iSecure logo
Blog

Praca zdalna a ochrona danych osobowych – co zmienia nowelizacja Kodeksu pracy

27 stycznia 2023 r. Prezydent RP podpisał ustawę nowelizującą Kodeksu pracy (KP) o przepisy obejmujące m.in. regulacje z zakresu pracy zdalnej i choć praca zdalna jest z nami już od lat, a od 2020 r. jeszcze bardziej zaznaczyła swoją pozycję na rynku pracy (z przymusu), to dotychczas nie była ona tak obszernie uregulowana w żadnych akcie prawnym.

 Jak ma wyglądać praca zdalna według nowelizacji KP?

Praca zdalna została zdefiniowana jako praca, która „może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość” (art. 67(18) KP).

Ustawa została podpisana przez Prezydenta RP 27 stycznia 2023 r. a opublikowana w Dzienniku Ustaw 6 lutego 2023 r. Okres vacatio legis dla przepisów dotyczących pracy zdalnej wynosi dwa miesiące od daty publikacji – oznacza to, że przepisy te wejdą w życie 7 kwietnia 2023 r.

Jakie grupy pracowników obowiązuje nowelizacja?

Zgodnie z regulacją ustawową „Przepisy niniejszego rozdziału[1] stosuje się także do stosunków pracy nawiązanych na innej podstawie niż umowa o pracę” (art. 67(34) KP). Stosunek pracy może powstać na podstawie: umowy o pracę, powołania, wyboru, mianowania i spółdzielczej umowy o pracę. Generalne zasady dotyczące pracy zdalnej określone w KP (zwrot kosztów, ewidencja czasu pracy itp.) powinny dotyczyć ww. stosunków umownych, ale nic nie stoi na przeszkodzie, aby regulacjami z zakresu ochrony danych osobowych, objąć wszystkich pracowników/współpracowników przetwarzających dane osobowe w danej organizacji, bez względu na rodzaj stosunku umownego łączącego strony.

Jakie obowiązki z zakresu ochrony danych osobowych przewidują przepisy o pracy zdalnej?

Zgodnie z nowymi przepisami pracodawca ma obowiązek:

  • określić procedury ochrony danych osobowych w zawiązku z wykonywaniem pracy zdalnej (art. 67 (26) § 1 KP);
  • zapoznać pracownika z ww. procedurami (i na potwierdzenie tego faktu odebrać od pracownika oświadczenie w postaci papierowej lub elektronicznej – art. 67(26) § 2 KP).

Fakultatywnym zadaniem pracodawcy jest przeprowadzenie instruktażu i szkolenia w zakresie procedur ochrony danych osobowych podczas pracy zdalnej (art. 67 (26) § 1 KP).

Co powinna zawierać procedura ochrony danych osobowych?

Regulacja ustawowa nie wskazuje, jakie konkretnie regulacje powinna zawierać procedura ochrony danych osobowych, właściwe wydaje się, aby procedury dotyczyły:

  • bezpieczeństwa miejsca świadczenia pracy zdalnej – uregulowanie kwestii podejmowania pracy zdalnej w miejscach publicznych, jak kawiarnie, restauracje, galerie handlowe, gdzie osoby postronne mogłyby usłyszeć fragmenty służbowych rozmów lub zapoznać się z fragmentami wykonywanej pracy;
  • zabezpieczenia połączenia internetowego i skrzynki e-mail – zasady korzystania ze służbowego hotspota, wymagania dotyczące zabezpieczenia domowej sieci Wi-Fi;
  • sposobów przekazywania informacji – procedura hasłowania dokumentów, procedura weryfikacji tożsamości współpracowników;
  • zasad postępowania z dokumentacją papierową – transport danych z siedziby pracodawcy, wysyłka dokumentów, skanowanie, przechowywanie w miejscu wykonywania pracy zdalnej, sposób niszczenia dokumentacji;
  • wymagań dotyczących urządzeń wykorzystywanych przez pracownika/współpracownika – zakaz udostępniania narzędzi pracy domownikom, sposoby zabezpieczania nośników danych;
  • zasad zgłaszania incydentów,
  • zasad uczestnictwa w szkoleniach,
  • zasad uczestnictwa w wideokonferencjach.

Procedura ochrony danych osobowych podczas pracy zdalnej powinna wskazywać wprost na określone wymagane zachowania w trakcie jej wykonywania. Rekomendujemy zrezygnowanie z ogólnych twierdzeń – „przetwarzaj dane w sposób zapewniający bezpieczeństwo”, ponieważ nie wskazują one na żadne konkretne obowiązki nałożone na pracownika i uniemożliwiają przeprowadzenie odpowiedniej kontroli pracy zdalnej.

