Praca zdalna a RODO i BHP

Na czym polega praca zdalna?

Pojęcie pracy zdalnej zostało zdefiniowane w art. 6718 k.p., jako praca wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego komunikowania się na odległość.

Przeniesienie na pracownika możliwości wyboru miejsca pracy (tj. miejsca wykonywania pracy zdalnej) powoduje, że pracodawca w znacznym stopniu traci kontrolę nad warunkami, w jakich dana osoba realizuje swoje obowiązki. Ma to daleko idący wpływ nie tylko na bezpieczeństwo pracownika, za którego de facto odpowiada pracodawca, ale również na warunki, w jakich będą przetwarzane dane osobowe i to nawet po zakończeniu wykonywania pracy zdalnej.

Praca zdalna a obowiązki pracodawcy w zakresie ochrony danych osobowych

Aby przeprowadzić wdrożenie pracy zdalnej w sposób prawidłowy, pracodawca powinien odebrać od pracownika oświadczenie woli złożone w formie papierowej lub elektronicznej, w którym osoba zatrudniona oświadcza, że zapoznała się ona z procedurami ochrony danych osobowych w pracy zdalnej i zobowiązuje się do ich przestrzegania.

Nowe przepisy zakładają też, że pracodawca na potrzeby wykonywania pracy zdalnej określa procedury ochrony danych osobowych oraz przeprowadza instruktaż i szkolenie w tym zakresie z wykorzystaniem środków bezpośredniego porozumiewania na odległość (art. 6726 k.p.). Jednocześnie ma on prawo do kontroli prawidłowości przestrzegania tych procedur (wykonywanie czynności kontrolnych w ramach procedur ochrony danych osobowych w związku z wykonywaniem pracy zdalnej) przez pracownika:

po uzgodnieniu z nim faktu przeprowadzenia kontroli;
w miejscu wykonywania pracy zdalnej;
w godzinach pracy pracownika.

W razie stwierdzenia uchybień w tym zakresie pracownik jest wzywany do ich usunięcia w określonym terminie pod rygorem cofnięcia zgody na wykonywanie pracy w formie zdalnej.

Należy podkreślić, że kontrola pracodawcy w pracy zdalnej praktycznie zawsze będzie w pewnym stopniu naruszała prawo do prywatności osoby zatrudnionej. Należy jednak zadbać, aby to naruszenie było możliwie jak najmniej uciążliwe i nie wykraczało poza ramy zakreślone przez zakres obowiązków pracownika. Ze względu na specyfikę pracy zdalnej również sama kontrola będzie miała najczęściej zdalny charakter i opierać się będzie przez pracodawcę oceną ryzyka zawodowego.

Regulamin pracy zdalnej lub porozumienie a RODO

Warunki pracy zdalnej powinny być uregulowane w sposób jednolity dla wszystkich pracowników, z uwzględnieniem treści art. 6720 k.p. Regułą jest, że zasady wykonywania pracy zdalnej określa się w porozumieniu zawartym z działającą na terenie zakładu pracy organizacją związkową (ewentualnie wszystkimi lub reprezentatywnymi organizacjami). Dopiero kiedy jest to niemożliwe, zasady pracy zdalnej określa się w regulaminie po konsultacji z przedstawicielami pracowników.

Zgodnie z § 6 pkt 7 powołanego przepisu porozumienie lub regulamin powinno określać m.in. zasady kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedury ochrony danych osobowych.

Czy pracodawca może monitorować pracę zdalną?

Jeśli pracodawca zadecyduje, że kontrola wykonywania pracy przez pracownika będzie miała charakter zdalny, odbywa się ona z uwzględnieniem przepisów dotyczących monitoringu, tj. art. 222 k.p. (w przypadku monitoringu wizualnego) oraz art. 223 k.p. (w przypadku monitoringu poczty elektronicznej). W takiej sytuacji niezbędne jest spełnienie następujących przesłanek:

monitoring musi być niezbędny i może być wykorzystywany wyłącznie w celu, do jakiego został zebrany;
pracodawca musi wypełnić względem pracownika obowiązek informacyjny RODO w zakresie celu, zakresu i sposobu przetwarzania danych osobowych;
cele, zakres oraz sposób monitoringu muszą znaleźć się w regulaminie pracy zdalnej;
pracownicy są poinformowani o monitoringu nie później niż na 2 tygodnie przed jego wdrożeniem.

Jakie działania powinien podjąć pracodawca w celu ochrony danych osobowych?

