Praca zdalna a ochrona danych osobowych
Praca zdalna w Kodeksie pracy
Ustawą z dnia 1 grudnia 2022 r. o zmianie ustawy – Kodeks pracy oraz niektórych innych ustaw[1] przyjęto przepisy dotyczące pracy zdalnej.
Praca zdalna została zdefiniowana jako praca, która „może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość” (art. 6718 Kodeksu pracy).
Ustawa nowelizująca aktualnie oczekuje na podpis Prezydenta, po czym zostanie opublikowana w Dzienniku Ustaw. Okres vacatio legis dla przepisów dotyczących pracy zdalnej wynosi dwa miesiące od daty publikacji ustawy w Dzienniku Ustaw. Oznacza to, że przepisy te wejdą w życie pod koniec marca lub na początku kwietnia 2023 r.
Jakie obowiązki z zakresu ochrony danych osobowych przewidują przepisy o pracy zdalnej?
Zgodnie z nowymi przepisami pracodawca ma obowiązek:
- określić procedury ochrony danych osobowych w związku z wykonywaniem pracy zdalnej;
- w miarę potrzeby przeprowadzić instruktaż i szkolenie w zakresie takich procedur;
- odebrać od pracownika wykonującego pracę zdalną potwierdzenie w postaci papierowej lub elektronicznej o zapoznaniu się z tymi procedurami i o zobowiązaniu się do ich przestrzegania;
- określić regulamin pracy zdalnej lub zawrzeć z zakładową organizacją związkową porozumienie dotyczące pracy zdalnej, w którym uregulowane będą m.in. zasady kontroli wykonywania pracy przez pracownika wykonującego pracę zdalną, zasady kontroli w zakresie bezpieczeństwa i higieny pracy oraz zasady kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych.
Co powinny zawierać procedury ochrony danych osobowych?
Zgodnie z art. 6726 § 1 Kodeksu pracy: „Na potrzeby wykonywania pracy zdalnej pracodawca określa procedury ochrony danych osobowych oraz przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie”.
Z przepisu nie wynika zatem, co konkretnie powinno być uregulowane w procedurach.
Właściwe wydaje się, aby procedury dotyczyły odpowiedniego zabezpieczenia danych osobowych podczas pracy zdalnej, w tym np. nieujawniania danych domownikom, ochrony zawartości ekranu komputera przed dostępem osób postronnych, pracy z dokumentami papierowymi i ich zabezpieczania przed dostępem osób nieupoważnionych.
Procedury takie powinny być dostosowane do innych polityk i procedur dotyczących ochrony danych osobowych, które wdrożono w organizacji.
Jakie elementy regulaminu pracy zdalnej / porozumienia o pracy zdalnej mają wpływ na prywatność pracowników?
Regulamin pracy zdalnej lub porozumienie dotyczące pracy zdalnej mają – zgodnie z art. 6720 § 6 Kodeksu pracy – zawierać m.in.:
- zasady kontroli wykonywania pracy przez pracownika wykonującego pracę zdalną;
- zasady kontroli w zakresie bezpieczeństwa i higieny pracy;
- zasady kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych.
Zgodnie z art. 6728 § 2 Kodeksu pracy pracodawca powinien dostosować sposób przeprowadzania kontroli do miejsca wykonywania pracy zdalnej i jej rodzaju. Ponadto wykonywanie czynności kontrolnych nie może naruszać prywatności pracownika wykonującego pracę zdalną i innych osób ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem.
Wykonywanie czynności kontrolnych przez pracodawcę w powyższym zakresie może prowadzić do ingerencji w prywatność pracownika. Dlatego bardzo ważne jest odpowiednie uregulowanie kwestii kontroli pracownika w regulaminie/porozumieniu, tak aby ewentualna ingerencja w prawo pracownika do prywatności była proporcjonalna.
Co istotne, można przewidzieć, że taka kontrola będzie miała przede wszystkim charakter zdalny.
Dlaczego przepisy o monitoringu pracowników mają tu znaczenie?
Pracodawca może zdecydować się na to, aby kontrola wykonywania pracy zdalnej czy kontrola przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji miała charakter zdalny i polegała np. na monitorowaniu korzystania przez pracownika ze służbowego sprzętu (komputer, telefon), ze służbowej poczty elektronicznej czy innego oprogramowania itp.
W takim przypadku mamy do czynienia z monitoringiem pracowników w rozumieniu przepisów Kodeksu pracy (art. 222 i następne Kodeksu pracy[2]).
Przed wprowadzeniem monitoringu pracowników konieczne jest m.in.:
- sprawdzenie, czy monitoring jest prowadzony w dopuszczalnych celach i czy jest niezbędny do ich osiągnięcia;
- uregulowanie kwestii monitoringu w regulaminie pracy;
- spełnienie obowiązków informacyjnych z RODO[3] i z Kodeksu pracy;
- spełnienie innych obowiązków wynikających z RODO, a związanych z przetwarzaniem danych osobowych zbieranych w trakcie monitoringu pracowników.
[1] Tekst ustawy dostępny na stronie: https://orka.sejm.gov.pl/proc9.nsf/ustawy/2335_u.htm (dostęp: 19.01.2022).
[2] Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2022 r., poz. 1510, ze zm.).
[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z 2016 r., Nr 119, str. 1, ze zm.).