznany za nadmiernie ingerujący w swobodę i prywatność pracownika. Czym innym będzie poproszenie pracownika o przesłanie nagrania ukazującego jego stanowisko pracy, w celu weryfikacji czy spełnione zostały przez niego wymogi bezpieczeństwa – co jest w pełni uzasadnionym działaniem pracodawcy, a już odmiennie trzeba będzie ocenić żądanie pracodawcy, aby pracownik zdalny świadczył pracę przy bez przerwy włączonej kamerze.
Postanowienia RODO nie uniemożliwiają przeprowadzania kontroli pracownika zdalnego przez pracodawcę, tyczy się to zarówno kontroli przy wykorzystaniu środków komunikacji elektronicznej, jak i osobistej kontroli, w miejscu, w którym pracownik faktycznie świadczy pracę. Każdy pracodawca musi jednak pamiętać o wymogu dokładnego określenia sposobu przeprowadzania kontroli, zanim ta nastąpi, dlatego, zapisy odnoszące się do kontroli powinny znaleźć się odpowiednio w regulaminie bądź w zawartym z pracownikiem indywidualnym porozumieniu. Ponadto, uregulowane powinny zostać także zasady przestrzegania zasad BHP, a także bezpieczeństwa przetwarzania danych osobowych.
Kolejną rzeczą, o jakiej musi pamiętać pracodawca, to wyposażenie osób kontrolujących w upoważnienia od niego, a także wyznaczenie do realizacji tego celu takich osób, które posiadają odpowiednie kompetencje, ze względu na zajmowane przez nie stanowisko. Przeprowadzenie kontroli może wiązać się także z przetwarzaniem danych osobowych nie tylko pracownika, lecz także, osób z nim zamieszkujących. Z tego powodu niezbędne będzie odpowiednie dostosowanie upoważnień do przetwarzania danych osobowych zgodnie z art. 29 RODO.
Kontrola pracowników wykonujących pracę zdalną wiąże się z podwyższonym ryzykiem naruszenia prywatności pracowników oraz ochrony danych osobowych. Z tego powodu pracodawca przeprowadzając kontrolę musi pamiętać, aby wszystkie podejmowane w trakcie kontroli czynności nie naruszały prywatności zdalnego pracownika, a także innych osób (domowników) oraz nie utrudniały korzystania z pomieszczeń domowych. Zatem pracodawca nie chcąc naruszyć miru domowego pracownika, nie może podczas kontroli podejmować działań ingerujących w życie prywatne pracownika np. zajmując podczas kontroli kuchnie pracownika i ograniczając do niej dostęp.
Pracodawca powinien także pouczyć pracowników, w jaki sposób powinni zabezpieczyć informacje, które przekazują rozmówcom podczas wideokonferencji – ukazując pomieszczenia, w których pracują wyjawiając w ten sposób cenne dane, jak status społeczny, czy zainteresowania pracownika, gdyż te następnie mogą zostać wykorzystane w atakach socjotechnicznych.
Na podstawie regulacji istniejących w Kodeksie pracy pracodawcy zatrudniający pracowników, którzy pracują zdalnie, mogą także wprowadzić monitoring ich poczty elektronicznej. Mowa o działaniach pracodawcy zarówno powtarzający się cyklicznie, jak i incydentalnych.
Pracownicy, w przypadku wprowadzenia takiego rozwiązania przez pracodawcę, powinni zostać poinformowani o tym fakcie z wyprzedzeniem, a ponadto zaleca się, aby zamieścić odpowiednie oznaczenia na skrzynkach pocztowych pracowników, co spełnia walor informacyjny. Uprzedzając pracowników o wprowadzeniu monitoringu poczty trzeba wskazać zakres działań kontrolnych oraz planowaną częstotliwość kontroli. Pamiętać przy tym należy, że badanie treści wiadomości może być stosowane sporadycznie i w wyjątkowych sytuacjach, najczęściej, gdy zachodzi obawa prowadzenia działań niezgodnych z prawem przez pracownika.
W przypadku, naruszenia przepisów Kodeksu pracy dotyczących monitoringu poczty pracownika, można spodziewać się nałożenia na administratora danych, na podstawie art. 83 ust. 5 lit. d RODO przez Prezesa Urzędu Ochrony Danych Osobowych takiej samej administracyjnej kary pieniężnej jak za naruszenie RODO.
Tak, jeżeli po przeprowadzonej przez pracodawcę kontroli pracodawca potwierdzi, że po stronie pracownika dochodzi do nieprzestrzegania zasad bezpieczeństwa ochrony danych, to w pierwszej kolejności powinien zobowiązać go do usunięcia stwierdzonych nieprawidłowości, a jeżeli to okaże się bezskuteczne, może cofnąć zgodę na wykonywanie pracy zdalnej. W takiej sytuacji, pracownik nie ma wyjścia i musi podjąć pracę w miejscu, w którym świadczył pracę przed przejściem na pracę zdalną, w terminie określonym przez pracodawcę. Bezpodstawne niezastosowanie się przez pracownika do takiego polecenia pracodawcy, może być uznane za naruszenie podstawowych obowiązków pracowniczych, a przez to skutkować nawet rozwiązaniem umowy o pracę. Warto zaznaczyć, że wybór rozwiązania, które ma zostać zastosowane wobec pracownika, w wyniku przeprowadzonej kontroli zależy od pracodawcy. To on dokonuje oceny, czy nadal może obdarzyć pracownika zaufaniem, skoro w toku kontroli dowiódł, że nie przestrzega on procedur obowiązujących w firmie. Podsumowując, praca zdalna mimo stosowania jej od kilku lat i wprowadzenia regulacji w Kodeksie pracy, to wciąż nowy grunt zarówno dla pracodawców jak
i pracowników, który będzie jeszcze nie raz tematem gorących dyskusji. Obecna forma pracy zdalnej wymaga od pracodawców wprowadzania odpowiednich procedur i regulaminów, w tym z zakresu ochrony danych osobowych, a także odejścia od tradycyjnych form szkoleń z zakresu BHP, czy przeprowadzania onboardingu/offboardingu, a następnie kontroli stosowania przez pracowników obowiązujących u pracodawcy procedur. To jak poradzili sobie pracodawcy z nowymi obowiązkami, będziemy z pewnością oceniać w niedalekiej przyszłości.
Artykuł ukazał się w publikacji „Poradnik prenumeratora. 5 lat z RODO – przewodnik” wydanej przez „Rzeczpospolitą” w dniu 21.06.2023 r.
Interesujesz się zagadnieniami związanymi z RODO? Przeczytaj koniecznie o sztucznej inteligencji jako narzędziu marketingowym tutaj, o prowadzeniu działań marketingowych z perspektywy przepisów ochrony danych osobowych tutaj, o profilowaniu zgodnym z RODO tutaj, jak prawidłowo stosować cookies tutaj, o kontroli trzeźwości w kontekście ochrony danych tutaj oraz o inspektorze ochrony danych ijego roli w firmie tutaj.
