Kursy online? Jak je rozliczać?

Ochrona danych osobowych podczas pracy zdalnej

Aktualności / Koronawirus / Ochrona danych osobowych / Prawa przedsiębiorców / RODO
Czas czytania: 5 minut

Prezes UODO na swojej stronie poinformował jak bezpiecznie pracować zdalnie. 

Nabiera to dodatkowego znaczenia w przypadku przedłużającej się pandemii oraz okresu pracy z domu, a także zakazów nieporuszania się… 

Jak pracować zdalnie i bezpiecznie na urządzeniach?

  1. Urządzenia i oprogramowanie przekazane przez pracodawcę do pracy zdalnej służą do wykonywania obowiązków służbowych. Dlatego też należy postępować zgodnie z przyjęta w organizacji procedurą bezpieczeństwa.
  2. Nie instaluj dodatkowych aplikacji i oprogramowania niezgodnych z procedurą bezpieczeństwa organizacji
  3. Upewnij się, że wszystkie urządzenia z jakich korzystasz mają niezbędne aktualizacje systemu operacyjnego (IOS lub Android), oprogramowania oraz systemu antywirusowego.
  4. Zanim przystąpisz do pracy, wydziel sobie odpowiednią przestrzeń, tak aby ewentualne osoby postronne, nie miały dostępu do dokumentów, nad którymi pracujesz. Odchodząc od stanowiska pracy każdorazowo blokuj urządzenie, na którym pracujesz.

  5. Zabezpieczaj swój komputer poprzez używanie silnych haseł dostępu, wielopoziomowe uwierzytelnianie. Pozwoli to na ograniczenia dostępu do urządzenia, a jednocześnie na ograniczenia ryzyka utraty danych w przypadku kradzieży lub zgubienia urządzenia

  6. Podejmij szczególne środki, aby urządzenia z których korzystasz podczas pracy, szczególnie te wykorzystywane do przenoszenia danych, jak dyski zewnętrzne nie zostały zgubione
  7. Jeśli zgubiłeś urządzenie, na którym pracujesz lub zostało skradzione natychmiast podejmij odpowiednie kroki, aby o ile to możliwie, zdalnie wyczyścić jego pamięć

 

E-mail, bezpieczeństwo i praca zdalna

E-mail, bezpieczeństwo i praca zdalna

  1. Postępuj zgodnie z obowiązującymi zasadami w organizacji dotyczącymi korzystania ze służbowej poczty elektronicznej (e-mail)
  2. Używaj przede wszystkim służbowych kont email. Jeśli pracujesz przetwarzając dane osobowe i musisz używać prywatnego e-maila, upewnij się, że treść i załączniki są właściwie szyfrowane. Unikaj używania danych osobowych lub poufnych informacji w temacie wiadomości
  3. Przed wysłaniem maila upewnij się, że wysyłasz go do właściwego adresata, zwłaszcza jeśli wiadomość zawiera dane osobowe lub dane wrażliwe
  4. Dokładnie sprawdź nadawcę maila. Nie otwieraj wiadomości od nieznanych adresatów, a zwłaszcza nie otwieraj załączników oraz nie klikaj w link zawarty w takiej wiadomości. To może być atak phishingowy.
  5. Nie przesyłaj mailem informacji zaszyfrowanej razem z hasłem. Nawet w osobnej wiadomości. Ten kto ma dostęp do Twojej poczty bez problemu odszyfruje wiadomość.

Dostęp do sieci i chmury podczas pracy zdalnej

  1. Używaj tylko z zaufanego dostępu do sieci lub chmury oraz przestrzegaj wszelkich zasad i procedur organizacyjnych dotyczących logowania i udostępniania danych
  2. Jeśli natomiast nie pracujesz w chmurze lub nie masz dostępu do sieci, zadbaj aby przechowywane dane były w bezpieczny sposób zarchiwizowane.

Więcej, wraz z czytelną grafiką znajdziesz na stronie Prezesa UODO tutaj.

Przeczytaj też, co o pracy zdalnej musisz wiedzieć w dobie koronawirusa poniżej, jakie masz uprawnienia jako pracodawca a czego nie możesz.

Praca zdalna a koronawirus – o czym należy pamiętać?

A jeśli interesuje Cię kwestia RODO w okresie koronawirusa, tego o co możesz pytać a o co nie, to zajrzyj do tego wpisu:

Koronawirus a RODO i ochrona danych osobowych – o co można pytać pracowników?

