iSecure logo
Blog

Praca zdalna a ochrona danych osobowych – co zmienia nowelizacja Kodeksu pracy

27 stycznia 2023 r. Prezydent RP podpisał ustawę nowelizującą Kodeksu pracy (KP) o przepisy obejmujące m.in. regulacje z zakresu pracy zdalnej i choć praca zdalna jest z nami już od lat, a od 2020 r. jeszcze bardziej zaznaczyła swoją pozycję na rynku pracy (z przymusu), to dotychczas nie była ona tak obszernie uregulowana w żadnych akcie prawnym.

 Jak ma wyglądać praca zdalna według nowelizacji KP?

Praca zdalna została zdefiniowana jako praca, która „może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość” (art. 67(18) KP).

Ustawa została podpisana przez Prezydenta RP 27 stycznia 2023 r. a opublikowana w Dzienniku Ustaw 6 lutego 2023 r. Okres vacatio legis dla przepisów dotyczących pracy zdalnej wynosi dwa miesiące od daty publikacji – oznacza to, że przepisy te wejdą w życie 7 kwietnia 2023 r.

Jakie grupy pracowników obowiązuje nowelizacja?

Zgodnie z regulacją ustawową „Przepisy niniejszego rozdziału[1] stosuje się także do stosunków pracy nawiązanych na innej podstawie niż umowa o pracę” (art. 67(34) KP). Stosunek pracy może powstać na podstawie: umowy o pracę, powołania, wyboru, mianowania i spółdzielczej umowy o pracę. Generalne zasady dotyczące pracy zdalnej określone w KP (zwrot kosztów, ewidencja czasu pracy itp.) powinny dotyczyć ww. stosunków umownych, ale nic nie stoi na przeszkodzie, aby regulacjami z zakresu ochrony danych osobowych, objąć wszystkich pracowników/współpracowników przetwarzających dane osobowe w danej organizacji, bez względu na rodzaj stosunku umownego łączącego strony.

Jakie obowiązki z zakresu ochrony danych osobowych przewidują przepisy o pracy zdalnej?

Zgodnie z nowymi przepisami pracodawca ma obowiązek:

  • określić procedury ochrony danych osobowych w zawiązku z wykonywaniem pracy zdalnej (art. 67 (26) § 1 KP);
  • zapoznać pracownika z ww. procedurami (i na potwierdzenie tego faktu odebrać od pracownika oświadczenie w postaci papierowej lub elektronicznej – art. 67(26) § 2 KP).

Fakultatywnym zadaniem pracodawcy jest przeprowadzenie instruktażu i szkolenia w zakresie procedur ochrony danych osobowych podczas pracy zdalnej (art. 67 (26) § 1 KP).

Co powinna zawierać procedura ochrony danych osobowych?

Regulacja ustawowa nie wskazuje, jakie konkretnie regulacje powinna zawierać procedura ochrony danych osobowych, właściwe wydaje się, aby procedury dotyczyły:

  • bezpieczeństwa miejsca świadczenia pracy zdalnej – uregulowanie kwestii podejmowania pracy zdalnej w miejscach publicznych, jak kawiarnie, restauracje, galerie handlowe, gdzie osoby postronne mogłyby usłyszeć fragmenty służbowych rozmów lub zapoznać się z fragmentami wykonywanej pracy;
  • zabezpieczenia połączenia internetowego i skrzynki e-mail – zasady korzystania ze służbowego hotspota, wymagania dotyczące zabezpieczenia domowej sieci Wi-Fi;
  • sposobów przekazywania informacji – procedura hasłowania dokumentów, procedura weryfikacji tożsamości współpracowników;
  • zasad postępowania z dokumentacją papierową – transport danych z siedziby pracodawcy, wysyłka dokumentów, skanowanie, przechowywanie w miejscu wykonywania pracy zdalnej, sposób niszczenia dokumentacji;
  • wymagań dotyczących urządzeń wykorzystywanych przez pracownika/współpracownika – zakaz udostępniania narzędzi pracy domownikom, sposoby zabezpieczania nośników danych;
  • zasad zgłaszania incydentów,
  • zasad uczestnictwa w szkoleniach,
  • zasad uczestnictwa w wideokonferencjach.