Przepisy nie określają w sposób szczegółowy zakresu inicjatywy pracodawcy dotyczącej zabezpieczenia danych osobowych, dlatego powinna być ona każdorazowo dopasowana do specyfiki wykonywanej pracy. Punktem wyjścia powinna być zawsze rzetelnie przeprowadzona ocena ryzyka na podstawie przepisów RODO. To działanie zestawiające ze sobą charakter poszczególnych zagrożeń oraz prawdopodobieństwo ich wystąpienia. Przykładowe działania pracodawcy zmierzające do minimalizacji ryzyka mogą obejmować:

ochronę komputera przed dostępem osób niepowołanych (w tym domowników);
wprowadzenie standardu stosowanych zabezpieczeń (np. dwuetapowa weryfikacja dostępu do danych, konieczność zabezpieczania ich hasłem);
obowiązek korzystania przez pracownika z zainstalowanego na służbowym komputerze software’u do ochrony przed złośliwym oprogramowaniem;
konieczność stosowania usługi anonimizującej typu VPN (ang. Virtual Private Network), w celu ochrony adresu IP;
ustalenie standardu pracy z dokumentami oraz ich przechowywania;
zabezpieczenie danych poprzez stworzenie ich kopii zapasowych.

Dodatkowe ograniczenia mogą pojawić się w sytuacji, kiedy pracownik korzysta z własnego sprzętu (np. zakaz instalacji oprogramowania pochodzącego z niezweryfikowanych źródeł).

Wypracowanie odpowiednich mechanizmów ochrony danych osobowych może wymagać konsultacji ze specjalistami z branży nowych technologii. To szczególnie istotne zwłaszcza dla firm, które na co dzień korzystają z nowoczesnych usług chmurowych, platform VoIP (np. Discord) czy oprogramowania typu Keylogger do monitorowania przycisków naciskanych przez pracownika.

Ocena ryzyka w połączeniu z podjęciem odpowiednich działań pozwala na wywiązanie się z zasady rozliczalności.

Przestrzeganie BHP w pracy zdalnej

W związku z faktem, że pracodawca nie jest w stanie kontrolować wszystkich aspektów bezpieczeństwa wykonywanej pracy, można zastanawiać się, czy odnoszenie się do BHP w kontekście pracy zdalnej w ogóle ma sens. Okazuje się, że tak, choć obowiązki podmiotu zatrudniającego są w tym zakresie ograniczone i nie obejmują m.in. konieczności zapewnienia higienicznego stanu pomieszczeń czy środków ochrony indywidualnej. O czym w takim razie powinien pamiętać pracodawca?

Zapewnienie wsparcia technicznego.

Przede wszystkim zgodnie z art. 6724 k.p. pracodawca ma obowiązek zapewnienia pracownikowi wykonującemu pracę zdalną materiały i narzędzia pracy, w tym urządzenia techniczne niezbędne do wykonywania tych obowiązków, a także koszty instalacji, serwisu i konserwacji tych narzędzi i urządzeń. W razie korzystania z własnego sprzętu, pracownikowi należy się zwrot kosztów poniesionych z tego tytułu. W celu zapewnienia bezpieczeństwa pracodawca jest zobowiązany również do przeprowadzenia szkoleń i udzielenia niezbędnej pomocy technicznej.

Stworzenie oceny ryzyka zawodowego dla indywidualnego pracownika lub oceny grupowej

Pracodawca ma obowiązek opracować informację zawierającą najważniejsze wytyczne dotyczące wykonywania pracy zdalnej, w tym:

zasad i sposobu właściwej organizacji stanowiska pracy z uwzględnieniem zasad ergonomii;
zasad bezpiecznego i higienicznego wykonywania pracy zdalnej;
czynności do wykonania po zakończeniu pracy zdalnej;
zasady postępowania w sytuacjach awaryjnych stwarzających zagrożenie dla życia lub zdrowia ludzkiego.

Na etapie opracowywania oceny ryzyka bardzo ważna jest współpraca pracownika ze specjalistą ds. BHP lub inną wytypowaną w tym celu przez pracodawcę osobą. Pracownik przed dopuszczeniem do pracy musi złożyć oświadczenie, że zapoznał się z przygotowaną oceną ryzyka, a także informacją dotyczącą warunków wykonywania pracy zdalnej i zobowiązuje się do ich przestrzegania.

Oświadczenie powinno być wyrażone w formie elektronicznej lub pisemnej (papierowej). Co więcej, to pracownik deklaruje, że warunki, w których wykonuje swoje obowiązki, są bezpieczne i higieniczne.

Wypadek przy pracy w pracy zdalnej. Jakie działania powinien podjąć pracodawca?