Dowiedz się też więcej o kontroli RODO:

Kontrola RODO – jakie budzi obawy?

Ochrona danych osobowych w czasach pandemii – wytyczne EROD

W temacie ochrony danych osobowych i pandemii wypowiedziała się też Europejska Rada Ochrony Danych Osobowych.

Wydała stosowne oświadczenie, dostępne na stronie Prezesa PUODO. Poniżej zamieszczam jego treść i wytyczne.

1. Zgodność przetwarzania  z prawem

RODO jest obszernym aktem prawnym, który zawiera przepisy mające zastosowanie również do przetwarzania danych osobowych w kontekście takim jak ten dotyczący COVID-19. RODO pozwala właściwym organom ds. zdrowia publicznego i pracodawcom na przetwarzanie danych osobowych w kontekście epidemii, zgodnie z prawem krajowym i na określonych w nim warunkach. Na przykład, gdy przetwarzanie danych jest konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego. W tych okolicznościach nie ma potrzeby polegania na zgodzie osób fizycznych.

1.1. Jeśli chodzi o przetwarzanie danych osobowych, w tym szczególnych kategorii danych przez właściwe organy publiczne (np. organy ds. zdrowia publicznego), EROD uważa, że art. 6 i art. 9 RODO umożliwiają przetwarzanie danych osobowych, w szczególności gdy wchodzą one w zakres mandatu prawnego organu publicznego przewidzianego w ustawodawstwie krajowym oraz warunków wskazanych w RODO.

1.2 W kontekście zatrudnienia przetwarzanie danych osobowych może być konieczne do wypełnienia obowiązku prawnego, któremu podlega pracodawca, np. obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy lub z interesem publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia. RODO przewiduje również odstępstwa od zakazu przetwarzania określonych szczególnych kategorii danych osobowych, takich jak dane dotyczące zdrowia, gdy jest to konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO), na podstawie prawa Unii lub prawa państwa członkowskiego lub gdy istnieje potrzeba ochrony żywotnych interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. c RODO), ponieważ motyw 46 wyraźnie odnosi się do kontroli epidemii.  

1.3 W odniesieniu do przetwarzania danych telekomunikacyjnych, takich jak dane dotyczące lokalizacji, należy również przestrzegać przepisów krajowych wdrażających dyrektywę o prywatności i łączności elektronicznej. Co do zasady, dane dotyczące lokalizacji mogą być wykorzystywane przez operatora tylko wtedy, gdy są anonimowe lub za zgodą osób fizycznych. Jednakże art. 15 dyrektywy o prywatności i łączności elektronicznej umożliwia państwom członkowskim wprowadzenie środków prawnych mających na celu ochronę bezpieczeństwa publicznego. Takie wyjątkowe przepisy są możliwe tylko wtedy gdy stanowią konieczny, odpowiedni i proporcjonalny środek w ramach społeczeństwa demokratycznego. Środki te muszą być zgodne z Kartą Praw Podstawowych i Europejską Konwencją o Ochronie Praw Człowieka i Podstawowych Wolności. Ponadto podlega ono kontroli sądowej Europejskiego Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka. W przypadku sytuacji nadzwyczajnej powinna ona być również ściśle ograniczona do czasu trwania danej sytuacji nadzwyczajnej.

2. Podstawowe zasady odnoszące się do przetwarzania danych osobowych

Dane osobowe, które są niezbędne do osiągnięcia zamierzonych celów, powinny być przetwarzane w konkretnych i wyraźnych celach.

Ponadto osoby, których dane dotyczą, powinny otrzymywać przejrzyste informacje na temat prowadzonych działań w zakresie przetwarzania oraz ich głównych cech, w tym okresu przechowywania gromadzonych danych i celów przetwarzania. Dostarczane informacje powinny być łatwo dostępne i przedstawione jasnym i prostym językiem.

Ważne jest, aby przyjąć odpowiednie środki bezpieczeństwa i polityki poufności zapewniające, że dane osobowe nie są ujawniane nieupoważnionym stronom. Środki wdrożone w celu zarządzania bieżącą sytuacją nadzwyczajną oraz leżący u ich podstaw proces decyzyjny powinny być odpowiednio udokumentowane.

