Organizując pracę zdalną należy pamiętać, że wraz ze zmianą formy działania, zmieniają się również procesy przetwarzania danych. Fakt, że poruszamy się w rzeczywistości kryzysowej nie oznacza, że zostaliśmy automatycznie zwolnieni z przestrzegania obowiązujących przepisów prawa – przepisy dotyczące ochrony danych osobowych wciąż są w mocy i należy ich przestrzegać.

Nowe formy przetwarzania danych powodują, że mamy do czynienia z nowymi sposobami przesyłania czy przechowywania informacji, a tym samym z nowymi zagrożeniami. Administrator Danych nie może dopuścić do utraty kontroli nad danymi. Praca zdalna, nie jest koncepcją nową i była już dotychczas wykorzystywana przez pracodawców, choć zazwyczaj występowała raczej w charakterze pewnego przywileju przyznawanego konkretnym pracownikom. Przetwarzanie danych z wykorzystaniem komputerów przenośnych też nie jest niczym nowym – obecna trudność organizacyjna wynika jednak ze skali zjawiska. Dotychczas nie mieliśmy bowiem do czynienia z pracą zdalną aż w takim wymiarze – z delegowaniem do pracy w domu wszystkich lub dużej ilości pracowników. Nie dochodziło do jednoczesnej niedostępności w siedzibie wszystkich pracowników danego działu oraz konieczności jednoczesnego korzystania z łączy komunikacyjnych znacznej ilości osób.

Warto zatem zwrócić zatem uwagę na kilka elementów: 

1. Poczta elektroniczna 

Jednym z zagrożeń na jakie należy zwrócić uwagę, to wzrost ilości informacji przesyłanych za pośrednictwem komunikacji elektronicznej. Ta forma komunikacji jest szczególnie narażona na ataki phishingowe (czyli podszywanie się pod zaufanego nadawcę, m.in. za pomocą odpowiednio spreparowanych emaili).  

W tej sytuacji warto oprócz standardowego oprogramowania antywirusowego i filtrów antyspamowych, rozważyć dodatkowe rozwiązanie zapewniające bezpieczeństwo pasywne – w postaci specjalnych certyfikatów (ID) potwierdzających wiarygodność nadawcy (tzn. że dana wiadomość została rzeczywiście wysłana ze skrzynki mailowej o konkretnej nazwie). Dostępne na rynku rozwiązania komercyjne, a z takich powinni korzystać użytkownicy instytucjonalni (rozwiązania darmowe są zazwyczaj przeznaczone do użytku domowego), zaczynają się od poziomu około 40 zł netto/rok za certyfikat dla 1 adresu mailowego – na rynku jest wielu dostawców takich usług.

Czy w taki certyfikat powinni zostać wyposażeni wszyscy pracownicy? Jeśli dysponujemy wystarczającymi środkami finansowymi, to zapewne należałoby go zainstalować na kontach mailowych wszystkich pracowników, a co najmniej tych osób, które prowadzą korespondencję z dużą liczbą odbiorców zewnętrznych albo przesyłają być może rzadziej, jednak informacje kluczowe dla podmiotu. W wersji minimum należałoby rozważyć zastosowanie takiego rozwiązania w stosunku do wszystkich osób z kadry kierowniczej oraz pracowników działów: kadrowego, finansowego, zamówień publicznych czy rzecznika prasowego. 

2. Wydawanie dokumentów papierowych do pracy poza siedzibą Administratora

Praca zdalna może się też wiązać z koniecznością wydawania pracownikom dokumentów papierowych niezbędnych do jej wykonywania – nie wszystkie bowiem nasze zasoby mają formę elektroniczną, a ich szybka digitalizacja w obecnych warunkach może okazać się niemożliwa. Takie rozwiązanie należy traktować jako ostateczność. Pracownik zwykle otrzymuje oryginały dokumentacji, zatem jej ewentualna utrata (kradzież, zagubienie, zniszczenie) automatycznie może skutkować trwałym brakiem dostępności do tych materiałów, a jeśli zawierały one dane osobowe, w praktyce może się okazać koniecznym dokonanie zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO. 

Jeżeli jednak nie będzie innej możliwości należy przede wszystkim zadbać, aby:

• wydanie i zdanie pobranej dokumentacji zawsze następowało w formie pisemnej (protokół, bądź notatka służbowa), gdzie osoba uprawniona do wydania dokumentów stwierdza fakt ich wydania dokumentacji (zwrotu), a pracownik kwituje jej otrzymanie (zdanie).  W protokole należy też określić rodzaj i ilość dokumentacji/ materiałów oraz co najmniej ogólnie ich treść (zawartość),
• osoba wydająca powinna udzielić pracownikowi instruktażu, co do sposobu przewożenia dokumentów, ich zabezpieczenia w trakcie i po zakończeniu pracy w domu, a także postępowania z dokumentami zbędnymi (np. wydrukowanymi w domu kopiami dokumentów przesłanych w formie elektronicznej). Fakt przeprowadzania takie instruktażu może zostać odnotowany w w/w protokole/notatce,
• transport dokumentów powinien zostać zrealizowany za pomocą prywatnego pojazdu pracownika (jeżeli nie możemy w tym celu przydzielić mu pojazdu służbowego), bezpośrednio pomiędzy miejscem pracy a miejscem zamieszkania pracownika – bez żadnych przystanków po drodze. Wykorzystanie komunikacji publicznej do przewożenia dokumentacji należy uznać za rozwiązanie zbyt ryzykowne (nie zaleca się udzielania na nie zgody). Zwrot dokumentów powinien zostać zrealizowany w tym samym trybie,
• do wydanej dokumentacji nie powinna mieć dostępu osoba nieupoważniona, w tym także domownicy. Należy pamiętać, że uzyskane w ten sposób informacje, takie osoby mogą kolportować dalej, nawet bez złej intencji, jednak ze szkodą dla Administratora Danych. Nie są ono bowiem związane żadną zależnością służbową z pracodawcą. Po zakończeniu pracy w danym dniu dokumentacja służbowa powinna zostać złożona i zabezpieczona przed nieuprawnionym dostępem, 
• zasadami bezpieczeństwa informacji należy objąć także materiały robocze (wydruki wstępne, notatki, szkice itp.). Z tego względu zakazane jest ich wyrzucanie do kosza w domu. Jeżeli pracownik nie posiada prywatnej niszczarki, powinien takie materiały także zabezpieczyć, do czasu ich zniszczenia w miejscu pracy ( po zakończeniu okresu pracy zdalnej).