Od 7 kwietnia b.r. obowiązuje regulacja dotycząca pracy zdalnej. Została wprowadzona ustawą z dnia 1 grudnia 2022 r. o zmianie ustawy – Kodeks pracy oraz niektórych innych ustaw.
Jak czytamy w uzasadnieniu projektu ustawa miała na celu załatwić dwa problemy:
- uregulować badanie prewencyjne trzeźwości pracownika, oraz
- uregulować pracę zdalną, która z powodzeniem funkcjonowała w trakcie pandemii.
Pracę zdalną reguluje rozdział IIc k.p., przepisy Art. 6718 – Art. 6734. Dodatkowych wskazówek interpretacyjnych można szukać w uzasadnieniu projektu ustawy na s. 23 – 43.
- Przepisy istotne z punktu widzenia odo
- Zasady pracy zdalnej – obligatoryjna treść
- Regulamin pracy a reg pracy zdalnej
- Dwie regulacje które trzeba przyjąć
- Co powinna zawierać procedura ochrony danych?
- Klauzula informacyjna i analiza ryzyka
Przepisy istotne z punktu widzenia odo
Spośród tych kilkunastu przepisów, w kontekście odo najważniejsze są te, które stanowią o obowiązku przyjęcia procedury ochrony danych osobowych (art. 67(26) k.p.), oraz te które stanowią o odrębnych procesach, które będzie należało scharakteryzować przez wprowadzenie do rcpd.
Art. 6726. [Ochrona danych osobowych w przypadku wykonywania pracy zdalnej]
§ 1. Na potrzeby wykonywania pracy zdalnej pracodawca określa procedury ochrony danych osobowych oraz przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie.
§ 2. Pracownik wykonujący pracę zdalną potwierdza w postaci papierowej lub elektronicznej zapoznanie się z procedurami, o których mowa w § 1, oraz jest obowiązany do ich przestrzegania.
Postać el – forma dokumentowa
Warto zwrócić uwagę, ze ustawodawca nie wymaga formy pisemnej dla potwierdzenia przez pracownika zapoznania się z procedurami. Postać elektroniczna jest odpowiednikiem formy dokumentowej dla czynności prawnej z art. 77 (2) k.c. Wystarczy więc zwykły mail. Generalnie całość problematyki pracy zdalnej można załatwić elektronicznie.
Art. 772. [Forma dokumentowa] Do zachowania dokumentowej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci dokumentu, w sposób umożliwiający ustalenie osoby składającej oświadczenie.
Art. 773. [Dokument] Dokumentem jest nośnik informacji umożliwiający zapoznanie się z jej treścią.
Dokument zawierający zasady pracy zdalnej – obligatoryjna treść
Ustawa nie mówi co ma się znaleźć w procedurze odo, mówi natomiast co powinno się znaleźć w dokumencie, który reguluje zasady pracy zdalnej, a może to być:
- porozumienie ze związkami zawodowymi,
- regulamin pracy zdalnej,
- polecenie pracy zdalnej,
- porozumienie z pracownikiem.
Dokument ten powinien zawierać, zgodnie z art. 67(20) k.p.:
(…)
§ 6. W porozumieniu, o którym mowa w § 1 i 2, oraz regulaminie, o którym mowa w § 3 i 4, określa się w szczególności:
1) grupę lub grupy pracowników, którzy mogą być objęci pracą zdalną;
2) zasady pokrywania przez pracodawcę kosztów, o których mowa w art. 6724 § 1 pkt 2 lub 3;
3) zasady ustalania ekwiwalentu pieniężnego, o którym mowa w art. 6724 § 3, lub ryczałtu, o którym mowa w art. 6724 § 4;
4) zasady porozumiewania się pracodawcy i pracownika wykonującego pracę zdalną, w tym sposób potwierdzania obecności na stanowisku pracy przez pracownika wykonującego pracę zdalną;
5) zasady kontroli wykonywania pracy przez pracownika wykonującego pracę zdalną;
6) zasady kontroli w zakresie bezpieczeństwa i higieny pracy;
7) zasady kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych;
8) zasady instalacji, inwentaryzacji, konserwacji, aktualizacji oprogramowania i serwisu powierzonych pracownikowi narzędzi pracy, w tym urządzeń technicznych.
§ 7. Do polecenia, o którym mowa w art. 6719 § 3, oraz porozumienia, o którym mowa w § 5 zdanie drugie, stosuje się odpowiednio § 6 pkt 2-8.
Pkt 4, 7 i 8 dotyczą kwestii ochrony danych osobowych i mogą być uszczegółowione w procedurze ochrony danych osobowych. Mogą tam też się znaleźć postanowienia uszczegóławiające pkt 5 i 6.
Regulamin pracy a reg pracy zdalnej
Regulaminu pracy zdalnej nie należy mylić z regulaminem pracy (art. 104 i n. k.p.), który jest obowiązkowym dokumentem u pracodawcy, który zatrudnia 50 albo więcej pracowników. Regulamin pracy zdalnej jest dokumentem fakultatywnym, o czym świadczy art. 67(20) par. 5 k.p.:
§ 5. Wykonywanie pracy zdalnej jest dopuszczalne także w przypadku, gdy nie zostało zawarte porozumienie, o którym mowa w § 1 albo 2, albo nie został wydany regulamin, o którym mowa w § 3 albo 4. W takim przypadku pracodawca określa zasady wykonywania pracy zdalnej odpowiednio w poleceniu wykonywania pracy zdalnej, o którym mowa w art. 67(19) § 3, albo w porozumieniu zawartym z pracownikiem.
