Praca zdalna w Kodeksie pracy

Ustawą z dnia 1 grudnia 2022 r. o zmianie ustawy – Kodeks pracy oraz niektórych innych ustaw[1] przyjęto przepisy dotyczące pracy zdalnej.

Praca zdalna została zdefiniowana jako praca, która „może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość” (art. 6718 Kodeksu pracy).

Ustawa nowelizująca aktualnie oczekuje na podpis Prezydenta, po czym zostanie opublikowana w Dzienniku Ustaw. Okres vacatio legis dla przepisów dotyczących pracy zdalnej wynosi dwa miesiące od daty publikacji ustawy w Dzienniku Ustaw. Oznacza to, że przepisy te wejdą w życie pod koniec marca lub na początku kwietnia 2023 r.

Jakie obowiązki z zakresu ochrony danych osobowych przewidują przepisy o pracy zdalnej?

Zgodnie z nowymi przepisami pracodawca ma obowiązek:

  • określić procedury ochrony danych osobowych w związku z wykonywaniem pracy zdalnej;
  • w miarę potrzeby przeprowadzić instruktaż i szkolenie w zakresie takich procedur;
  • odebrać od pracownika wykonującego pracę zdalną potwierdzenie w postaci papierowej lub elektronicznej o zapoznaniu się z tymi procedurami i o zobowiązaniu się do ich przestrzegania;
  • określić regulamin pracy zdalnej lub zawrzeć z zakładową organizacją związkową porozumienie dotyczące pracy zdalnej, w którym uregulowane będą m.in. zasady kontroli wykonywania pracy przez pracownika wykonującego pracę zdalną, zasady kontroli w zakresie bezpieczeństwa i higieny pracy oraz zasady kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych.

Co powinny zawierać procedury ochrony danych osobowych?

Zgodnie z art. 6726 § 1 Kodeksu pracy: „Na potrzeby wykonywania pracy zdalnej pracodawca określa procedury ochrony danych osobowych oraz przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie”.

Z przepisu nie wynika zatem, co konkretnie powinno być uregulowane w procedurach.

Właściwe wydaje się, aby procedury dotyczyły odpowiedniego zabezpieczenia danych osobowych podczas pracy zdalnej, w tym np. nieujawniania danych domownikom, ochrony zawartości ekranu komputera przed dostępem osób postronnych, pracy z dokumentami papierowymi i ich zabezpieczania przed dostępem osób nieupoważnionych.

Procedury takie powinny być dostosowane do innych polityk i procedur dotyczących ochrony danych osobowych, które wdrożono w organizacji.

Jakie elementy regulaminu pracy zdalnej / porozumienia o pracy zdalnej mają wpływ na prywatność pracowników?

Regulamin pracy zdalnej lub porozumienie dotyczące pracy zdalnej mają – zgodnie z art. 6720 § 6 Kodeksu pracy – zawierać m.in.:

  • zasady kontroli wykonywania pracy przez pracownika wykonującego pracę zdalną;
  • zasady kontroli w zakresie bezpieczeństwa i higieny pracy;
  • zasady kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych.

Zgodnie z art. 6728 § 2 Kodeksu pracy pracodawca powinien dostosować sposób przeprowadzania kontroli do miejsca wykonywania pracy zdalnej i jej rodzaju. Ponadto wykonywanie czynności kontrolnych nie może naruszać prywatności pracownika wykonującego pracę zdalną i innych osób ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem.

Wykonywanie czynności kontrolnych przez pracodawcę w powyższym zakresie może prowadzić do ingerencji w prywatność pracownika. Dlatego bardzo ważne jest odpowiednie uregulowanie kwestii kontroli pracownika w regulaminie/porozumieniu, tak aby ewentualna ingerencja w prawo pracownika do prywatności była proporcjonalna.

Co istotne, można przewidzieć, że taka kontrola będzie miała przede wszystkim charakter zdalny.

Dlaczego przepisy o monitoringu pracowników mają tu znaczenie?

Pracodawca może zdecydować się na to, aby kontrola wykonywania pracy zdalnej czy kontrola przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji miała charakter zdalny i polegała np. na monitorowaniu korzystania przez pracownika ze służbowego sprzętu (komputer, telefon), ze służbowej poczty elektronicznej czy innego oprogramowania itp.

W takim przypadku mamy do czynienia z monitoringiem pracowników w rozumieniu przepisów Kodeksu pracy (art. 222 i następne Kodeksu pracy[2]).

Przed wprowadzeniem monitoringu pracowników konieczne jest m.in.:

  • sprawdzenie, czy monitoring jest prowadzony w dopuszczalnych celach i czy jest niezbędny do ich osiągnięcia;
  • uregulowanie kwestii monitoringu w regulaminie pracy;
  • spełnienie obowiązków informacyjnych z RODO[3] i z Kodeksu pracy;
  • spełnienie innych obowiązków wynikających z RODO, a związanych z przetwarzaniem danych osobowych zbieranych w trakcie monitoringu pracowników.

[1] Tekst ustawy dostępny na stronie: https://orka.sejm.gov.pl/proc9.nsf/ustawy/2335_u.htm (dostęp: 19.01.2022).

[2] Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2022 r., poz. 1510, ze zm.).

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z 2016 r., Nr 119, str. 1, ze zm.).