Pandemia COVID-19 zmieniła dotychczasowy model świadczenia pracy w wielu przedsiębiorstw branży fintech.Większość organizacji już w ramach pierwszych działań, mających na celu przeciwdziałanie rozwojowi pandemii koronawirusa SARS-CoV-2, skierowało osoby w nich zatrudnione do wykonywania pracy poza biurami.

Możliwość zlecenia wykonywania pracy w tym trybie osobom zatrudnionym na podstawie umowy o pracę została przewidziana w tarczy antykryzysowej, czyli Ustawie z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z dnia 7 marca 2020 r., poz. 374 z późń. zm.).

Wykonywanie pracy zdalnej oznacza w praktyce najczęściej realizację obowiązków służbowych w mieszkaniach prywatnych osób zatrudnionych, nierzadko w obecności pozostałych domowników i nierzadko z wykorzystaniem w tym celu z narzędzi pracy należących do samego zatrudnionego (prywatne laptopy, telefony komórkowe).

W związku z powyższym należy przybliżyć najistotniejsze wyzwania związane z pracą zdalną w dobie pandemii, a także możliwości, jakie ma pracodawca w związku ze stosowaniem tego modelu pracy.

Należy pamiętać, że to pracodawca jako administrator danych osobowych własnych klientów, innych kontrahentów, osób zatrudnianych, odpowiada za zapewnienie technicznych i organizacyjnych środków bezpieczeństwa przetwarzania danych osobowych dokonywanego w trybie pracy zdalnej.

Oceń ryzyko

Nowe okoliczności, w jakich pracownicy świadczą pracę, wymuszają konieczność identyfikacji nowych procesów przetwarzania, a następnie konieczność dokonania stosownej oceny ryzyka przetwarzania danych osobowych w odniesieniu do każdego takiego procesu.

Ocena ryzyka, związana z procesami pracy zdalnej, powinna poprzedzać wdrożenie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa przetwarzania danych osobowych dokonywanego w trybie pracy zdalnej. Czujność administratora powinna być zwiększona przede wszystkim z tej przyczyny, że przeniesienie pracy poza biuro administratora oznacza zmniejszenie faktycznej i logistycznej kontroli nad procesami przetwarzania danych.

Powyższe czynności oczywiście powinny poprzedzać decyzję o skierowaniu osób zatrudnionych do wykonywania pracy poza biurem i powinna obejmować prawdopodobieństwo i skutki (powagę) naruszenia praw lub wolności podmiotów danych. Przeprowadzenie takiej oceny może okazać się nie lada wyzwaniem, albowiem w praktyce może wiązać się z koniecznością uwzględnienia w takiej analizie chociażby warunków mieszkaniowych pojedynczego zatrudnionego, co może oznaczać znaczącą ingerencję w prywatność zatrudnionego oraz jego domowników.

Weź pod uwagę nowe czynniki wpływające na ryzyko

Praca zdalna wiąże się z podwyższeniem poziomu ryzyka naruszeń bezpieczeństwa danych. Zagrożenia mogą wynikać z postępowaniem przez pracownika niezgodnie z wytycznymi pracodawcy, wykorzystywanie do pracy niezabezpieczonych odpowiednio prywatnych urządzeń oraz sieci internetowej. Typowymi czynnikami wpływającymi na ryzyko bezpieczeństwa danych są brak oprogramowania antywirusowego, brak szyfrowania zasobów dysku, brak aktualizacji oprogramowania i aplikacji.

Ryzyko wystąpienia zagrożeń dla bezpieczeństwa danych przedsiębiorstwa potęguje także wykorzystywanie  przez pracownika narzędzi, które nie zapewniają odpowiedniego stopnia ochrony danych osobowych, a także przenoszenie dokumentów oraz nośników danych.

Uważaj na cyberprzestępstwa i naruszenia bezpieczeństwa danych

Okres pandemii może sprzyjać wystąpieniu cyberprzestępstw, wynikających ze zwiększonej aktywności w sieci. Ryzyko to potęgowane jest przez zwiększenie poziomu zagrożeń bezpieczeństwa danych.

Najczęstsze oszustwa internetowe dotyczą wykradania poufnych danych i korespondencji. W tym celu przestępcy mogą próbować podszyć się pod współpracownika, pracownika działu IT, albo zewnętrznego dostawcę zapewniającego możliwość pracy zdalnej, czy organy publiczne w rzekomej walce z pandemią.