Dwie regulacje które trzeba przyjąć
Jednak niezależnie od tego jaka będzie podstawa (sposób wprowadzenia) pracy zdalnej, pracodawca musi uregulować:
- zasady wykonywania pracy zdalnej,
- procedurę ochrony danych osobowych.
Dokument zawierający zasady wykonywania pracy zdalnej zawiera 7 albo 8 obligatoryjnych elementów o których mowa była wyżej. Procedura ochrony danych jak sama nazwa wskazuje będzie się skupiała na aspektach związanych z ochroną danych, którą trzeba zapewnić ze względu na zaistnienie w organizacji procesów składających się na pracę zdalną. Dlaczego procesy, a nie proces pracy zdalnej?
Proces
Przez proces rozumiemy operację lub częściej ciąg operacji przetwarzania (w różnych postaciach począwszy od zebrania) danych osobowych, mający miejsce w organizacji, przeprowadzany ze względu na określony cel, w szczególności biznesowy, planowany i powtarzalny, wykazujący się odrębnościami w stosunku do innych procesów (na podstawie różnych kryteriów, zwłaszcza: kategoria danych, kategoria podmiotów danych, zakres danych, główna podstawa prawna przetwarzania, cel, okres retencji, kto ma dostęp do danych), na tyle istotnymi z punktu widzenia oceny prawnej, że wymaga osobnego odnotowania i nazwania. Zwykle będzie pokrywał się z procesem biznesowym według teorii zarządzania.
Co najmniej trzy procesy w pracy zdalnej
Biorąc pod uwagę definicję procesu i dla czystości obrazu, właściwym będzie ustalenie kilku procesów składających się na zbiorczy proces pracy zdalnej. Można sobie wyobrazić co najmniej trzy procesy:
- Wprowadzenie pracy zdalnej – umowa, uzgodnienie, polecenie pracodawcy, wniosek pracownika, w tym z grupy uprzywilejowanej (art. 6718 – 6719 k.p.)
- Organizacja pracy zdalnej (art. 6720; art. 6724 k.p.)
- Kontrola wykonywania pracy zdalnej (art. 6728 k.p.)
Należy zauważyć, że kontrola pracy zdalnej to nie to samo co monitoring poczty el czy inne formy monitoringu, o których mowa w przepisach ogólnych stosunku pracy (art. 22(3) k.p.). Monitoringiem może być objęty pracownik zdalny ale jest to kwestia równoległa i niezależna od kontroli.
Co powinna zawierać procedura ochrony danych?
Wydaje się, że procedura ochrony danych powinna być poprzedzona analizą ryzyka, podczas której pracodawca zidentyfikuje zagrożenia specyficzne dla sytuacji kiedy sprzęt i nośniki danych opuszczają zakład pracy i znajdują się w mieszkaniu pracownika lub innym miejscu przewidzianym dla pracy zdalnej. Procedura powinna zawierać wskazówki jak ograniczać zidentyfikowane zagrożenia. Przykładowo:
- jak powinna być skonfigurowana sieć domowa,
- jak korzystać z VPN,
- co robić z papierowymi kopiami dokumentów (jeśli nie ma w domu niszczarki, zniszczyć w zakładzie pracy),
- że nośniki danych powinny być zabezpieczone przed domownikami i gośćmi,
- że nośniki danych (pamięć masowa urządzenia) powinny być zaszyfrowane,
- żeby nie zostawiać laptopa w samochodzie,
- żeby nie narażać ekranu laptopa na widok osób trzecich w środkach transportu publicznego,
- żeby logować się tylko do bezpiecznych sieci wymagających silnego hasła, najlepiej w domu,
- żeby szyfrować plik zawierający dane osobowe wysyłany mailem, a hasło innym kanałem (sms),
- że nie może korzystać ze sprzętu służbowego do celów prywatnych.
BYOD (bring your own device)
Jeśli do pracy wykorzystywany jest sprzęt prywatny (6724 par. 2 k.p.) dodatkowo jak z niego korzystać dla celów służbowych aby zapewnić bezpieczeństwo danych i własną prywatność, jaki jest zakres i sposób monitoringu takiej stacji roboczej przez pracodawcę i zasady usuwania danych służbowych, w tym osobowych (model BYOD). W takim wypadku niezbędne będzie zainstalowanie aplikacji typu MDM (ang. Mobile Device Management), które tworzą tzw. kontenery oddzielające dane służbowe od prywatnych i umożliwiające pracodawcy zdalne zarządzenie. W takim wypadku należy dodatkowo zwrócić uwagę przykładowo na kolejne kwestie:
- na jakich zasadach urządzenie może pojawić się w sieci pracodawcy
- jakie oprogramowanie konieczne (antywirusowe i inne) musi posiadać urządzenie
- listę dozwolonych i zakazanych aplikacji
- określenie zasobów do jakich będzie skonfigurowany dostęp z prywatnego urządzenia.
Dwie regulacje – zasady wykonywania pracy zdalnej i procedura ochrony danych osobowych – mogą się znaleźć w jednym dokumencie, ale wydaje się że lepiej rozbić to na dwa.
Klauzula informacyjna i analiza ryzyka
Wdrożenie pracy zdalnej wymaga również aktualizacji lub stworzenia klauzul informacyjnych i przeprowadzenia analizy ryzyka, która poprzedzi stworzenie procedury ochrony danych w pracy zdalnej.