Praca zdalna a dokumentacja papierowa zawierająca dane osobowe

Administratorzy danych mają obowiązek zapewnić przestrzeganie zasad przetwarzania danych, w tym zagwarantować ich bezpieczeństwo, biorąc pod uwagę także ryzyka związane z wykonywaniem przez pracowników m.in. pracy zdalnej. Odnosi się to zarówno do przetwarzania danych przy wykorzystaniu środków komunikacji elektronicznej, jak i danych zawartych w dokumentach papierowych. Wiąże się to jednak z większym ryzykiem naruszenia bezpieczeństwa danych osobowych oraz związaną z nim koniecznością ich odpowiedniego zabezpieczenia.

Praca zdalna a przepisy prawa

Kodeks pracy precyzyjnie reguluje niektóre kwestie dotyczące ochrony danych osobowych w ramach wykonywania przez pracownika pracy w formie telepracy, jednakże żadne przepisy szczególne nie określają dokładnych wymogów ochrony danych osobowych podczas wykonywania przez pracownika pracy zdalnej. Dlatego pracodawca, kierując do niej pracownika, musi zapewnić zgodność z ogólnymi przepisami RODO dotyczącymi ochrony i bezpieczeństwa danych osobowych. W tym celu powinien wdrożyć odpowiednie procedury oraz środki organizacyjne i techniczne tak, aby pracownicy mieli wystarczającą  świadomość i narzędzia  umożliwiające im przestrzeganie przepisów o ochronie danych osobowych. Odnosi się to przede wszystkim do przygotowania odpowiednich zasad i procedur, których przestrzeganie w znaczący sposób ogranicza ryzyka związane z naruszeniem integralności danych oraz utraty ich dostępności.

Dokumentacja papierowa poza miejscem pracy

Pracodawca, decydując się na umożliwienie pracownikom korzystania podczas pracy zdalnej z dokumentacji papierowej, musi podjąć działania mające na celu ograniczenie ryzyka związanego z utratą dostępności, integralności oraz poufności danych. W związku z powyższym administrator danych powinien ocenić niezbędność wykorzystywania dokumentacji papierowej podczas pracy zdalnej, biorąc pod uwagę zarówno charakter danych, cele dla których są przetwarzane oraz dostępne środki. Należy także dokonać oceny, czy do wykonania swojej pracy niezbędny jest dostęp do danych osobowych, czy też jest możliwe skorzystanie z dokumentów zanonimizowanych.

Należy jednak pamiętać, że praca na dokumentach papierowych nie będzie uzasadniona, jeżeli administrator danych wdrożył elektroniczny obieg dokumentów, a pracownik ma bezpieczny dostęp do niezbędnych do pracy danych osobowych przy pomocy środków komunikacji elektronicznej lub ma możliwość szybkiego, sprawnego i bezpiecznego wdrożenia elektronicznego obiegu dokumentacji, analogicznie  posiada możliwości do udostępnienia pracownikowi odpowiednio zabezpieczonych (m.in. zaszyfrowanych) elektronicznych kopii niezbędnych dokumentów1.

Podstawowe zasady ochrony dokumentacji papierowej poza miejscem pracy

Urząd Ochrony Danych Osobowych w swoim komunikacie wskazuje, że jeżeli nie jest możliwe zastosowanie żadnego z ww. rozwiązań, administrator danych powinien umożliwić pracownikowi wykonywanie pracy na kopiach niezbędnych dokumentów. Należy jednak pamiętać, że pracownik musi chronić dane zawarte w takich dokumentach, tak samo jak w dokumentacji oryginalnej.

Organ nadzorczy podkreśla także, że administratorzy danych, którzy decydują się na możliwość wykorzystywania przez pracowników dokumentacji papierowej podczas pracy zdalnej powinni przede wszystkim:

  • zapewnić ewidencjonowanie wydanych pracownikom dokumentów zawierających dane osobowe;
  • zapewnić, że udostępnione dokumenty będą przechowywane przez pracownika przez okres niezbędny do wykonania określonego zadania podczas pracy zdalnej  (ograniczenie przechowywania);
  • ograniczyć liczbę dokumentów wynoszonych z siedziby administratora do tego, co niezbędne w stosunku do celu przetwarzania danych osobowych przez pracownika w ramach pracy zdalnej;
  • zobowiązać pracownika do odpowiedniego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji (np. wynoszenie dokumentów w zabezpieczonej aktówce, przenoszenie dokumentów np. w taki sposób, aby były niewidocznie dla osób trzecich);
  • zobowiązać pracownika do odpowiedniego zabezpieczenia danych w miejscu   wykonywania pracy zdalnej (np. przechowywanie dokumentów w zamykanych na klucz szufladach  biurka lub szafach, przestrzeganie zasady czystego biurka, zabezpieczenie dokumentów przed wglądem nieuprawnionych osób trzecich, m.in. członków rodziny);
  • określić procedurę związaną z niszczeniem dokumentów (zakaz wyrzucania dokumentów do kosza w domu. Jeżeli pracownik nie posiada w domu niszczarki, powinien dokumenty przechowania w bezpieczny sposób, a po zakończeniu pracy zdalnej zniszczyć je w biurze);
  • zapewnić, że pracownik będzie zgłaszał pracodawcy każdy incydent bezpieczeństwa zgodnie z procedura postępowania w sprawie naruszeń ochrony danych, tak aby administrator mógł się wywiązać z obowiązku nałożonego na mocy art. 33 ust. 1 RODO2.

1 https://uodo.gov.pl/pl/138/1513, dostęp dnia 16.06.2020

2 W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w ustawieniach przeglądarki.

Rozumiem