iSecure logo
Blog

Praca zdalna a ochrona danych osobowych – co zmienia nowelizacja Kodeksu pracy

27 stycznia 2023 r. Prezydent RP podpisał ustawę nowelizującą Kodeksu pracy (KP) o przepisy obejmujące m.in. regulacje z zakresu pracy zdalnej i choć praca zdalna jest z nami już od lat, a od 2020 r. jeszcze bardziej zaznaczyła swoją pozycję na rynku pracy (z przymusu), to dotychczas nie była ona tak obszernie uregulowana w żadnych akcie prawnym.

 Jak ma wyglądać praca zdalna według nowelizacji KP?

Praca zdalna została zdefiniowana jako praca, która „może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość” (art. 67(18) KP).

Ustawa została podpisana przez Prezydenta RP 27 stycznia 2023 r. a opublikowana w Dzienniku Ustaw 6 lutego 2023 r. Okres vacatio legis dla przepisów dotyczących pracy zdalnej wynosi dwa miesiące od daty publikacji – oznacza to, że przepisy te wejdą w życie 7 kwietnia 2023 r.

Jakie grupy pracowników obowiązuje nowelizacja?

Zgodnie z regulacją ustawową „Przepisy niniejszego rozdziału[1] stosuje się także do stosunków pracy nawiązanych na innej podstawie niż umowa o pracę” (art. 67(34) KP). Stosunek pracy może powstać na podstawie: umowy o pracę, powołania, wyboru, mianowania i spółdzielczej umowy o pracę. Generalne zasady dotyczące pracy zdalnej określone w KP (zwrot kosztów, ewidencja czasu pracy itp.) powinny dotyczyć ww. stosunków umownych, ale nic nie stoi na przeszkodzie, aby regulacjami z zakresu ochrony danych osobowych, objąć wszystkich pracowników/współpracowników przetwarzających dane osobowe w danej organizacji, bez względu na rodzaj stosunku umownego łączącego strony.

Jakie obowiązki z zakresu ochrony danych osobowych przewidują przepisy o pracy zdalnej?

Zgodnie z nowymi przepisami pracodawca ma obowiązek:

  • określić procedury ochrony danych osobowych w zawiązku z wykonywaniem pracy zdalnej (art. 67 (26) § 1 KP);
  • zapoznać pracownika z ww. procedurami (i na potwierdzenie tego faktu odebrać od pracownika oświadczenie w postaci papierowej lub elektronicznej – art. 67(26) § 2 KP).

Fakultatywnym zadaniem pracodawcy jest przeprowadzenie instruktażu i szkolenia w zakresie procedur ochrony danych osobowych podczas pracy zdalnej (art. 67 (26) § 1 KP).

Co powinna zawierać procedura ochrony danych osobowych?

Regulacja ustawowa nie wskazuje, jakie konkretnie regulacje powinna zawierać procedura ochrony danych osobowych, właściwe wydaje się, aby procedury dotyczyły:

  • bezpieczeństwa miejsca świadczenia pracy zdalnej – uregulowanie kwestii podejmowania pracy zdalnej w miejscach publicznych, jak kawiarnie, restauracje, galerie handlowe, gdzie osoby postronne mogłyby usłyszeć fragmenty służbowych rozmów lub zapoznać się z fragmentami wykonywanej pracy;
  • zabezpieczenia połączenia internetowego i skrzynki e-mail – zasady korzystania ze służbowego hotspota, wymagania dotyczące zabezpieczenia domowej sieci Wi-Fi;
  • sposobów przekazywania informacji – procedura hasłowania dokumentów, procedura weryfikacji tożsamości współpracowników;
  • zasad postępowania z dokumentacją papierową – transport danych z siedziby pracodawcy, wysyłka dokumentów, skanowanie, przechowywanie w miejscu wykonywania pracy zdalnej, sposób niszczenia dokumentacji;
  • wymagań dotyczących urządzeń wykorzystywanych przez pracownika/współpracownika – zakaz udostępniania narzędzi pracy domownikom, sposoby zabezpieczania nośników danych;
  • zasad zgłaszania incydentów,
  • zasad uczestnictwa w szkoleniach,
  • zasad uczestnictwa w wideokonferencjach.

