Praca zdalna według wytycznych Europejskiego Inspektora Ochrony Danych
Europejski Inspektor Ochrony Danych - EIOD opracował i wydał dla instytucji UE jako pracodawców dotyczące pracy zdalnej. Oryginalnie dokument w języku angielskim opublikowany został pod tytułem Orientations from the EDPS. Reactions of EU institutions as employers to the COVID-19 crisis i dotyczy oczywiście sytuacji związanej z COVID-19. Dokument ten stanowi podsumowanie dotyczące wypracowanych na przełomie ostatnich miesięcy zasad. W jego treści podkreśla się że w tzw. nowej rzeczywistości koniecznym jest nie zapominanie o ochronie danych osobowych i współpraca Inspektora Ochrony Danych z działem IT i opracowanie jasnych dla pracowników i współpracowników zasad.
Poniżej kilka informacji jakie wskazówki przedstawił EIOD:
1. Sprawdzenie dostępnych na rynku i wykorzystywanych narzędzi
W ostatnich miesiącach pojawiła się konieczność wykorzystywania w pracy narzędzi wspomagających komunikację i prace zdalną. Korzystaliśmy z narzędzi służących do telekonferencji, rozmów audio oraz pracy zdalnej z wykorzystaniem sieci firmowej. Niektóre firmy posiadały takie rozwiązania, ponieważ wcześniej już z nich korzystały, a niektóre dopiero je wdrażały pod presją czasu. Zgodnie z wytycznymi pracodawcy powinni dokonać weryfikacji narzędzi z których korzystają pod kątem utrzymania bezpieczeństwa, poufności danych. W przypadku wdrażania nowych narzędzi należy przed ich wprowadzeniem dokonać ich weryfikacji sprawdzić jakie są ryzyka.
2. Weryfikacja urządzeń służących do wykonywania pracy
W przypadku, gdy pracownicy korzystają ze sprzętu firmowego bezwzględnie dział IT powinien przygotować sprzęt do korzystania tj. dokonać weryfikacji aktualizacji oprogramowania, programów. W przypadku korzystania ze sprzętu prywatnego ustalić należy czy jest możliwość wykonywania na nim pracy, co dokonać powinien dział IT. Bezwględnie powinniśmy posiadać informacje kto na jakim sprzęcie pracuje. Ponadto pracownicy powinny znać zasady korzystania z takiego sprzętu. Po stronie pracodawcy pozostaje ich opracowanie tutaj niezbędna będzie współpraca Inspektora Ochrony Danych z działem IT.
3. Precyzyjne określenie ról stron przy zawieraniu umowy z podmiotami zewnętrznymi
Posługiwanie się podmiotami zewnętrznymi ich wiedzą i wsparciem jest powszechne i tak samo jest w przypadku pracy zdalnej. Zgodnie z wytycznymi w umowach zawieranych z tymi podmiotami zadbać należy o precyzyjne określenie kto jest administratorem, a kto podmiotem przetwarzającym. Umowa powinna zawierać informacje, o których mowa w art.29 Rodo, w szczególności powinniśmy uregulować w jej treści również kwestie dotyczące podwykonawców.
4. Ustalenie czy dane są przekazywane lub przechowywane poza EOG
Korzystając z usług podmiotu świadczącego usługi wspomagające prace zdalną pracowników lub dostarczające nam konkretne narzędzia, usługi do komunikacji powinnismy ustalić gdzie będą przechowywane powierzone przez nas dane. Kluczowe jest ustalenie czy dane będą przechowywane i przekazywane na terenie UE czy poza UE. Jest to istotna kwestia ze względu na ostatnie orzecznictwo odsyłam do wpisu dotyczącego tej kwestii który jest dostępny już na blogu.
Przekazywanie danych- link do artykułu https://www.wix.com/dashboard/0924f897-54e2-4f6b-97f9-5bee30b888c8/blog/5f189d70765355001785118b/edit
5. Pozyskanie zgody pracownika na czynności monitorujące
Prowadząc spotkania pracowników w trybie online, nagrywając takie spotkania powinniśmy poinformować o tym pracowników i uzyskać ich zgodę na wykonanie takiego nagrania. Prowadząc rozmowy z pracownikiem pracującym w trybie home office powinniśmy uważać aby nie naruszyć jego prywatności.
6. Ustalenie kwestii zatrzymywania danych
Administrator danych powinien przed zawarciem umowy z dostawcą usługi ustalić zasady przechowywania danych. Należy w zapisach umownych zawrzeć jasne zasady jak długo dostawca może przechowywać dane i kiedy powinien je usunąć. Warto uregulować również sposób usunięcia danych.
7. Zwróć uwagę na bezpieczeństwo danych
Zgodnie z wytycznymi administrator powinien zapewnić bezpieczeństwo w korzystaniu z narzędzi do wideokonferencji, komunikacji z pracownikami, zdalnej pracy. Bardzo ważnym elementem jest edukacja pracowników, w szczególności informowaniu ich o zagrożeniach i bezpiecznym z nich korzystaniu. Pracownicy powinni posiadać wiedzę o możliwości zhakowania narzędzia do wideokonferencji, atakach phishingowych i atakach typu „spoofing”.