Katarzyna Kubicka-Żach: Wielość zadań, jakie wykonują samorządy, powoduje, że przetwarza się tam dużo danych osobowych. Czy podczas pracy zdalnej mogą być bezpieczne?
Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp. p.: Śmiało można powiedzieć, że każda gmina wykonuje więcej zadań niż przedsiębiorstwo - duża ich część została wskazana w ustawie o samorządzie gminnym, ale znaczna ich liczba to zadania nałożone na jednostkę w osobnych przepisach. Opisują one często bardzo precyzyjne, jakie dane i w jakim zakresie się przetwarza, albo określają zadanie w taki sposób, że oczywiste jest, iż ich realizacja wymaga przetwarzania danych i udokumentowania tego przetwarzania. Niemniej - danych osobowych w samorządzie przetwarza się bardzo dużo.
To powoduje pytania o nośniki danych osobowych, dokumenty, w których są zawarte, systemy informatyczne, programy, w jakich dane się przetwarza i sprzęt komputerowy – zwłaszcza przy pracy zdalnej. To wszystko wymaga zinwentaryzowania, uporządkowania, kontroli i odpowiednich procedur. Bo czy każdy czułby się komfortowo, mając świadomość, że jego dane osobowe, często związane ze sprawami prywatnymi, są migrowane bez kontroli na prywatne komputery urzędników? Na przykład sprawy z zakresu pomocy społecznej, rozliczeń, kwestii podatkowych. Pojawia się pytanie, czy standard przetwarzania danych w taki sposób może być odpowiedni?
Czytaj w LEX: Praca zdalna w administracji samorządowej w czasie epidemii >
Czy urzędy samorządowe, zwłaszcza mniejsze, gdzie jest mniej kadr, i czasem pieniędzy, są przygotowane do ochrony danych - logistycznie i pod względem jakości sprzętu?
Często niestety nie są, co powoduje, że nie mają też zasobów, żeby odpowiednio zadbać o bezpieczeństwo danych przetwarzanych zdalnie. Przede wszystkim wielokrotnie brak sprzętu, który można powierzyć pracownikom, którym polecono wykonywanie pracy zdalnej, aby mogli wykonywać swe służbowe zadania niestacjonarnie. Bywają też sytuacje, że liczba licencji na programy jest ograniczona i – co oczywiste - nie da się ich swobodnie przenieść na komputery prywatne. Poza tym to przeniesienie także może być trudne ze względu na to, że komputer w domu nie za każdym razem jest własnością urzędnika, stąd nie może on nim swobodnie dysponować, ponadto pozostaje w użyciu większej liczy osób, co wywołuje ryzyko nieuprawnionego dostępu.
Sprawdź w LEX: Czy pracownik może świadczyć pracę zdalną w innym miejscu niż miejsce zamieszkania? >
Co więcej, pewne rozwiązania systemowe są powiązane z konkretnymi stanowiskami pracy, urzędnicy nie wezmą przecież do domu fragmentu oprogramowania, sieci, systemu. Wątpliwości są daleko idące i jest ich wiele, specyfika spraw prowadzonych w samorządach może spowodować, że praca zdalna może się okazać bardzo trudna. Dotyczy to choćby zakresu dysponowania aktami postępowań administracyjnych. Nie sposób przyjąć, że można z nich korzystać dowolnie.
Jak wobec tego zapewnić ochronę danych przy pracy urzędnika „w domu” – czy to w ogóle możliwe?
Przede wszystkim rekomendowałabym analizę stanu faktycznego i opracowanie rzeczowych procedur. Największy problem leży w organizacji i świadomości pracowników. Samo napisanie zasad i polityk określających zakres ochrony danych osobowych nic nie zmieni, jeśli nie będzie właściwej komunikacji z pracownikami, a niestety brak świadomości urzędników to nadal fakt. Co więcej – należy ustalić, jak praca zdalna wpływa na system ochrony danych, który powstał w warunkach i na czas pracy stacjonarnej.
Z RODO wynika, że system ochrony danych powinien być tworzony, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania, ale przecież w pracy zdalnej ów kontekst się zmienia, bo procedury bezpieczeństwa były tworzone, kiedy pracownicy wykonywali czynności „pod okiem pracodawcy”, na jego sprzęcie i w jego obszarze. Praca zdalna znacząco to zmienia i to właśnie koniecznie musi być uwzględnione.
Czytaj w LEX: Zmiany w organizacji pracy w urzędach gmin w związku z wprowadzeniem stanu epidemii >
Zobacz też: Samorządowcy zdecydują o pracy zdalnej swoich urzędów>>
No właśnie, czy jak urzędnik zniknie „spod oka pracodawcy”, to będzie pamiętał o procedurach? Czy trzeba go cały czas pilnować?
Jak wspomniałam, organizacja pracy i świadomość pracowników jest najważniejsza, ale trzeba się zastanowić, jak określić standardy, jeśli chodzi o zabezpieczenia stanowisk pracy, sieci, dokumentów, jak powinno wyglądać stanowisko pracy. Do tego dochodzą względy BHP, bo fakt, że pracownik jest odesłany do pracy zdalnej, nie oznacza, że pracodawca przestaje organizować pracę od strony BHP i przestaję za tę sferę odpowiadać. Te wszystkie standardy powinny być opisane – również dotyczące kontroli pracowników czy np. prowadzenia wideokonferencji.
Sprawdź w LEX: Czy w przypadku pracy zdalnej związanej ze zwalczaniem COVID-19 trzeba wypłacać ekwiwalent za Internet, prąd lub sprzęt pracownika? >
Ale rozumiem, że gotowej recepty nie ma?
Procedury powinny zawierać rozwiązania praktyczne, koniecznie odpowiadające uwarunkowaniom konkretnej organizacji. Nawet w dwóch znacząco zbliżonych do siebie urzędach gmin czy starostwach powiatowych mamy zwykle do czynienia z różnicami organizacyjnymi i technicznymi i to musi być uwzględnione zarówno w czasie pracy zdalnej, jak i wówczas, gdy praca odbywa się w siedzibie pracodawcy. Tymczasem ochrona danych była często stosowana jako zespół swego rodzaju bazowych polityk, które muszą być w każdym podmiocie, jednak te procedury wielokrotnie są zupełnie nieprzystające do rzeczywistości, bo np. w rzeczywistości ich treść stanowi przeniesione przepisy RODO, które są na tyle ogólne, że z postanowień tych w konkretnym urzędzie niewiele wynika, bo nie sposób z nich wywnioskować, jak konkretnie ma się zachować pracownik, jakie ma obowiązki, jak ma zabezpieczyć dane, jak ma postąpić w sytuacji kryzysowej, itp.
Czytaj w LEX: Okiem ID-a: ochrona danych osobowych przy pracy zdalnej >
Niestety, pracownicy są wciąż nieświadomi ochrony danych, podpisali kiedyś dokumenty, że zapoznali się z zasadami. I tyle. Kiedy pracuje się z domu, jest zupełnie inaczej. Warto więc przejrzeć procedury i je pozmieniać. Przede wszystkim natomiast administratorzy, a w praktyce kierownictwo urzędów musi zainwestować czas, a być może i środki, w szkolenie personelu – i tego, który pracuje zdalnie, i tego, który pracujących zdalnie urzędników ma wspierać. Jeśli już stworzymy procedury związane z pracą zdalną, one muszą być zakomunikowane pracownikom w sposób, który pozwoli im na rzeczywiste zapoznanie się z zasadami działania w tych szczególnych warunkach. Nie wystarczy tu potwierdzenie, że dotychczasowe polityki dalej działają, bo wielokrotnie ich treść rażąco rozmija się z uwarunkowaniami pracy zdalnej.
Zobacz procedurę w LEX: Zasady wykonywania pracy zdalnej w okresie stanu epidemii >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.