Nowe przepisy o pracy zdalnej obowiązują od 7 kwietnia 2023 r. i zastąpiły dotychczasowe uregulowania obejmujące telepracę oraz pracę zdalną ujętą w Art. 3 Ustawy „covidowej”, która dawała możliwość polecenia pracownikowi, w celu przeciwdziałania COVID-19 , wykonywania pracy poza miejscem jej stałego wykonywania. Jak wygląda praca zdalna w 2023 r.?
Koniec „telepracy”
Konieczność organizacji pracy zdalnej tak, aby utrzymać ciągłość kluczowych procesów biznesowych, wyrosła z realiów pandemicznych i została utrwalona nowelizacją Kodeksu pracy. Wiele firm i instytucji umożliwiło pracownikom pracę w ich mieszkaniach. Dało także zielone światło w kwestii korzystania z prywatnych komputerów i smartfonów oraz komercyjnych narzędzi służących do komunikacji (Slack, Zoom, Skype, Webex) lub gromadzenia informacji (Dropbox, Dysk Google, OneDrive). Prawo pracy jest wielu aspektach ściśle powiązane z ochroną danych osobowych. Dlatego też każda jego zmiana wymaga szczegółowej analizy przez administratorów oraz inspektorów ochrony danych powołanych w organizacjach.
Nowelizacja Kodeksu pracy wprowadzająca pracę zdalną w 2023 r. zwiększa zabezpieczenia w zakresie ochrony danych osobowych. Jednocześnie pozwala na pewne swobody, np. nie wskazuje na zakres informacji, jakie mają znaleźć się w procedurze ochrony danych osobowych przy pracy zdalnej, jednocześnie pozwalając pracodawcom na samodzielne zbadanie ryzyka. Nowe przepisy dopuszczają postać elektroniczną dokumentacji. Co więcej, z Kodeksu pracy znika telepraca (warunkowo dozwolona do 7.10.2023 r.), a w jej miejsce wchodzi praca zdalna.
Niebezpieczny komfort
Powyższe udogodnienia często były wprowadzane, bez zachowania odpowiednich standardów bezpieczeństwa organizacji i bez niezbędnej analizy ryzyka. Tymczasem wymagania w zakresie bezpieczeństwa informacji (w tym danych osobowych), czyli dotyczące zachowania ich poufności, dostępności i integralności, podczas pracy zdalnej pozostają takie same jak w normalnych warunkach (pkt 17.1.1 ISO/IEC 27002).
W konsekwencji pojawił się problem zapewnienia zgodności prowadzonej działalności z wymogami prawa, zawartymi kontraktami oraz wewnętrzną polityką w zakresie ochrony danych osobowych. W szczególności dotyczy to bezpieczeństwa przetwarzanych danych, zasad powierzenia danych osobowych do przetwarzania i ich transferu do państw trzecich.
Rodzaje pracy zdalnej
Zgodnie art. 67(18) nowego k.p. definiuje pracę zdalną jako pracę wykonywaną całkowicie lub częściowo w miejscu wskazanym przez pracownika (ale nie decyduje o nim jednostronnie) i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków porozumiewania się na odległość (ale nie tylko).
Nowelizacja Kodeksu pracy wprowadza trzy rodzaje pracy zdalnej:
- Praca zdalna całkowita – praca wykonywana wyłącznie w trybie zdalnym (100% czasu pracy zdalnie)
- Praca zdalna częściowa, tzw. hybrydowa praca zdalna – praca wykonywana częściowo w zakładzie pracy, a częściowo w formie pracy zdalnej; (np. 2-3 dni w tygodniu)
- Praca zdalna okazjonalna – wykonywana każdorazowo na wniosek pracownika złożony w formie pisemnej lub elektronicznej, w wymiarze maksymalnie 24 dni w roku kalendarzowym
Nowe zasady prawa pracy wskazują wprost, że praca zdalna może być świadczona całkowicie lub częściowo. Wbrew pozorom jest to ważna zmiana, ponieważ wcześniej KP nie przewidywał w ogóle takiej możliwości (z wyjątkiem tzw. telepracy).
Miejsce świadczenia pracy wskazuje zatrudniony. Warunki pracy zdalnej między stronami uzgadniane są przy zawieraniu umowy o prace lub w trakcie zatrudnienia. Na wniosek pracownika lub z inicjatywy pracodawcy dochodzi do uzgodnienia warunków pracy zdalnej. Wniosek pracownika może mieć postać papierową bądź elektroniczną. Poziom elastyczności, dowolności i zakres pracy zdalnej pozostawiono zakładowi pracy (art. 67 20 §6 KP).
Obowiązki w związku z RODO
Na administratorze danych ciąży obowiązek wdrożenia środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa danych. Środki te będą wymagały dodatkowej weryfikacji, gdyż dotychczas obowiązujące u pracodawcy procedury ochrony danych osobnych na terenie zakładu pracy mogą okazać się niewystarczające w przypadku zmiany środowiska pracy na miejsce zamieszkania lub pobytu pracownika.
Wobec tego obowiązkowi aktualizacji podlegać będzie polityka ochrony danych osobowych z uwzględnieniem organizacji pracy zdalnej lub obowiązkowe będzie stworzenie regulacji wewnętrznej dotyczącej pracy zdalnej określającej wymogi w zakresie ochrony danych osobowych.
Pracodawca zobowiązany jest ponadto ponownie przeszkolić pracowników oraz, zgodnie z zasadą rozliczalności, posiadać potwierdzenie przeprowadzenia tej czynności.
Szkolenie w szczególności powinno kłaść nacisk na zagadnienia:
- rozróżniania i odpowiedniego reagowania na phishing;
- podstaw przetwarzania danych;
- okresów retencji danych;
- bezpieczeństwa przetwarzania danych;
- zgłaszania naruszeń;
- zasad przetwarzania danych;
- kar za naruszenia ochrony danych osobowych;
- miejsc przetwarzania danych, tj. w szczególności wskazanie, iż wykonywanie pracy zdalnej w miejscach publicznych (w tym w miejscach, w których pracownika obejmuje monitoring w miejscu publicznym skierowanych na ekran komputerowy) może skutkować ujawnieniem informacji poufnych jak również danych osobowych.
W związku z pracą zdalną administrator danych będzie miał obowiązek zweryfikować istniejące procedury i regulaminy. Kluczowe będzie także zaktualizowanie rejestru czynności przetwarzania, analizy ryzyka oraz – jeśli zajdzie konieczność – oceny skutków (DPIA).
Jeżeli Państwa organizacja potrzebuje pomocy w wywiązaniu się z nowych obowiązków, zapraszamy do kontaktu w ramach którego przygotujemy spersonalizowaną ofertę.