Oczywistym skutkiem wystąpienia wielu cyberprzestępstw może być naruszenie bezpieczeństwa danych osobowych. Według RODO naruszeniem bezpieczeństwa danych jest każde zdarzenie, które może prowadzić do zniszczenia, utraty, ujawnienia lub dostępu dodanych osobowych. W przypadku wystąpienia naruszenia bezpieczeństwa danych osobowych pracodawca jako administrator danych osobowych jest zobowiązany podjąć odpowiednie środki organizacyjne i techniczne w celu usunięcia lub minimalizacji skutków takiego zdarzenia. Ponadto, po przeprowadzeniu oceny istotności  naruszenia dla bezpieczeństwa danych osobowych, pracodawca powinien również rozważyć obowiązek zgłoszenia incydentu do Urzędu Ochrony Danych Osobowych. Ważne w kontekście bezpieczeństwa jest to, że zgłoszenie takie powinno być dokonane w terminie 72 godzin od chwili ustalenia okoliczności uzasadniających powiadomienie organu. Nierzadko termin ten okazuje się być bardzo krótki, szczególnie, jeśli do ustalenia okoliczności zdarzenia jest ocena skuteczności zabezpieczeń sieci i narzędzi służących do świadczenia pracy zdalnej.

Zasady podejmowania tych działań powinny zostać określone w wewnętrznych procedurach pracodawcy, z którymi każdy pracownik, przed rozpoczęciem pracy zdalnej powinien się zapoznać.

Należy podkreślić, że w przypadku zaistnienia naruszenia ochrony danych powiązanego z ustaleniem braku zapewnienia przez administratora właściwych środków zabezpieczających, fakt powoływania się przez administratora na szczególne okoliczności pandemii koronawirusa SARS-CoV-2, mogą okazać się niewystarczające przy określaniu stopnia zawinienia administratora w przypadku stwierdzenia naruszenia.

Przeciwdziałaj zagrożeniom

Na sposoby przeciwdziałania zagrożeniom składają się działania podejmowane przez pracodawcę przed zleceniem pracownikom świadczenia pracy zdalnej oraz w trakcie świadczenia pracy.

Po pierwsze, na pracodawcy spoczywa obowiązek sporządzenia regulaminu pracy zdalnej, który powinien określić zasady porozumiewania się z pracownikiem, zasady rozpoczynania i kończenia pracy oraz kwestie związane z narzędziami służącymi do pracy zdalnej. Jeśli wdrożenie pracy zdalnej wiąże się z koniecznością monitorowania pracy pracowników, powinni oni zostać zapoznani także z zasadami monitoringu pracy pracowników.

Po drugie, podmioty zatrudniające powinny dostarczyć pracownikom szczegółowe instrukcje w zakresie postępowania z danymi osobowymi, zwłaszcza w ramach pracy wykonywanej z użyciem sieci teleinformatycznych oraz nadać pracownikom upoważnienia do przetwarzania danych osobowych poza siedzibą pracodawcy.

Pracodawca jest także zobowiązany, aby cyklicznie przeprowadzać odpowiednie szkolenia z zakresu bezpieczeństwa danych osobowych. Takie szkolenia, także podczas pracy zdalnej, są podstawowymi narzędziami wpływającymi na podniesienie świadomości pracowników, co do możliwości wystąpienia przypadków oszustw i cyberprzestępstw.

Praca zdalna jako rozwiązanie zapewniające ciągłość działania organizacji, powinna być uwzględniona  w jej procedurach wewnętrznych. Rekomendacja ta dotyczy w szczególności podmiotów nadzorowanych przez Komisję Nadzoru Finansowego, które powinny wdrażać szczególne środki  bezpieczeństwa świadczonych przez siebie usług, aby budować i podtrzymywać zaufanie klientów rynku finansowego oraz wywiązywać się z obowiązków podmiotu nadzorowanego przez KNF.

Kolejnym z elementów wpływających na bezpieczeństwo danych osobowych jest zapewnienie stałej dostępności działów IT, inspektora ochrony danych i bezpośrednich przełożonych. Kluczowym aspektem dla zapewnienia bezpieczeństwa danych może okazać się dostępność tych osób i wsparcie przez nich procesów pracy zdalnej.

Podsumowując, powyżej przedstawione zostały jedynie wybrane wyzwania związane z pracą zdalną w dobie pandemii. Jednakże to każdy pracodawca winien dokonać samodzielnej oceny stopnia, w jakim wykonywanie pracy poza biurem może mieć wpływ na bezpieczeństwo procesów przetwarzania danych, biorąc przy tym pod uwagę indywidulane środowisko organizacji pracy swojego przedsiębiorstwa. Wydaje się przy tym, że w obliczu zaistniałych okoliczności priorytetem dla organizacji powinno być stałe szkolenie i uświadamianie pracowników w zakresie zagrożeń związanych z wykonywaniem pracy w trybie zdalnym, a także zapewnienie skutecznych technicznych środków zabezpieczenia danych i informacji, które będą uwzględniały faktyczną możliwość ich zastosowania przez poszczególnych pracowników.

Autorem jest radca prawny Monika Macura, partner Kancelarii V4 Legal, specjalizująca się w obsłudze przedsiębiorstw z branży finansowej i nowych technologii.  Współautorem jest aplikant radcowski w kancelarii  V4 Legal Milena Artych.