Praca zdalna. Wynoszenie dokumentów z biura i praca w domu mogą naruszać przepisy RODO

W czasie epidemii koronawirusa wielu pracowników pracuje zdalnie. Z domu swoje obowiązki wykonują w dużej mierze również księgowi i pracownicy biur rachunkowych. Trzeba jednak pamiętać, że księgowanie w domu i wynoszenie dokumentów klientów z firmy może naruszać przepisy dotyczące ochrony danych osobistych – pisze Krzysztof Koślicki w serwisie Prawo.pl.

W ciągu najbliższych dwóch tygodni przedsiębiorcy zmierzą się z obowiązkiem zapłaty zaliczki na podatek dochodowy, złożenia deklaracji VAT-7, wysłania pliku JPK czy też sporządzenia sprawozdania finansowego za ubiegły rok obrotowy. Rutynowe zadania w obecnej sytuacji mogą stanowić jednak nie lada wyzwanie dla księgowych oraz biur rachunkowych.

Zobacz również: W czasie epidemii można pomyśleć o zmianie formy opodatkowania

Polacy dostosowali się do apeli służb i przez ostatnie dni pozostają w domach, a wielu pracodawców nakazało swoim pracownikom pracę zdalną. Aby zachować przewidziane prawem terminy dość powszechne stało się także polecenie pracy w godzinach nadliczbowych czy też branie pracy do domu. W tej gonitwie kwestia ochrony danych osobowych, tajemnicy przedsiębiorstwa czy nawet tajemnicy zawodowej zeszła niejako na dalszy plan.

- Co prawda żadne przepisy nie zakazują pracy w tzw. trybie home office, ale na uwadze trzeba mieć kilka ograniczeń. Zgodnie z art. 32 RODO niezależnie od miejsca, w którym świadczona będzie praca, należy stosować adekwatne środki zabezpieczeń technicznych i organizacyjnych. RODO nie narzuca jednak konkretnych rozwiązań – ich dobór zależy od decyzji samego przedsiębiorcy – tłumaczy Mariusz Palian, aplikant adwokacki w kancelarii Chmielniak Adwokaci.

Wśród zaleceń w takich sytuacjach wymienia się przede wszystkim pracę na sprzęcie służbowym, a dopiero w ostateczności na komputerze prywatnym. Wszelkie urządzenia elektroniczne wykorzystywane do pracy powinny zostać zabezpieczone poprzez wprowadzenie hasła dostępu do systemu, zaszyfrowanie danych, zainstalowanie programu antywirusowego czy też wprowadzenie automatycznego back-upu danych.

Czytaj więcej: Skorzystasz z tarczy antykryzyzowej, zapewnisz sobie kontrolę fiskusa

- Nawet jednak zastosowanie wszystkich powyższych zabezpieczeń nie spełni swoich wymagań, jeżeli pracownik udostępni komputer lub telefon służbowy osobie trzeciej (np. domownikowi), więc równie ważna jak środki ochrony danych pozostaje świadomość pracownika – podkreśla Mariusz Palian.

Ekspert zwraca też uwagę, że nieco inaczej wygląda sytuacja z tradycyjnymi dokumentami w formie papierowej. O ile to możliwe, należy unikać ich wynoszenia z firmy – obecna technologia pozwala bez trudu na pracę na skanach, zdjęciach czy gotowych bazach danych.

- Jeżeli jednak nie będzie innej możliwości należy przede wszystkim zadbać, aby żadna osoba nieupoważniona nie miała możliwości zapoznania się z nimi. Zakaz ten dotyczy także, a może przede wszystkim domowników i osób najbliższych. Bezpieczeństwo informacji należy mieć na uwadze także po zakończeniu korzystania z dokumentów. Z tego względu zakazane jest ich proste wyrzucanie do kosza w domu. Jeżeli pracownik nie posiada w domu niszczarki, powinien dokumenty zabezpieczyć w celu przechowania, a po zakończeniu pracy zdalnej zniszczyć je w biurze – przestrzega Mariusz Palian.

Czytaj: Stan epidemii - wojewoda wyznaczy do pracy przy zwalczaniu koronawirusa

Tłumaczy, że wszystkie powyższe zasady powinny zostać przewidziane w dobrze przygotowanych wewnętrznych procedurach dotyczących przetwarzania danych osobowych, zwłaszcza polityce bezpieczeństwa danych. Ci przedsiębiorcy, którzy nie przespali wdrożenia RODO są zatem gotowi na pracę zdalną w obecnej sytuacji.

Dr hab. Robert Suwaj, prof. Politechniki Warszawskiej, zwraca z kolei uwagę, że w większości te bardziej profesjonalne biura, dzisiaj już pracują w formie zdalnej, co pozwala zaplanować i wykonywać pracę w formule zdalnej. Jego zdaniem, problem przewożenia dokumentów już praktycznie nie istnieje, co nie zmienia faktu, że pozostaje kwestia bezpieczeństwa przesyłania elektronicznego danych pomiędzy klientem, biurem, pracownikiem, znów biurem i klientem a urzędem skarbowym.

Czytaj: Zleceniobiorcy nie wiedzą kto dostanie wsparcie. Czy rząd to wie?

