Powstanie takich wytycznych jest uzasadnione ze względu na fakt, że telepraca po pandemii  prawdopodobnie pozostanie częścią „nowej rzeczywistości”.

W dokumencie poruszani tematy związane z narzędziami telepracy, zarządzaniem personelem,  dotyczą m.in przetwarzania i minimalizacji danych, zatrzymywania i przekazywania danych. Ponadto EIOD zwraca uwagę, że zapewnienie bezpieczeństwa danych wymaga współpracy działów IT, inspektorów ochrony danych i wszystkich użytkowników.

Poniżej przedstawiamy wybrane wskazówki dotyczące zapewnienia odpowiedniego stopnia ochrony danych podczas telepracy czy pracy zdalnej.

Proces podejmowania decyzji

Przy planowaniu wdrożenia takich narzędzi telepracy trzeba wziąć pod uwagę ryzyko naruszenia ochrony danych, dokonywać przeglądu używanych narzędzi, oceniać ich funkcje związane z bezpieczeństwem, poufnością i zapewnieniem prywatności.

W ten proces należy zaangażować IOD oraz dział IT.

Urządzenia firmowe i prywatne

Zapewniając sprzęt firmowy, należy pamiętać o przestrzeganiu zasad przetwarzania danych osobowych oraz zapewnić odpowiedni poziom bezpieczeństwa związany m.in. z systemami IT.

W przypadku wykorzystywania urządzeń prywatnych do telepracy, zaleca się, aby przed rozpoczęciem korzystania z nich skonsultowano się z działem IT w celu identyfikacji potencjalnych zagrożeń oraz odpowiednich pod kątem bezpieczeństwa ustawień systemowych. W tym przypadku pracodawca powinien  przedstawić  użytkownikom jasne zasady i instrukcje, jak postępować z  danymi osobowymi.

Role administratora i podmiotu przetwarzającego

Przy podpisywaniu umowy z podmiotem przetwarzającym należy upewnić się, że role administratora i podmiotu przetwarzającego zostały precyzyjnie określone oraz że postanowienia umowne obejmują wszystkie obowiązkowe elementy wynikające z art. 29 ust. rozporządzenia Parlamentu Europejskiego i Rady (UE)2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (dalej: rozporządzenia 2018/1725), np. posiadanie wszystkich niezbędnych informacji dotyczących podwykonawców, o których mowa w umowie.

Przetwarzanie danych w UE/EOG i przekazywanie danych

Jeśli przedsiębiorstwo  współpracuje z zewnętrznym dostawcą, należy sprawdzić czy podmiot ten ma jednostkę organizacyjną w UE/EOG oraz, czy usługi oferowane przez ten podmiot wiążą się z przekazywaniem danych osobowych poza UE/EOG, w tym do celów, takich jak np. tworzenie kopii zapasowych itp.

Jeśli tak jest, istotna jest weryfikacja, czy dostawca usług wdrożył odpowiednie zabezpieczenia.

Jeśli dostawca zewnętrzny nie ma jednostki organizacyjnej w UE/EOG i nie podlega decyzji stwierdzającej odpowiedni stopień ochrony z art. 45 RODO, należy uzyskać odpowiednie zabezpieczenia zgodnie z art. 48 rozporządzenia 2018/1725.

Funkcjonalności monitorowania przez pracodawcę lub dostawcę usług

Praca zdalna często pozwalają na dodatkowe monitorowanie personelu.

Domyślnie nie powinno dochodzić do takiego monitorowania. Jeśli wymagane jest monitorowanie przez pracodawcę, trzeba ocenić, czy zastosowane środki są proporcjonalne do celu, który ma zostać osiągnięty.

Gdy praca zdalna wykonywana przez pracownika przy użyciu prywatnego urządzenia, należy pamiętać, że przestrzeń domowa i prywatność pracowników nie powinny być naruszane.

Bezpieczeństwo danych

Pracodawca musi podjąć niezbędne środki w celu zapewnienia poufności, integralności i dostępności danych osobowych przetwarzanych za pomocą różnych narzędzi komunikacji elektronicznej: komunikatorów internetowych, narzędzi do współpracy online, poczty internetowej, narzędzi wideokonferencyjnych itp.

Pracodawca musi na bieżąco zwiększać świadomość pracowników na temat typowych źródeł naruszeń danych, takich jak rosnąca liczba ataków typu „spoofing”, ataków phishingowych oraz z wykorzystaniem inżynierii społecznej przy pomocy komunikatów związanych z COVID-19.

Zalecenia (EIOD) w sprawie bezpieczeństwa danych podczas pracy zdalnej/telepracy