Procedura ochrony danych osobowych podczas pracy zdalnej powinna wskazywać wprost na określone wymagane zachowania w trakcie jej wykonywania. Rekomendujemy zrezygnowanie z ogólnych twierdzeń – „przetwarzaj dane w sposób zapewniający bezpieczeństwo”, ponieważ nie wskazują one na żadne konkretne obowiązki nałożone na pracownika i uniemożliwiają przeprowadzenie odpowiedniej kontroli pracy zdalnej.

Czy pracodawca może skontrolować pracownika?

Zgodnie z art. 67 (28). § 1. Pracodawca ma prawo przeprowadzać kontrolę wykonywania pracy zdalnej przez pracownika, kontrolę w zakresie bezpieczeństwa i higieny pracy lub kontrolę przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych […].

Pracodawca powinien dostosować sposób przeprowadzania kontroli do miejsca wykonywania pracy zdalnej i jej rodzaju, a wykonywanie czynności kontrolnych nie może naruszać prywatności pracownika wykonującego pracę zdalną i innych osób ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem. Dlatego bardzo ważne jest odpowiednie uregulowanie kwestii kontroli pracownika w regulaminie/porozumieniu, tak aby ewentualna ingerencja w prawo pracownika do prywatności była proporcjonalna.

Co istotne, kontrola wykonywania pracy zdalnej, może przybrać także formę zdalną – w formie połączenia się przez wideokonferencję lub wykonanie przez pracownika zdjęć miejsca pracy.

Jakie obowiązki z zakresu pracy zdalnej i ochrony danych osobowych ciążą na administratorach danych?

  • aktualizacja/wprowadzenie regulaminu pracy zdalnej z uwzględnieniem procedur ochrony danych osobowych,
  • aktualizacja Rejestru Czynności Przetwarzania o nową czynność,
  • określenie zasad kontroli wykonywania pracy zdalnej przez pracownika z uwzględnieniem prawa do prywatności,
  • przeprowadzenie procedury Privacy by design dla nowego procesu przetwarzania danych,
  • przeprowadzenie analizy ryzyka,
  • przygotowanie obowiązków informacyjnych,
  • przygotowanie szkolenia z zasad ochrony danych osobowych podczas pracy zdalnej.

 Praca zdalna – kiedy?

Nowe przepisy regulujące pracę zdalną będą obowiązywać od 7 kwietnia br. Pracodawcom został już niespełna miesiąc na pełne dostosowanie organizacji do nowych przepisów i spełnienie szeregu wymogów. Pomimo obowiązków cieszy fakt, że praca zdalna po 3 latach jej ciągłego wykorzystywania w praktyce w końcu znalazła swoje odzwierciedlenie w przepisach.

[1] Rozdział „Praca zdalna”

Pobierz wpis w wersji pdf

Podobne wpisy:

Aplikacje mobilne i webowe, a plan kontroli UODO

Niniejszy artykuł omawia plan kontroli sektorowych na rok 2023, przyjęty przez Urząd Ochrony Danych Osobowych (UODO) w Polsce. Należy zaznaczyć, że kontrola będzie obejmować różne podmioty, które przetwarzają dane osobowe w ramach określonych sektorów. W szczególności, plan kontroli dotyczy organów przetwarzających dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym (SIS/VIS), jak również podmiotów […]

Wymiana doświadczenia

Twoja zgoda nie musi być taka formalna, czyli o sztuce pisania klauzul

Niektórzy mówią, że zgoda to najważniejsza przesłanka przetwarzania danych. To oczywiście nieprawda, ponieważ RODO przewiduje sześć równorzędnych i w pełni autonomicznych „opcji” na bazie których można oprzeć działania na danych osobowych. Ale faktem jest, że zgoda jest dość często wykorzystywana – zwłaszcza w kontekście marketingowym. Czy słusznie tak często po nią sięgamy? Tu prostej odpowiedzi […]

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Ciasteczko po Irlandzku, czyli Irlandzki organ nadzorczy o plikach cookies

Irlandzki organ ochrony danych osobowych (IDPC – Irish Data Protection Commision) na swojej stronie internetowej zamieścił wskazówki dotyczące plików cookies oraz innych plików śledzących. Dokument powstał po dokonaniu audytu wybranych stron internetowych. W drugiej połowie ubiegłego roku IDPC wysłał kwestionariusz do 40 różnych organizacji celem przeanalizowania wykorzystania plików śledzących na stronach internetowych. W szczególności chciał […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki