Nowelizacja kodeksu pracy, która wprowadza do niego przepisy o pracy zdalnej, wejdzie w życie 7 kwietnia bieżącego roku. Od strony praktycznej budzi jednak ona wiele wątpliwości pracodawców, a największe wiążą się z rozliczaniem kosztów ponoszonych przez pracowników i możliwością kontroli wykonywanej pracy. Niemniej ważne zagadnienia dotyczą jednak uregulowania kwestii przetwarzania i zabezpieczenia danych osobowych w związku z pracą zdalną. Wprawdzie obowiązek w tym zakresie dotyczy pracodawców, jednak przepisy nowelizacji wprowadzają nowe regulacje również i w tym zakresie.
Czy zatem pracodawcy powinni opracować nowe dokumenty odnoszące się do ochrony danych osobowych w kontekście pracy zdalnej?
Zasadniczo niezależnie od tego czy u danego pracodawcy praca zdalna już funkcjonuje, czy też dopiero będzie wprowadzona po wejściu w życie nowych przepisów, wiąże się ona ze specyficznymi dla niej czynnościami przetwarzania danych, a co za tym idzie również z ryzykiem naruszenia ich bezpieczeństwa.
Stąd też na pewno wymagana jest weryfikacja obowiązującej w danej organizacji dokumentacji dotyczącej przetwarzania danych, w odniesieniu do chociażby takich elementów, jak:
- polityka bezpieczeństwa ochrony danych osobowych
- rejestr czynności przetwarzania danych
- zakres wydawanych pracownikom upoważnień do przetwarzania danych
W kontekście pracy zdalnej najważniejsze będzie ustalanie zasad kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony danych osobowych oraz pozyskania od pracowników oświadczeń o zapoznaniu się z procedurami i zobowiązaniu się do ich przestrzegania.
Na pewno konieczna będzie weryfikacja obowiązujących u administratorów danych zasad przetwarzania pod kątem tego, czy uwzględniają one specyfikę przetwarzania i ryzyka związane ze świadczeniem pracy zdalnej. W tym kontekście same zasady kontroli przestrzegania wymogów w zakresie bezpieczeństwa danych osobowych stanowić winny jeden z elementów regulaminu pracy zdalnej. W praktyce jednak ich formalne wprowadzenie może okazać się niewystarczające, bowiem pracodawca będzie miał obowiązek przeprowadzić również odpowiedni instruktaż oraz szkolenie dla pracowników korzystających z pracy zdalnej.
A jak zatem kontrolować wykonywanie pracy zdalnej przez pracowników oraz czy przepisy RODO pozwalają na kontrolowanie pracownika zdalnego w jego domu?
Co do zasady świadczenie pracy w sposób zdalny samo w sobie nie zmienia obowiązującego pracownika czasu pracy, obowiązku pozostawania do dyspozycji pracodawcy czy też poświęcenia czasu pracy na efektywne jej wykonywanie. Jednocześnie kodeks pracy pozwala pracodawcy na różne formy monitorowania pracowników, o ile jest to niezbędne do zapewnienia organizacji pracy, umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych narzędzi pracy. Monitorowanie zatem obejmować może również pocztę elektroniczną pracownika czy też jego aktywność w sieci.
Niezależnie jednak od powyższego, przepisy nowelizacji kodeksu pracy wprowadzają możliwość kontrolowania przez pracodawcę wykonywania pracy zdalnej, a zatem przestrzegania tego czy pracownik stawia się do pracy i wykonuje zlecone mu zadania. Kontroli podlegać będzie mogło również przestrzeganie zasad bhp oraz bezpieczeństwa i ochrony informacji.
Jednocześnie pracodawca, który zdecyduje się na wprowadzenie regulaminu pracy zdalnej, bądź też zawarcie z pracownikiem indywidualnego porozumienia w tym zakresie, powinien określić sposób prowadzenia kontroli wykonywania pracy zdalnej, przestrzegania zasad bhp oraz bezpieczeństwa informacji, w tym ochrony danych osobowych. Poza tym koniecznym jest porozumienie z pracownikiem co do przeprowadzenia kontroli w miejscu wykonywania pracy zdalnej.
Co do zasady przepisy RODO nie wyłączają możliwości kontrolowania pracownika zdalnego zarówno za pośrednictwem środków komunikacji elektronicznej czy też osobiście w miejscu, gdzie faktycznie wykonuje on swe obowiązki. Ważne jednak, by sposób takiej kontroli został wcześniej z nim ustalony, a sama kontrola odbywała się w czasie jego pracy oraz by była ona dostosowana do rodzaju miejsca wykonywania pracy zdalnej. W szczególności nie może ona naruszać prywatności pracownika i innych osób, ani utrudniać korzystania z pomieszczeń domowych. Ważnym jest również, by osoby kontrolujące miały odpowiednie upoważnienia wydane przez pracodawcę i powinny być to osoby, których stanowisko uzasadnia przeprowadzenie kontroli i wiąże się z jej zakresem, a więc w szczególności kontrolę taką prowadzić może:
- bezpośredni przełożony
- pracownik działu HR
- inspektor ochrony danych
Istotnym jest jednocześnie, iż kontrola pracy zdalnej nie musi odbywać się osobiście, bowiem może również przybrać formę zdalną i polegać w szczególności chociażby na:
- poleceniu pracownikowi odbywania spotkań online przy włączonej kamerze
- nagraniu stanowiska pracy zdalnej celem kontroli wymogów bezpieczeństwa
Pamiętać jednakże należy, iż za nadmiernie ingerujące w prywatność pracownika i jego komfort pracy uznać należałoby żądanie, by wykonywał on swoje zadania przy stale włączonej i skierowanej na niego kamerze. Stanowisko takie wyraził niedawno chociażby holenderski sąd pracy, wskazując, iż jest to nadmiarowe działanie ze strony pracodawcy, nieadekwatne do celu, jakim jest kontrola pracy zdalnej.
