iSecure logo
Blog

Praca zdalna a ochrona danych osobowych – co zmienia nowelizacja Kodeksu pracy

27 stycznia 2023 r. Prezydent RP podpisał ustawę nowelizującą Kodeksu pracy (KP) o przepisy obejmujące m.in. regulacje z zakresu pracy zdalnej i choć praca zdalna jest z nami już od lat, a od 2020 r. jeszcze bardziej zaznaczyła swoją pozycję na rynku pracy (z przymusu), to dotychczas nie była ona tak obszernie uregulowana w żadnych akcie prawnym.

 Jak ma wyglądać praca zdalna według nowelizacji KP?

Praca zdalna została zdefiniowana jako praca, która „może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość” (art. 67(18) KP).

Ustawa została podpisana przez Prezydenta RP 27 stycznia 2023 r. a opublikowana w Dzienniku Ustaw 6 lutego 2023 r. Okres vacatio legis dla przepisów dotyczących pracy zdalnej wynosi dwa miesiące od daty publikacji – oznacza to, że przepisy te wejdą w życie 7 kwietnia 2023 r.

Jakie grupy pracowników obowiązuje nowelizacja?

Zgodnie z regulacją ustawową „Przepisy niniejszego rozdziału[1] stosuje się także do stosunków pracy nawiązanych na innej podstawie niż umowa o pracę” (art. 67(34) KP). Stosunek pracy może powstać na podstawie: umowy o pracę, powołania, wyboru, mianowania i spółdzielczej umowy o pracę. Generalne zasady dotyczące pracy zdalnej określone w KP (zwrot kosztów, ewidencja czasu pracy itp.) powinny dotyczyć ww. stosunków umownych, ale nic nie stoi na przeszkodzie, aby regulacjami z zakresu ochrony danych osobowych, objąć wszystkich pracowników/współpracowników przetwarzających dane osobowe w danej organizacji, bez względu na rodzaj stosunku umownego łączącego strony.

Jakie obowiązki z zakresu ochrony danych osobowych przewidują przepisy o pracy zdalnej?

Zgodnie z nowymi przepisami pracodawca ma obowiązek:

  • określić procedury ochrony danych osobowych w zawiązku z wykonywaniem pracy zdalnej (art. 67 (26) § 1 KP);
  • zapoznać pracownika z ww. procedurami (i na potwierdzenie tego faktu odebrać od pracownika oświadczenie w postaci papierowej lub elektronicznej – art. 67(26) § 2 KP).

Fakultatywnym zadaniem pracodawcy jest przeprowadzenie instruktażu i szkolenia w zakresie procedur ochrony danych osobowych podczas pracy zdalnej (art. 67 (26) § 1 KP).

Co powinna zawierać procedura ochrony danych osobowych?

Regulacja ustawowa nie wskazuje, jakie konkretnie regulacje powinna zawierać procedura ochrony danych osobowych, właściwe wydaje się, aby procedury dotyczyły:

  • bezpieczeństwa miejsca świadczenia pracy zdalnej – uregulowanie kwestii podejmowania pracy zdalnej w miejscach publicznych, jak kawiarnie, restauracje, galerie handlowe, gdzie osoby postronne mogłyby usłyszeć fragmenty służbowych rozmów lub zapoznać się z fragmentami wykonywanej pracy;
  • zabezpieczenia połączenia internetowego i skrzynki e-mail – zasady korzystania ze służbowego hotspota, wymagania dotyczące zabezpieczenia domowej sieci Wi-Fi;
  • sposobów przekazywania informacji – procedura hasłowania dokumentów, procedura weryfikacji tożsamości współpracowników;
  • zasad postępowania z dokumentacją papierową – transport danych z siedziby pracodawcy, wysyłka dokumentów, skanowanie, przechowywanie w miejscu wykonywania pracy zdalnej, sposób niszczenia dokumentacji;
  • wymagań dotyczących urządzeń wykorzystywanych przez pracownika/współpracownika – zakaz udostępniania narzędzi pracy domownikom, sposoby zabezpieczania nośników danych;
  • zasad zgłaszania incydentów,
  • zasad uczestnictwa w szkoleniach,
  • zasad uczestnictwa w wideokonferencjach.

Procedura ochrony danych osobowych podczas pracy zdalnej powinna wskazywać wprost na określone wymagane zachowania w trakcie jej wykonywania. Rekomendujemy zrezygnowanie z ogólnych twierdzeń – „przetwarzaj dane w sposób zapewniający bezpieczeństwo”, ponieważ nie wskazują one na żadne konkretne obowiązki nałożone na pracownika i uniemożliwiają przeprowadzenie odpowiedniej kontroli pracy zdalnej.

Czy pracodawca może skontrolować pracownika?

Zgodnie z art. 67 (28). § 1. Pracodawca ma prawo przeprowadzać kontrolę wykonywania pracy zdalnej przez pracownika, kontrolę w zakresie bezpieczeństwa i higieny pracy lub kontrolę przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych […].

Pracodawca powinien dostosować sposób przeprowadzania kontroli do miejsca wykonywania pracy zdalnej i jej rodzaju, a wykonywanie czynności kontrolnych nie może naruszać prywatności pracownika wykonującego pracę zdalną i innych osób ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem. Dlatego bardzo ważne jest odpowiednie uregulowanie kwestii kontroli pracownika w regulaminie/porozumieniu, tak aby ewentualna ingerencja w prawo pracownika do prywatności była proporcjonalna.

Co istotne, kontrola wykonywania pracy zdalnej, może przybrać także formę zdalną – w formie połączenia się przez wideokonferencję lub wykonanie przez pracownika zdjęć miejsca pracy.

Jakie obowiązki z zakresu pracy zdalnej i ochrony danych osobowych ciążą na administratorach danych?

  • aktualizacja/wprowadzenie regulaminu pracy zdalnej z uwzględnieniem procedur ochrony danych osobowych,
  • aktualizacja Rejestru Czynności Przetwarzania o nową czynność,
  • określenie zasad kontroli wykonywania pracy zdalnej przez pracownika z uwzględnieniem prawa do prywatności,
  • przeprowadzenie procedury Privacy by design dla nowego procesu przetwarzania danych,
  • przeprowadzenie analizy ryzyka,
  • przygotowanie obowiązków informacyjnych,
  • przygotowanie szkolenia z zasad ochrony danych osobowych podczas pracy zdalnej.

 Praca zdalna – kiedy?

Nowe przepisy regulujące pracę zdalną będą obowiązywać od 7 kwietnia br. Pracodawcom został już niespełna miesiąc na pełne dostosowanie organizacji do nowych przepisów i spełnienie szeregu wymogów. Pomimo obowiązków cieszy fakt, że praca zdalna po 3 latach jej ciągłego wykorzystywania w praktyce w końcu znalazła swoje odzwierciedlenie w przepisach.

[1] Rozdział „Praca zdalna”

Pobierz wpis w wersji pdf

Podobne wpisy:

Weryfikacja przestrzegania przepisów dotyczących inspektora ochrony danych – Norwegia

W ostatnich miesiąca nie cichną komentarze po kontroli przeprowadzonej przez UODO w zakresie sprawdzenia sposobu działań IOD-ów, na podstawie listy 27 pytań. Ich treść można poznać na stronie Urzędu (link: https://uodo.gov.pl/pl/138/2336), a także na naszym blogu (link: https://www.isecure.pl/blog/uodo-sprawdza-jak-pracuje-iod-czyli-o-co-chodzi-z-lista-27-pytan/). Z ciekawości przejrzałem strony innych organów ochrony danych osobowych i interesujące wyniki swojej kontroli/ankiety przedstawił w ubiegłym […]

Adres IP daną osobową

CZYM JEST MALWARE?

Każdy z nas słyszał o zagrożeniach związanych z wykorzystywaniem sprzętów elektronicznych, a w szczególności o zagrożeniach wynikających z korzystania z Internetu i pobierania niebezpiecznych plików pochodzących z nieznanych źródeł. Powszechnie stosowanym określeniem na niebezpieczne aplikacje stosowane w urządzeniach teleinformatycznych jest “malware”. Dlaczego malware jest tak niebezpieczny? Czy zagrożony jest każdy komputer? Czy malware i wirus […]

Odpowiedzialność finansowa w grupie kapitałowej i nadzór nad procesami

Podmioty działające w ramach grup kapitałowych bardzo często dzielą̨ się̨ informacjami. Kiedy wymiana dotyczy danych osobowych, z zasady niezbędne jest spełnienie wymagań́ określonych w przepisach o ich ochronie. Nadzór nad procesami w grupie kapitałowej jest w gruncie rzeczy bardzo trudny. Jest to zauważalne zjawisko ukazujące się podczas audytu RODO. Zazwyczaj, nie zdajemy sobie sprawy z […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki