Administrator odpowiada za ochronę danych osobowych na prywatnym komputerze pracownika podczas świadczenia pracy zdalnej
Wyrokiem z dnia 5 października 2023 r. Wojewódzki Sąd Administracyjny w Warszawie podtrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych, w której nałożono karę upomnienia na Rzecznika Finansowego za brak odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych.
Tłem ww. wyroku było naruszenie bezpieczeństwa danych osobowych bowiem prywatny komputer byłego pracownika Rzecznika Finansowego, na którym przechowywane były dane osobowe przetwarzane podczas świadczonej pracy zdalnej, został skradziony. Nieprzeprowadzenie przez administratora (tj. Rzecznika Finansowego) analizy ryzyka związanego z korzystaniem przez pracowników z prywatnych komputerów podczas pracy zdalnej spowodowało, że te dane nie zostały należycie zabezpieczone. Administrator nie wdrożył odpowiednich rozwiązań pozwalających na należytą ochronę przetwarzanych danych podczas świadczenia pracy zdalnej na prywatnym sprzęcie pracowników, takich jak m.in. stosowne procedury i zabezpieczenia na wypadek kradzieży urządzenia. Ponadto, administrator nie sprawdził, czy pracownik po rozwiązaniu stosunku pracy usunął dane z jego prywatnego komputera w sposób skuteczny i trwały. Niedostateczne środki zaradcze techniczne i organizacyjne skutkowały udzieleniem przez Prezesa UODO upomnienia na Rzecznika Finansowego.
WSA w Warszawie podkreślił również, że ciężar dowodowy w tym przypadku spoczywa po stronie administratora i to on powinien być w stanie wykazać, że prywatny laptop pracownika został odpowiednio zabezpieczony przed potencjalnym nieuprawnionym dostępem do danych osobowych, które się na nim znajdowały.
W jaki sposób przepisy Kodeksu pracy odnoszą się do bezpieczeństwa danych osobowych podczas wykonywania pracy zdalnej na prywatnym sprzęcie pracownika?
W przypadku wykonywania pracy zdalnej przez pracownika ustawodawca zobowiązał pracodawcę do dostarczenia pracownikowi odpowiednich narzędzi pracy (art. 6724 § 1 Kodeksu pracy). Jednocześnie przepisy Kodeksu pracy pozostawiły możliwość korzystania z prywatnego sprzętu pracownika podczas świadczenia pracy zdalnej, pod warunkiem że prywatne urządzenia techniczne i inne narzędzia pracy pracownika zapewniają bezpieczeństwo pracy (art. 6724 § 2 Kodeksu pracy). W przypadku korzystania z prywatnych narzędzi pracownikowi przysługuje ekwiwalent pieniężny w wysokości ustalonej z pracodawcą. Praca zdalna wiąże się z wieloma zagrożeniami dla bezpieczeństwa danych osobowych w organizacji, z tego powodu ustawodawca nałożył na pracodawcę obowiązek opracowania procedur ochrony danych osobowych oraz przeprowadzenia, w miarę potrzeby, instruktażu i szkolenia w tym zakresie (art. 6726 Kodeksu Pracy).
Jakie kroki musisz podjąć by Twoi pracownicy bezpiecznie przetwarzali dane osobowe podczas pracy zdalnej?
Zgodnie ze wytycznymi WSA, pracodawca-administrator powinien przeprowadzić analizę ryzyka związanego z korzystaniem przez pracowników z prywatnych komputerów podczas świadczenia pracy zdalnej (art. 32 RODO). Administrator powinien wdrożyć odpowiednie środki techniczne lub organizacyjne by zapewnić stopień bezpieczeństwa danych odpowiadający temu ryzyku.
Przepisy nie definiują w precyzyjny sposób, jakie zabezpieczenia od strony technicznej czy administracyjnej powinny być stosowane przez pracodawcę. Zauważyć jednak należy, że praca na sprzęcie niezweryfikowanym przez pracodawcę, np. pod kątem stosowanych zabezpieczeń (np. programów antywirusowych, zasad ochrony haseł, niesie wysokie ryzyko i nie daje gwarancji bezpiecznego przetwarzania danych osobowych w firmie. Utrudnia to również, w myśl zasady rozliczalności, wykazanie stosowanie zasad przetwarzania danych osobowych wynikających z RODO, w tym zasady integralności i poufności, o której mowa w art. 5 ust. 1 lit. f RODO. Z tego powodu zakresie zabezpieczeń związanych z IT możesz posiłkować się normami ISO (m.in. normą ISO 27001), które to na poziomie międzynarodowym standaryzują poziom bezpieczeństwa w organizacjach.
Pamiętaj, że w zakresie bezpieczeństwa danych osobowych ponosisz odpowiedzialność za sprzęt prywatny pracownika (np. laptopy, komputery) wykorzystywany przy świadczeniu pracy zdalnej na tych samych zasadach co w przypadku powierzonego sprzętu służbowego. Zatem Twoim zadaniem jako administratora będzie zapewnienie bezpieczeństwa danych osobowych na prywatnym sprzęcie pracownika adekwatnego do stopnia możliwych zagrożeń. Z tego powodu konieczne jest byś ustalił odpowiednie zasady korzystania z prywatnych oraz służbowych sprzętów podczas wykonywania pracy zdalnej, m.in. obowiązek korzystania określonych programów, ograniczenia kręgu osób mających dostęp do sprzętu, zasady bezpiecznego korzystania z urządzeń mających dostęp do sieci publicznej. Zasady te mogą być określone w regulaminie pracy zdalnej albo stanowić część procedur obowiązujących w Twojej organizacji.
W Twojej firmie nie uregulowano zasad korzystania z prywatnych oraz służbowych sprzętów podczas wykonywania pracy zdalnej? Skontaktuj się z nami! Pomożemy Ci wdrożyć odpowiednie środki ochrony sprzętów wykorzystywanych do pracy zdalnej, przeszkolimy Twoich pracowników oraz przygotujemy odpowiednią dokumentację dotyczącą bezpieczeństwa danych podczas wykonywania pracy zdalnej dla Twojej organizacji.