W przypadku wypadków przy pracy kluczowe znaczenie ma jak najszybsze zgłoszenie zdarzenia pracodawcy przez pracownika, ponieważ to ono uruchamia kaskadę obowiązków, o których mowa w przepisach.

Zgodnie z art. 6731 §9 k.p. w zw. z art. 237 k.p. pracodawca po otrzymaniu zgłoszenia:

podejmuje działania eliminujące lub ograniczające zagrożenie;
zapewnia udzielenie pierwszej pomocy poszkodowanym;
ustala okoliczności i przyczyny wypadku;
wdraża zmiany, które mają zapobiec podobnym zdarzeniom w przyszłości.

W przypadku wypadku ciężkiego, śmiertelnego lub zbiorowego niezbędne jest zawiadomienie właściwego okręgowego inspektora pracy i prokuratora.

Co do zasady należy przeprowadzić oględziny miejsca wypadku w terminie zgłoszonym przez pracownika albo jego domownika. Można od nich odstąpić jedynie w sytuacji, kiedy okoliczności i przyczyny wypadku nie budzą wątpliwości.

Kontrola prawidłowości wykonywania obowiązków pracownika z zakresu BHP

Podobnie jak w przypadku RODO, również w kontekście BHP pracodawca jest uprawiony do kontroli prawidłowości przestrzegania norm. Z pracownikiem należy uzgodnić miejsce, czas oraz sam fakt kontroli, a działania podejmowane przez pracodawcę nie mogą naruszać prywatności pracownika. Kontrola powinna być przeprowadzana wyłącznie w pomieszczeniach, gdzie wykonywana jest praca zdalna.

Z kontroli sporządzany jest protokół. Jeżeli w jej toku zostały stwierdzone nieprawidłowości, pracownik powinien je usunąć we wskazanym terminie, inaczej pracodawca będzie uprawniony do cofnięcia go do pracy w trybie stacjonarnym.

Czy każdego pracownika można skierować do pracy zdalnej?

Nowe przepisy wykluczają możliwość wykonywania pracy w sposób zdalny w stosunku do tych rodzajów obowiązków, które wiążą się ze zwiększonym ryzykiem dla pracownika. Zalicza się do nich prace wymienione w art. 6731 §4 k.p.:

szczególnie niebezpieczne;
w wyniku których następuje przekroczenie dopuszczalnych norm dla czynników fizycznych w pomieszczeniach mieszkalnych;
z czynnikami chemicznymi stwarzającymi zagrożenie;
związane ze stosowaniem lub wydzielaniem się szkodliwych czynników biologicznych, substancji radioaktywnych oraz innych substancji lub mieszanin wydzielających uciążliwe zapachy;
powodujące intensywne brudzenie.

Praktyka pokaże, czy wypracowane przez ustawodawcę konstrukcje sprawdzą się w rzeczywistości.

Dla wielu firm będzie to oznaczało jednak konieczność zmiany wewnętrznych regulaminów, obiegu procesów, a także przeprowadzenia szkolenia pracowników. Warto w tym celu skorzystać z usług świadczonych przez kancelarię prawną z wieloletnim doświadczeniem w zakresie stosowania przepisów prawa pracy.

Pytania i odpowiedzi

Jak dokładna powinna być ocena ryzyka?

Im dokładniejsza jest ocena ryzyka, tym mniejsze prawdopodobieństwo, że pracownik zgłosi naruszenie zasad BHP przez pracodawcę. Dlatego warto zadbać o sprecyzowanie m.in. takich kwestii, jak oświetlenia, wymagania dla monitora komputerowego i ustawienia biurka oraz krzesła.

Czy pracownik może wykorzystywać prywatny sprzęt IT do wykonywania pracy zdalnej?

Tak, ale pracownik musi wyrazić na to zgodę i przysługuje mu z tego tytułu ekwiwalent pieniężny lub ryczałt. Co więcej pracodawca powinien zadbać o sprawdzenie przez dział IT, czy hardware i software są zgodne z wymaganiami firmy i zapewnić możliwość doprowadzenia do takiej zgodności (np. instalacja VPN, programu antywirusowego).

Co zrobić w sytuacji, kiedy pracownik naruszył ochronę danych osobowych, których administratorem jest pracodawca, np. poprzez wysłanie bazy danych klientów do osoby spoza organizacji?

Zgodnie z art. 33 RODO konieczne jest zgłoszenie takiego naruszenia do organu nadzorczego (w Polsce to UODO) w terminie nie późniejszym niż 72 godziny od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, że naruszenie będzie skutkowało naruszeniem praw lub wolności osób fizycznych.

MAM PYTANIA | JESTEM ZAINTERESOWANY / A OFERTĄ

Zaufali nam: