Praca zdalna w dobie koronawirusa a ryzyko w ochronie danych

Epidemia wirusa SARS-CoV-2 zmienia naszą rzeczywistość, w tym bezpośrednio wpływa na naszą pracę i ochronę danych. Oczywiście epidemia nie zawiesza stosowania RODO. Wręcz przeciwnie – koronawirus stanowi próbę również dla sprawności i prawidłowości stosowania RODO.

Jednym z największych wyzwań jest zapewnienie bezpieczeństwa danych oraz praw osób w kontekście wykonywania pracy zdalnej przez nasz personel. Zgodnie ze specustawą z 2 marca 2020 r., pracodawca może polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem stałego jej stałego wykonywania. Przeniesienie wykonywania pracy do domów pracowników zdecydowanie wpływa na organizację firmy w kontekście ochrony danych i praw osób poprzez zwiększenie ryzyka związanego z ochroną. Nietrudno o najbliższe przypadki: większe prawdopodobieństwo wycieku danych, pogorszenie stosowanych zabezpieczeń technicznych i organizacyjnych, zagrożenie poufności danych (możliwy dostęp przez domowników pracownika). Nie można zapominać również o ryzyku biznesowym dla samego administratora w postaci zagrożenia ujawnienia tajemnicy przedsiębiorstwa.

Zabezpieczenia, które należy zastosować zależą od specyfiki danej branży i zostały opisane w wielu artykułach, które pojawiły się tuż po wejściu w życie specustawy dotyczącej koronawirusa. Oświadczenia pracowników, dodatkowe szkolenia, regulaminy, polecenia dotyczące zapewnienia odpowiednich zabezpieczeń danych w warunkach domowych – to tylko niektóre z nich.

Co jednak z koniecznością oceny ryzyka przez pracodawcę – administratora? W wielu przypadkach skierowanie pracowników do pracy zdalnej oznacza reorganizację w zakresie ochrony danych, przyjętych procedur, procesów i dokumentacji. Czy aktualizacja dokumentów na linii pracodawca – pracownik wystarczy? Z pewnością nie. Pamiętajmy o tym, że administrator musi stosować się do reguły privacy de design oraz zapewnić bezpieczeństwo przetwarzania stosownie do art. 32 RODO. Podejście oparte na ryzyku (risk – based approach) oraz zasada rozliczalności wymagają przeprowadzenia analizy ryzyka oraz jej udokumentowania. Zmiana modelu pracy polegająca na skierowaniu pracowników dotychczas świadczących pracę w strukturach pracodawcy (w sensie fizycznym i organizacyjnym czyli po prostu w siedzibie pracodawcy lub znajdujących się w jego władaniu miejscach), na model pracy zdalnej (z domu) wymaga przeprowadzenia oceny ryzyka. Intuicyjnie czujemy, że praca zdalna zwiększa ryzyko naruszenia praw i wolności osób, których dane dotyczą, a także zwiększa ryzyko po stronie samego administratora. Samo jednak „poczucie” zwiększonego ryzyka nie wystarczy dla spełnienia zasady rozliczalności. Podobnie jak dokonywaliśmy i nadal dokonujemy jako administratorzy oceny ryzyka przy poszczególnych procesach, podobnie musimy postąpić w przypadku zmiany modelu organizacji na pracę zdalną. Fakt nagłych zdarzeń w postaci epidemii koronawirusa czy też szybkie zmiany w prawie nie oznaczają zawieszenia lub ograniczenia stosowania RODO – na administratorze spoczywają takie same obowiązki jak dotychczas.

Nie należy tracić z pola widzenia, że w szczególności komunikacja z pracownikiem pracujących zdalnie zwiększa ryzyko. Praca zdalna oznacza zmianę komunikacji pracownika z pracodawcą oraz pracownika z innymi osobami (wewnątrz firmy lub na zewnątrz firmy). Zapewnienie odpowiednich narzędzi i infrastruktury może stanowić nie lada wyzwanie dla administratora. Nie wystarczy jedynie zadbanie o służbowych komputer i telefon, ale również zapewnienie odpowiedniego środowiska komunikacji i wymiany informacji. Wszelkie porady, które można spotkać w Internecie dotyczące możliwości korzystania z Facebooka czy SnapChata przy pracy zdalnej należy traktować – delikatnie mówiąc – z bardzo dużym dystansem. Facebook czy też inne powszechnie dostępne komunikatory internetowe nie zapewniają odpowiedniego poziomu bezpieczeństwa, nie wspominając o tym, że w takiej sytuacji zwykle dochodzi do transferu danych do państwa trzeciego (co wymagałoby wyraźnych zmian w rejestrze czynności, analizie ryzyka i obowiązku informacyjnym). Dlatego zapewnienie odpowiedniego oprogramowania komunikacyjnego może mieć kluczowe znaczenie przy zabezpieczeniu danych w przypadku pracy zdalnej.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s