Biuro Porad Prawnych
Oskar Zacharski

ul. Żwirki i Wigury 33/43
26-600 Radom

NIP: 7962987711

600 784 526

o.zacharski@bppz.pl

Praca zdalna w 2023 r.

Nowe przepisy o pracy zdalnej obowiązują od 7 kwietnia 2023 r. i zastąpiły dotychczasowe uregulowania obejmujące telepracę oraz pracę zdalną ujętą w Art. 3 Ustawy „covidowej”, która dawała możliwość polecenia pracownikowi, w celu przeciwdziałania COVID-19 , wykonywania pracy poza miejscem jej stałego wykonywania. Jak wygląda praca zdalna w 2023 r.?

Koniec „telepracy”

Konieczność organizacji pracy zdalnej tak, aby utrzymać ciągłość kluczowych procesów biznesowych, wyrosła z realiów pandemicznych i została utrwalona nowelizacją Kodeksu pracy. Wiele firm i instytucji umożliwiło pracownikom pracę w ich mieszkaniach. Dało także zielone światło w kwestii korzystania z prywatnych komputerów i smartfonów oraz komercyjnych narzędzi służących do komunikacji (Slack, Zoom, Skype, Webex) lub gromadzenia informacji (Dropbox, Dysk Google, OneDrive). Prawo pracy jest wielu aspektach ściśle powiązane z ochroną danych osobowych. Dlatego też każda jego zmiana wymaga szczegółowej analizy przez administratorów oraz inspektorów ochrony danych powołanych w organizacjach.

Nowelizacja Kodeksu pracy wprowadzająca pracę zdalną w 2023 r. zwiększa zabezpieczenia w zakresie ochrony danych osobowych. Jednocześnie pozwala na pewne swobody, np. nie wskazuje na zakres informacji, jakie mają znaleźć się w procedurze ochrony danych osobowych przy pracy zdalnej, jednocześnie pozwalając pracodawcom na samodzielne zbadanie ryzyka. Nowe przepisy dopuszczają postać elektroniczną dokumentacji. Co więcej, z Kodeksu pracy znika telepraca (warunkowo dozwolona do 7.10.2023 r.), a w jej miejsce wchodzi praca zdalna.

Niebezpieczny komfort

Powyższe udogodnienia często były wprowadzane, bez zachowania odpowiednich standardów bezpieczeństwa organizacji i bez niezbędnej analizy ryzyka. Tymczasem wymagania w zakresie bezpieczeństwa informacji (w tym danych osobowych), czyli dotyczące zachowania ich poufności, dostępności i integralności, podczas pracy zdalnej pozostają takie same jak w normalnych warunkach (pkt 17.1.1 ISO/IEC 27002).

W konsekwencji pojawił się problem zapewnienia zgodności prowadzonej działalności z wymogami prawa, zawartymi kontraktami oraz wewnętrzną polityką w zakresie ochrony danych osobowych. W szczególności dotyczy to bezpieczeństwa przetwarzanych danych, zasad powierzenia danych osobowych do przetwarzania i ich transferu do państw trzecich.

Cloud computing and cyber security, data protective shield. Blue cloud and padlock on a computer laptop keyboard. 3d illustration

Rodzaje pracy zdalnej

Zgodnie art. 67(18) nowego k.p. definiuje pracę zdalną jako pracę wykonywaną całkowicie lub częściowo w miejscu wskazanym przez pracownika (ale nie decyduje o nim jednostronnie) i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków porozumiewania się na odległość (ale nie tylko).

Nowelizacja Kodeksu pracy wprowadza trzy rodzaje pracy zdalnej:

  • Praca zdalna całkowita – praca wykonywana wyłącznie w trybie zdalnym (100% czasu pracy zdalnie)
  • Praca zdalna częściowa, tzw. hybrydowa praca zdalna – praca wykonywana częściowo w zakładzie pracy, a częściowo w formie pracy zdalnej; (np. 2-3 dni w tygodniu)
  • Praca zdalna okazjonalna – wykonywana każdorazowo na wniosek pracownika złożony w formie pisemnej lub elektronicznej, w wymiarze maksymalnie 24 dni w roku kalendarzowym

Nowe zasady prawa pracy wskazują wprost, że praca zdalna może być świadczona całkowicie lub częściowo. Wbrew pozorom jest to ważna zmiana, ponieważ wcześniej KP nie przewidywał w ogóle takiej możliwości (z wyjątkiem tzw. telepracy).

Miejsce świadczenia pracy wskazuje zatrudniony. Warunki pracy zdalnej między stronami uzgadniane są przy zawieraniu umowy o prace lub w trakcie zatrudnienia. Na wniosek pracownika lub z inicjatywy pracodawcy dochodzi do uzgodnienia warunków pracy zdalnej. Wniosek pracownika może mieć postać papierową bądź elektroniczną. Poziom elastyczności, dowolności i zakres pracy zdalnej pozostawiono zakładowi pracy (art. 67 20 §6 KP).

Obowiązki w związku z RODO

Na administratorze danych ciąży obowiązek wdrożenia środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa danych. Środki te będą wymagały dodatkowej weryfikacji, gdyż dotychczas obowiązujące u pracodawcy procedury ochrony danych osobnych na terenie zakładu pracy mogą okazać się niewystarczające w przypadku zmiany środowiska pracy na miejsce zamieszkania lub pobytu pracownika.

Wobec tego obowiązkowi aktualizacji podlegać będzie polityka ochrony danych osobowych z uwzględnieniem organizacji pracy zdalnej lub obowiązkowe będzie stworzenie regulacji wewnętrznej dotyczącej pracy zdalnej określającej wymogi w zakresie ochrony danych osobowych.
Pracodawca zobowiązany jest ponadto ponownie przeszkolić pracowników oraz, zgodnie z zasadą rozliczalności, posiadać potwierdzenie przeprowadzenia tej czynności.

Szkolenie w szczególności powinno kłaść nacisk na zagadnienia:

  • rozróżniania i odpowiedniego reagowania na phishing;
  • podstaw przetwarzania danych;
  • okresów retencji danych;
  • bezpieczeństwa przetwarzania danych;
  • zgłaszania naruszeń;
  • zasad przetwarzania danych;
  • kar za naruszenia ochrony danych osobowych;
  • miejsc przetwarzania danych, tj. w szczególności wskazanie, iż wykonywanie pracy zdalnej w miejscach publicznych (w tym w miejscach, w których pracownika obejmuje monitoring w miejscu publicznym skierowanych na ekran komputerowy) może skutkować ujawnieniem informacji poufnych jak również danych osobowych.

W związku z pracą zdalną administrator danych będzie miał obowiązek zweryfikować istniejące procedury i regulaminy. Kluczowe będzie także zaktualizowanie rejestru czynności przetwarzania, analizy ryzyka oraz – jeśli zajdzie konieczność – oceny skutków (DPIA).

Jeżeli Państwa organizacja potrzebuje pomocy w wywiązaniu się z nowych obowiązków, zapraszamy do kontaktu w ramach którego przygotujemy spersonalizowaną ofertę.