Wydaje się, że - wbrew pozorom - mogą to być informacje najbardziej właśnie dzisiaj narażone na największe ataki hakerskie, co wymaga dużej dbałości o standardy bezpieczeństwa. Bezpieczne połączenia, odpowiednio zabezpieczona poczta i szyfrowane pliki pozwalają jednak zadbać o prawidłowy standard w każdej płaszczyźnie kontaktów.

Kacper Rączkowiak, ekspert ochrony danych osobowych w Grant Thornton podkreśla z kolei, że zdalna praca rodzi ryzyko naruszenia bezpieczeństwa danych osobowych, a także naruszenia ogólnie bezpieczeństwa informacji, jednak nie należy jej demonizować, o ile zadba się o bezpieczeństwo.

- W przypadku biur księgowych i podatkowych ryzyko naruszenia praw i wolności podmiotów danych może być minimalne. Główne zagrożenie dotyczy bezpieczeństwa informacji wrażliwych dla przedsiębiorstw. W praktyce bezpieczna praca zdalna, to przede wszystkim świadomość pracowników. Taką świadomość osiągamy m.in. poprzez szkolenia i… zachowanie zdrowego rozsądku. Kluczowa podatność na zagrożenia, w przypadku pracy zdalnej, wiąże się z możliwością wglądu do danych osób nieuprawnionych, a także z ryzykiem zgubienia nośników danych (np. wydrukowanych dokumentów). Jeżeli pracodawca zdecyduje się skorzystać z uprawnienia, jaki daje mu nowa specustawa – czyli polecenia wykonywania pracy zdalnej – powinien wdrożyć w firmie przynajmniej minimalne środki ochronne – podkreśla ekspert.

Zwraca uwagę, że jeżeli możemy, pracujmy na dokumentach elektronicznych. Ograniczymy w ten sposób ryzyko utraty nośników danych. Jeśli pracownicy zabierają dokumenty do domów, prowadźmy przynajmniej minimalną ewidencję tego, co opuszcza nasze biuro. Powstrzymujmy pracowników przed zbędnym generowaniem wydruków (niestety w praktyce niewielu pracodawców na rynku posiada efektywne systemy monitorowania tego typu procesów).

Jeżeli praca wymaga wymiany danych i ich wzajemnego udostępniania, warto zadbać o sprawne i bezpieczne usługi chmurowe lub odpowiednie ruchome nośniki danych. Należy ograniczać sytuacje, w których pracownicy korzystają z własnych nośników podłączanych do służbowego sprzętu. Ważne jest również zabezpieczenie urządzeń używanych przez pracowników (komputer, smartfon, nośniki danych) odpowiednimi hasłami, mechanizmami szyfrującymi, stosowaniem tunelu VPN czy innych podstawowych metod ochrony transmisji danych.

W bieżącej sytuacji pomocne jest korzystanie z oprogramowania MDM (Mobile Device Management), które umożliwia zdalne zarządzanie sprzętem powierzonym pracownikom, pozwala na zastosowanie zdalnej blokady w razie konieczności czy wyczyszczenia danych w przypadku kradzieży lub zgubienia. Egzamin zdają też inne rozwiązania, które dotąd sprawdzały się w trakcie podróży służbowych, tj. np. folie prywatyzujące. W ciężkim okresie na pewno sprawdzą się te procedury wewnętrzne, które zakazują samodzielnego instalowania oprogramowania na służbowym sprzęcie, wykorzystywania prywatnych kont pocztowych, czy nieautoryzowanych usług chmurowych.

Kacper Rączkowiak zwraca jednak uwagę, że jeżeli pracodawca zdecyduje się na wprowadzenie najbardziej ryzykownego wariantu, związanego z użyciem prywatnych komputerów pracowników oraz ich prywatnych kont mailowych, powinien przynajmniej starać się przekazać pracownikom podstawowe zasady bezpieczeństwa: minimalizowania liczby wydruków papierowych, szyfrowania załączników, podstawowej ochrony antywirusowej oraz ograniczenia do minimum liczby plików zapisywanych na dyskach.

Dr Maciej Kawecki, prezes Instytutu Lema, dziekan WSB w Warszawie, podkreśla dodatkowo, że o ile pracodawca w związku z podjęciem przez pracowników pracy zdalnej dopuszcza w regulaminie pracy bądź w wewnątrzzakładowych procedurach możliwość wynoszenia przez pracowników dokumentów do domu, nawet gdy zawierają one dane osobowe, jest to zgodne z prawem.

- Oczywiście musimy pamiętać, że obszarem przetwarzania danych osobowych w organizacji stają się wtedy również miejsca, w których pracują pracownicy poza organizacją. To oznacza, że powinny wiązać ich zasady bezpieczeństwa, które muszą sprowadzić się do realizacji jednego, zasadniczego celu: dokumenty, które wynosimy poza organizację muszą być wykorzystane wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy oraz żadna osoba trzecia nie powinna mieć do nich dostępu. Ryzyko dostępu do takich dokumentów osób trzecich w tym członków rodziny pracowników jest tutaj duże, stąd bardzo ważne jest by pracodawca wyraźnie podkreślał te kwestie – przestrzega dr Kawecki.

Zapisz się na nasz specjalny newsletter o koronawirusie.

Obejrzyj i dowiedz się, jak chronić się przed koronawirusem