Czy pracodawca może skontrolować pracownika?

Zgodnie z art. 67 (28). § 1. Pracodawca ma prawo przeprowadzać kontrolę wykonywania pracy zdalnej przez pracownika, kontrolę w zakresie bezpieczeństwa i higieny pracy lub kontrolę przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych […].

Pracodawca powinien dostosować sposób przeprowadzania kontroli do miejsca wykonywania pracy zdalnej i jej rodzaju, a wykonywanie czynności kontrolnych nie może naruszać prywatności pracownika wykonującego pracę zdalną i innych osób ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem. Dlatego bardzo ważne jest odpowiednie uregulowanie kwestii kontroli pracownika w regulaminie/porozumieniu, tak aby ewentualna ingerencja w prawo pracownika do prywatności była proporcjonalna.

Co istotne, kontrola wykonywania pracy zdalnej, może przybrać także formę zdalną – w formie połączenia się przez wideokonferencję lub wykonanie przez pracownika zdjęć miejsca pracy.

Jakie obowiązki z zakresu pracy zdalnej i ochrony danych osobowych ciążą na administratorach danych?

  • aktualizacja/wprowadzenie regulaminu pracy zdalnej z uwzględnieniem procedur ochrony danych osobowych,
  • aktualizacja Rejestru Czynności Przetwarzania o nową czynność,
  • określenie zasad kontroli wykonywania pracy zdalnej przez pracownika z uwzględnieniem prawa do prywatności,
  • przeprowadzenie procedury Privacy by design dla nowego procesu przetwarzania danych,
  • przeprowadzenie analizy ryzyka,
  • przygotowanie obowiązków informacyjnych,
  • przygotowanie szkolenia z zasad ochrony danych osobowych podczas pracy zdalnej.

 Praca zdalna – kiedy?

Nowe przepisy regulujące pracę zdalną będą obowiązywać od 7 kwietnia br. Pracodawcom został już niespełna miesiąc na pełne dostosowanie organizacji do nowych przepisów i spełnienie szeregu wymogów. Pomimo obowiązków cieszy fakt, że praca zdalna po 3 latach jej ciągłego wykorzystywania w praktyce w końcu znalazła swoje odzwierciedlenie w przepisach.

[1] Rozdział „Praca zdalna”

Pobierz wpis w wersji pdf

Podobne wpisy:

Czy muszę udostępniać dane na żądanie osoby fizycznej? Jeżeli tak, to jak bezpiecznie zrealizować prawo dostępu do danych?

Europejska Rada Ochrony Danych (EROD) udostępniła wytyczne do konsultacji publicznych przedstawiając różne aspekty prawa dostępu do danych https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_pl. Konsultacje zostały zakończone, pierwszą część wytycznych opisałem w poprzednim artykule https://www.isecure.pl/blog/prawo-dostepu-do-danych-w-oczach-erod/, teraz zapraszam na drugą część. Na co powinieneś zwrócić uwagę obsługując wniosek dostępu do danych? Za wytycznymi ERODu powtórzmy ogólne zasady prawa dostępu do danych. Co […]

Wniosek o usunięcie danych osobowych z perspektywy branży e-commerce i gamingowej

„Proszę o niezwłoczne usuniecie wszystkich moich danych osobowych!” Tego typu wiadomości e-mail coraz częściej trafiają na skrzynki e-mail przedsiębiorstw. Z naszych doświadczeń wynika, że ta zmiana dotyczy szczególnie branży e-commerce, czy gamingowej. Jak traktować takie wiadomości? Czy naprawdę musimy usunąć wszystkie dane? Nie stracił na aktualności casus omawiany już w 2018 roku: Klub fitness prowadzi […]

Informowanie o zakażeniach zgodne z RODO – COVID-19

W związku z tym, że wielu pracodawców ma ogromny problem z odpowiedzią na pytanie: “Czy można informować pracowników o przypadkach zakażenia koronawirusem?” przygotowaliśmy kolejny poradnik. Przedstawiamy w nim odpowiedzi na to pytanie oraz wyjaśniamy, jak informować o obecności koronawirusa innych pracowników bez naruszania przepisów o ochronie danych osobowych.  Widzimy potrzebę zebrania w jednym miejscu odpowiedzi […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki