Skracając zagadnienie do absolutnego minimum, może ale jest to szalenie ryzykowne, z czego pracodawcy, często nie zdają sobie sprawy. W teorii coś, co miałoby być bardziej opłacalne niż wyposażanie pracownika w sprzęt do pracy zdalnej, w praktyce może się okazać dużo bardziej kosztowne. Pracodawca powierzając pracownikowi wykonywanie pracy zdalnej na jego prywatnym sprzęcie (komputerze), może doprowadzić do naruszenia zasad dotyczących ochrony danych osobowych, które wynikają z RODO, a odpowiedzialność z tego tytułu, może sięgać nawet 20 000 000 Euro lub 4 % zeszłorocznego przychodu.
Zgodnie z nowelizacją Kodeksu Pracy, w przypadku wykonywania pracy zdalnej przez pracownika ustawodawca zobowiązał pracodawcę do dostarczenia mu odpowiednich narzędzi do jej wykonywania (art. 67(24) § 1 KP). Jednocześnie ustawodawca pozostawił możliwość korzystania z prywatnego sprzętu, pod warunkiem że prywatne urządzenia techniczne i inne narzędzia pracy pracownika zapewniają bezpieczeństwo pracy (art. 67(24) § 2 KP). W przypadku korzystania z prywatnych narzędzi pracownikowi przysługuje ekwiwalent pieniężny w wysokości ustalonej z pracodawcą.
O ile ustawodawca zezwolił na wspomniane w ramach prawa pracy, o tyle zagadnienie to powinno być bardzo dokładnie przeanalizowane pod kątem bezpieczeństwa przetwarzania danych osobowych, które musi pracodawca (jako administrator danych osobowych) zgodnie z art. 5 ust. 1 lit. f oraz art. 32 RODO.
Przepisy nie definiują w precyzyjny sposób, jakie zabezpieczenia od strony technicznej czy administracyjnej powinny być stosowane. W zakresie zabezpieczeń związanych z IT można czerpać m.in. z norm ISO, np. 27001, które na poziomie międzynarodowym standaryzują poziom bezpieczeństwa. Zadaniem administratora jest zapewnienie bezpieczeństwa adekwatnego do stopnia możliwych zagrożeń. Czy więc posługiwanie się sprzętem pracowników do przetwarzania danych osobowych może dawać jakikolwiek poziom bezpieczeństwa?
Niestety niewielki, a trzeba pamiętać, że administrator danych osobowych odpowiada za sprzęt pracownika tak jak za jego samego – przynajmniej w zakresie ochrony danych osobowych. Jednocześnie w takiej sytuacji pracodawca nie ma realnego wpływu na to, jakie zabezpieczenia stosuje pracownik na swoim prywatnym sprzęcie i czy odpowiadają one standardom stosowanym w organizacji. Poza wspomnianym pracodawca nie może zapewnić, że do sprzętu pracownika nie mają dostępu osoby trzecie, które mogłyby nawet nieświadomie wejść w posiadanie informacji stanowiących tajemnicę przedsiębiorstwa, w tym danych osobowych.
Aby pracodawca zwolnił się, przynajmniej w minimalnym zakresie z odpowiedzialności za pracę na sprzęcie, nad którym nie ma bezpośredniej kontroli, musiałby potraktować pracownika jako podmiot zewnętrzny, któremu dane osobowe powierzył do przetwarzania. Biorąc jednak pod uwagę łączący strony stosunek pracy, a także kwestie odpowiedzialności pracodawcy za pracownika w zakresie powierzonych mu obowiązków, traktowanie go jako podmiot zewnętrzny i podwykonawcę jest niemożliwe. Takie rozwiązania mogą być stosowane w przypadku umów o współpracę, jednak i w tych przypadkach zawieranie umowy powierzenia danych osobowych do przetwarzania daje de facto iluzoryczną ochronę administratora.
Częściowym rozwiązaniem problemu mogłoby być zobowiązanie pracownika do stosowania określonych programów, ograniczenia kręgu osób mających dostęp do sprzętu lub w ogóle stosowanie zasad związanych z bezpiecznym wykonywaniem pracy na urządzeniach mających dostęp do sieci publicznej. Mogłoby to być określone w regulaminie pracy zdalnej albo oświadczeniu rozszerzonym lub analogicznym, do tego o którym mowa w art. 67(31) Kodeksu Prazy. Problemem jest jednak fakt, że wspomniane zobowiązanie mogłoby być stosowane tylko w momencie, kiedy pracownik korzysta ze swojego prywatnego sprzętu na potrzeby wykonywania pracy, nie mogłoby ono jednak dotyczyć wykorzystywania sprzętu w czasie wolnym. Pracodawca nie może więc władczo ingerować w miejsce wykonywania pracy zdalnej czy narzędzia wykorzystywane do jej wykonywania, gdyż nie są one jego własnością. Niezależnie od tego, czy pracownik wykonuje powierzoną mu pracę, czy korzysta ze sprzętu w czasie wolnym, dane osobowe przetwarzane, a wprost zgromadzone w pamięci urządzenia, znajdują się tam cały czas i istnieje ryzyko, że do naruszenia dojdzie, w momencie kiedy pracownik korzysta z urządzenia właśnie w czasie wolnym. Ponadto trudno byłoby wymóc na pracowniku, aby np. w odpowiedni sposób zabezpieczał swój sprzęt, w taki sposób, by zminimalizować ryzyko jego kradzieży.
Warto tu również wspomnieć, że zobowiązanie pracownika do stosowania określonych zabezpieczeń, nie zwalnia pracodawcy (jako administratora danych osobowych) wobec Urzędu Ochrony Danych Osobowych, z konieczności prawidłowego stosowania zasady z 5 ust. 1 lit. f oraz art. 32 RODO
Biorąc pod uwagę powyższe, z technicznego punktu widzenia, praca zdalna może być wykonywana na sprzęcie prywatnym pracownika. Pozwalają też na to znowelizowane przepisy prawa pracy. Z perspektywy przepisów RODO, jest to jednak bardzo ryzykowne. Praca na sprzęcie, który nie jest bezpośrednio przez pracodawcę zweryfikowany i nadzorowany, np. pod kątem stosowanych zabezpieczeń, jak programy antywirusowe, firewall, czy sposób dostępu do sprzętu (indywidualny login i hasło) nie daje gwarancji bezpiecznego przetwarzania danych osobowych. Wspomniane nie pozwoli również pracodawcy, w myśl tzw. rozliczalności, w łatwy sposób wykazać, że stosowanie zasad przetwarzania danych osobowych z RODO w tym zasadę integralności i poufności, o której mowa w art. 5 ust 1 lit. f RODO.
Jakub Szajdziński
Specjalizuję się w pomocy prawnej na rzecz przedsiębiorstw z sektora nowych technologii, IT, e-commerce, web&mobile, a także obsłudze spółek prawa handlowego.