A jak odpowiednio zabezpieczyć ochronę danych osobowych, gdy pracodawca nie przewiduje wprowadzania regulaminu pracy zdalnej?
Co do zasady przepisy nowelizacji kodeksu pracy nie przewidują bezwzględnego obowiązku ustanowienia regulaminu pracy zdalnej i to nawet po przekroczeniu określonego progu zatrudnienia. Jeżeli zatem w danym przedsiębiorstwie takowy regulamin nie funkcjonuje, wówczas zasady jej świadczenia, w tym również i te dotyczące zabezpieczenia danych osobowych, należałoby uregulować w indywidualnym porozumieniu zawieranym z pracownikiem. Porozumienie takie odwoływać się może do obowiązujących u pracodawcy wewnętrznych regulacji, a zwłaszcza do polityki bezpieczeństwa danych osobowych oraz określać zasady kontroli przestrzegania obowiązków w tym zakresie.
Pamiętać należałoby, iż zgodnie z wprowadzonymi przepisami, miejsce pracy zdalnej wskazane przez pracownika będzie musiało być każdorazowo zaakceptowane przez pracodawcę. Jednocześnie pracodawca winien uzależnić zgodę na to od spełnienia przez pracownika odpowiedniego poziomu bezpieczeństwa, nie tylko dla niego samego, lecz również i dla danych, z których będzie on korzystać, świadcząc pracę na odległość.
A jak właściwie zabezpieczyć dane osobowe, gdy mamy do czynienia z okazjonalną pracą zdalną wykonywaną przez pracownika na jego własnym sprzęcie?
Co do zasady okazjonalna praca zdalna powiązana jest z istotnym ograniczeniem obowiązków pracodawcy, w tym między innymi również i tych, dotyczących zapewnienia narzędzi pracy oraz ponoszenia kosztów z nią związanych. Jednocześnie nie wyklucza to uzależnienia uwzględnienia wniosku pracownika o jej wykonanie od przestrzegania określonych przez pracodawcę zasad bezpieczeństwa ochrony danych, obowiązujących w danym przedsiębiorstwie. Warunek ten powinien być szczególnie brany pod uwagę wówczas, gdy okazjonalna praca zdalna miałaby być świadczona przy użyciu prywatnego sprzętu pracownika, pozostając poza infrastrukturą pracodawcy.
Z jednej bowiem strony przepisy pozwalają na pewne złagodzenie wymogów, z uwagi na incydentalny charakter okazjonalnej pracy zdalnej, o tyle zapominać nie można, iż odpowiedzialność za odpowiednie zabezpieczenie danych osobowych stanowi obowiązek prawny pracodawcy jako administratora tych danych i leży również w zakresie podstawowych obowiązków pracowniczych, z których pracownik może zostać rozliczony w ramach odpowiedzialności porządkowej.
A co w sytuacji, gdy pracownik zdalny nie przestrzega obowiązków w zakresie ochrony danych?
W tym miejscu warto podkreślić, iż przepisy nowelizacji kodeksu pracy pozwalają pracodawcy, który stwierdzi w toku kontroli uchybienia w zakresie przestrzegania przez pracownika zasad bezpieczeństwa ochrony danych, na zobowiązanie go do usunięcia stwierdzonych nieprawidłowości bądź też cofnięcie zgody na wykonywanie pracy zdalnej.
Jeżeli właśnie nastąpi cofnięcie zgody na wykonywanie pracy zdalnej, wówczas pracownik ma obowiązek podjęcia pracy w dotychczasowym miejscu w terminie określonym przez pracodawcę. Jednocześnie nieuzasadnione niezastosowanie się do takiego polecenia może zostać potraktowane jako naruszenie podstawowych obowiązków pracowniczych i skutkować może rozwiązaniem umowy o pracę, nawet w trybie dyscyplinarnym.
Podsumowując, nowelizacja kodeksu pracy, która wprowadza do niego na stałe przepisy o pracy zdalnej, wejdzie w życie 7 kwietnia 2023 roku. Do tej pory budzi ona jednak wiele praktycznych wątpliwości pracodawców, z czego największe wiążą się z prawidłowym rozliczeniem kosztów ponoszonych przez pracowników, jak i możliwością kontroli wykonywania przez nich pracy. Jednakże nie mniej ważną rzeczą jest również odpowiednie uregulowanie kwestii przetwarzania i zabezpieczenia danych w związku z pracą zdalną. Pracodawcy winni zatem również i do tego się przygotować, bowiem to na nich ciąży obowiązek odpowiedniego uregulowania zasad ochrony danych w przedsiębiorstwie.