Praca zdalna nie zawsze może ograniczać się do zdalnego dostępu do danych dostępnych w siedzibie Administratora. Czy pracownik może wziąć do domu dokumenty?

Urząd Ochrony Danych Osobowych opublikował na swojej stronie internetowej wytyczne w sprawie udostępniania pracownikom przez Administratora Danych dokumentacji papierowej (zawierającej dane osobowe) na potrzeby wykonywania pracy zdalnej. Wytyczne te w znacznym stopniu potwierdzają zalecenia, jakie przesłaliśmy Państwu w naszym komunikacie z 23 marca 2020 r. 

W ocenie UODO pracodawca w wyjątkowych sytuacjach może zezwolić pracownikom na korzystanie w pracy zdalnej z dokumentacji papierowej zawierającej dane osobowe. Musi jednak przy tym pamiętać, że wiąże się to z większym ryzykiem naruszenia bezpieczeństwa danych osobowych, a tym samym z koniecznością ich odpowiedniego zabezpieczenia.

UODO przedstawiło podstawowe zasady, którymi należy się w takiej sytuacji kierować:

1. Pracownicy nie mogą samowolnie wynosić dokumentacji w postaci papierowej poza określony przez pracodawcę obszar przetwarzania danych;
2. Pracodawca powinien wdrożyć odpowiednie wewnętrzne polityki oraz inne procedury, w których określi związane z tym zasady oraz wskaże środki organizacyjne i techniczne mające na celu ograniczenie ryzyka związanego z utratą dostępności, integralności oraz poufności danych. Należy przede wszystkim ocenić, czy do wykonania pracy zdalnej niezbędny jest dostęp do danych osobowych, czy też jest możliwe skorzystanie z dokumentów poddanych pseudonimizacji, po której pracownik otrzyma dokumenty, które nie zawierają danych osobowych;
3. Jeżeli praca zdalna wymaga dostępu do dokumentów papierowych zawierających dane osobowe zaleca się wydawanie kopii tych dokumentów – co zminimalizuje ryzyko naruszenia integralności danych osobowych oraz utraty ich dostępności;
4. Pracodawca, decydując o możliwości wykorzystywania przez pracowników dokumentacji papierowej podczas pracy zdalnej jest zobowiązany:

• zapewnić ewidencjonowanie wydanych pracownikom dokumentów zawierających dane osobowe,
• zapewnić, że udostępnione dokumenty będą przechowywane przez pracownika przez okres niezbędny do wykonania określonego zadania podczas pracy zdalnej (ograniczenie przechowywania),
• ograniczyć liczbę dokumentów wynoszonych jednorazowo z siedziby administratora do tego, co niezbędne w stosunku do celu przetwarzania danych osobowych przez pracownika w ramach pracy zdalnej,
• zobowiązać pracownika do odpowiedniego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji, np.: wynoszenie dokumentów w zabezpieczonej aktówce, zabezpieczenie w odpowiednio oznakowanej kopercie (pracodawca adresatem), przenoszenie dokumentów w sposób niewidoczny dla osób trzecich,
• zobowiązać pracownika do odpowiedniego zabezpieczenia danych w miejscu wykonywania pracy zdalnej, np.: przechowywanie dokumentów w zamykanych na klucz szufladach biurka lub szafach, przestrzeganie zasady czystego biurka, zabezpieczenie dokumentów przed wglądem nieuprawnionych osób trzecich, w tym członków rodziny,
• zapewnić, że pracownik będzie wykorzystywał udostępnione dane wyłącznie w tym celu i zakresie, w jakim byłyby wykorzystywane w siedzibie zakładu pracy,
• określić procedurę związaną z niszczeniem powstałych w tym czasie notatek i wydruków (zakaz wyrzucania do kosza w domu – jeżeli pracownik nie posiada w domu niszczarki, powinien dokumenty zabezpieczyć tak jak dokumenty źródłowe do czasu ich prawidłowego zniszczenia w biurze),
• zapewnić, że pracownik będzie zgłaszał pracodawcy każdy incydent bezpieczeństwa, zgodnie z procedurą postępowania w sprawie naruszeń ochrony danych, tak aby administrator mógł się wywiązać z obowiązku nałożonego na mocy art. 33 ust. 1 RODO.

Jednocześnie zdaniem UODO praca zdalna z wykorzystaniem dokumentów papierowych nie będzie uzasadniona, jeżeli:

1. pracodawca wdrożył elektroniczny obieg dokumentów, a pracownik ma bezpieczny dostęp do niezbędnych do pracy danych osobowych przy pomocy środków komunikacji elektronicznej;
2. pracodawca ma możliwość szybkiego, sprawnego i bezpiecznego wdrożenia elektronicznego obiegu dokumentacji;
3. pracodawca może udostępnić pracownikowi odpowiednio zabezpieczone (m.in. zaszyfrowane) elektroniczne kopie niezbędnych dokumentów.

Z pełnym tekstem wytycznych UODO można zapoznać się pod linkiem: 

https://uodo.gov.pl/pl/138/1513