3. Wykorzystywanie danych z sieci komórkowych dotyczących lokalizacji

  • Czy rządy państw członkowskich mogą wykorzystywać dane osobowe związane z telefonami komórkowymi osób fizycznych w swoich wysiłkach na rzecz monitorowania, ograniczania lub łagodzenia rozprzestrzeniania się COVID-19?

W niektórych państwach członkowskich rządy przewidują wykorzystanie danych z sieci komórkowych dotyczących lokalizacji jako możliwy sposób monitorowania, ograniczania lub łagodzenia skutków rozprzestrzeniania się COVID-19. Oznaczałoby to, na przykład, możliwość geolokalizacji osób lub wysyłania wiadomości dotyczących zdrowia publicznego do osób znajdujących się na określonym obszarze za pomocą telefonu lub wiadomości tekstowych. Organy publiczne powinny w pierwszej kolejności starać się przetwarzać dane dotyczące lokalizacji w sposób anonimowy (tj. przetwarzać dane zagregowane w sposób uniemożliwiający ponowną identyfikację osób), co mogłoby umożliwić generowanie raportów na temat koncentracji urządzeń przenośnych w określonej lokalizacji (“kartografia”).

Zasady ochrony danych osobowych nie mają zastosowania do danych, które zostały odpowiednio zanonimizowane.

Jeżeli nie jest możliwe przetwarzanie wyłącznie danych anonimowych, dyrektywa o prywatności i łączności elektronicznej umożliwia państwom członkowskim wprowadzenie środków legislacyjnych mających na celu ochronę bezpieczeństwa publicznego (art. 15).

Jeżeli zostaną wprowadzone środki umożliwiające przetwarzanie niezanonimizowanych danych dotyczących lokalizacji, państwo członkowskie jest zobowiązane do wprowadzenia odpowiednich zabezpieczeń, takich jak zapewnienie osobom korzystającym z usług łączności elektronicznej prawa do środka prawnego.

Zastosowanie ma również zasada proporcjonalności. Zawsze należy preferować rozwiązania najmniej inwazyjne, biorąc pod uwagę konkretny cel, który ma zostać osiągnięty. Środki inwazyjne, takie jak “śledzenie” osób fizycznych (tj. przetwarzanie historycznych niezanonimizowanych danych dotyczących lokalizacji), można uznać za proporcjonalne w wyjątkowych okolicznościach i w zależności od konkretnych sposobów przetwarzania. Powinny one jednak podlegać wzmożonej kontroli i zabezpieczeniom w celu zapewnienia przestrzegania zasad ochrony danych (proporcjonalność środka pod względem czasu trwania i zakresu, ograniczone zatrzymywanie danych i ograniczenie celu).

4. Zatrudnienie   

  • Czy w kontekście COVID-19 pracodawca może wymagać od osób odwiedzających lub pracowników dostarczenia konkretnych informacji dotyczących zdrowia?

Zastosowanie zasady proporcjonalności i minimalizacji danych jest tu szczególnie istotne. Pracodawca powinien wymagać informacji dotyczących zdrowia jedynie w zakresie, w jakim zezwala na to prawo krajowe.

  • Czy pracodawca może przeprowadzać badania lekarskie pracowników?

Odpowiedź opiera się na przepisach krajowych dotyczących zatrudnienia lub zdrowia i bezpieczeństwa. Pracodawcy powinni mieć dostęp do danych dotyczących zdrowia i przetwarzać je tylko wtedy, gdy wymagają tego ich własne zobowiązania prawne.

  • Czy pracodawca może ujawnić swoim współpracownikom lub innym osobom informację, że jego pracownik jest zakażony COVID-19? 

Pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki), a prawo krajowe na to zezwala, pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem, a ich godność i uczciwość powinny być chronione. 

  • Jakie informacje przetwarzane w kontekście COVID-19 mogą uzyskać pracodawcy?

Pracodawcy mogą uzyskać dane osobowe w celu wypełnienia swoich obowiązków i zorganizowania pracy zgodnie z prawem krajowym.

Wszystkiego Legalnego!

Ilona Przetacznik

Stan prawny na dzień 26.03.2020 r.

Awatar użytkownika

Cześć! Nazywam się Ilona Przetacznik i jestem radcą prawnym. Pokazuję małym przedsiębiorcom na co zwrócić uwagę podpisując umowę oraz wskazuję legalną stronę biznesów online.

Zobacz kolejne wpisy