Procedura ochrony danych osobowych podczas pracy zdalnej powinna wskazywać wprost na określone wymagane zachowania w trakcie jej wykonywania. Rekomendujemy zrezygnowanie z ogólnych twierdzeń – „przetwarzaj dane w sposób zapewniający bezpieczeństwo”, ponieważ nie wskazują one na żadne konkretne obowiązki nałożone na pracownika i uniemożliwiają przeprowadzenie odpowiedniej kontroli pracy zdalnej.

Czy pracodawca może skontrolować pracownika?

Zgodnie z art. 67 (28). § 1. Pracodawca ma prawo przeprowadzać kontrolę wykonywania pracy zdalnej przez pracownika, kontrolę w zakresie bezpieczeństwa i higieny pracy lub kontrolę przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych […].

Pracodawca powinien dostosować sposób przeprowadzania kontroli do miejsca wykonywania pracy zdalnej i jej rodzaju, a wykonywanie czynności kontrolnych nie może naruszać prywatności pracownika wykonującego pracę zdalną i innych osób ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem. Dlatego bardzo ważne jest odpowiednie uregulowanie kwestii kontroli pracownika w regulaminie/porozumieniu, tak aby ewentualna ingerencja w prawo pracownika do prywatności była proporcjonalna.

Co istotne, kontrola wykonywania pracy zdalnej, może przybrać także formę zdalną – w formie połączenia się przez wideokonferencję lub wykonanie przez pracownika zdjęć miejsca pracy.

Jakie obowiązki z zakresu pracy zdalnej i ochrony danych osobowych ciążą na administratorach danych?

  • aktualizacja/wprowadzenie regulaminu pracy zdalnej z uwzględnieniem procedur ochrony danych osobowych,
  • aktualizacja Rejestru Czynności Przetwarzania o nową czynność,
  • określenie zasad kontroli wykonywania pracy zdalnej przez pracownika z uwzględnieniem prawa do prywatności,
  • przeprowadzenie procedury Privacy by design dla nowego procesu przetwarzania danych,
  • przeprowadzenie analizy ryzyka,
  • przygotowanie obowiązków informacyjnych,
  • przygotowanie szkolenia z zasad ochrony danych osobowych podczas pracy zdalnej.

 Praca zdalna – kiedy?

Nowe przepisy regulujące pracę zdalną będą obowiązywać od 7 kwietnia br. Pracodawcom został już niespełna miesiąc na pełne dostosowanie organizacji do nowych przepisów i spełnienie szeregu wymogów. Pomimo obowiązków cieszy fakt, że praca zdalna po 3 latach jej ciągłego wykorzystywania w praktyce w końcu znalazła swoje odzwierciedlenie w przepisach.

[1] Rozdział „Praca zdalna”

Pobierz wpis w wersji pdf

Podobne wpisy:

Czy pracodawca może przetwarzać dane biometryczne pracownika?

Dane biometryczne Według RODO danymi biometrycznymi nazywamy dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, a także behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, np. odciski palców, wizerunek twarzy, kształt małżowiny usznej, głos, kod DNA, tęczówka […]

4 istotne obszary, na które administrator powinien zwrócić szczególną uwagę przy powierzeniu przetwarzania danych

Czym jest powierzenie przetwarzania danych osobowych? Z powierzeniem przetwarzania danych osobowych mamy do czynienia w sytuacji, w której podmiot będący administratorem danych osobowych powierza podmiotowi zewnętrznemu (podmiotowi przetwarzającemu) przetwarzanie danych w związku z realizacją przez ten podmiot określonych usług na rzecz administratora, takich jak np. rachunkowość, archiwizacja dokumentów, IT, monitoring, w określonych przypadkach rekrutacja pracowników […]

Fuzje i przejęcia – jak przeprowadzić ten proces zgodnie z RODO?

Przeprowadzone w 2019 r. przez Euromoney Thought Leadership Consulting badanie ponad 500 praktyków zajmujących się fuzjami i przejęciami w Europie, na Bliskim Wschodzie i w Afryce (EMEA) wykazało, że ogólne rozporządzenie o ochronie danych (RODO) miało znaczący wpływ na proces fuzji i przejęć wielu organizacji. 55% ankietowanych praktyków zajmujących się fuzjami i przejęciami potwierdziło, że […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki