Epidemia wirusa SARS-CoV-2 zmienia naszą rzeczywistość, w tym bezpośrednio wpływa na naszą pracę i ochronę danych. Oczywiście epidemia nie zawiesza stosowania RODO. Wręcz przeciwnie – koronawirus stanowi próbę również dla sprawności i prawidłowości stosowania RODO.
Jednym z największych wyzwań jest zapewnienie bezpieczeństwa danych oraz praw osób w kontekście wykonywania pracy zdalnej przez nasz personel. Zgodnie ze specustawą z 2 marca 2020 r., pracodawca może polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem stałego jej stałego wykonywania. Przeniesienie wykonywania pracy do domów pracowników zdecydowanie wpływa na organizację firmy w kontekście ochrony danych i praw osób poprzez zwiększenie ryzyka związanego z ochroną. Nietrudno o najbliższe przypadki: większe prawdopodobieństwo wycieku danych, pogorszenie stosowanych zabezpieczeń technicznych i organizacyjnych, zagrożenie poufności danych (możliwy dostęp przez domowników pracownika). Nie można zapominać również o ryzyku biznesowym dla samego administratora w postaci zagrożenia ujawnienia tajemnicy przedsiębiorstwa.
Zabezpieczenia, które należy zastosować zależą od specyfiki danej branży i zostały opisane w wielu artykułach, które pojawiły się tuż po wejściu w życie specustawy dotyczącej koronawirusa. Oświadczenia pracowników, dodatkowe szkolenia, regulaminy, polecenia dotyczące zapewnienia odpowiednich zabezpieczeń danych w warunkach domowych – to tylko niektóre z nich.
Co jednak z koniecznością oceny ryzyka przez pracodawcę – administratora? W wielu przypadkach skierowanie pracowników do pracy zdalnej oznacza reorganizację w zakresie ochrony danych, przyjętych procedur, procesów i dokumentacji. Czy aktualizacja dokumentów na linii pracodawca – pracownik wystarczy? Z pewnością nie. Pamiętajmy o tym, że administrator musi stosować się do reguły privacy de design oraz zapewnić bezpieczeństwo przetwarzania stosownie do art. 32 RODO. Podejście oparte na ryzyku (risk – based approach) oraz zasada rozliczalności wymagają przeprowadzenia analizy ryzyka oraz jej udokumentowania. Zmiana modelu pracy polegająca na skierowaniu pracowników dotychczas świadczących pracę w strukturach pracodawcy (w sensie fizycznym i organizacyjnym czyli po prostu w siedzibie pracodawcy lub znajdujących się w jego władaniu miejscach), na model pracy zdalnej (z domu) wymaga przeprowadzenia oceny ryzyka. Intuicyjnie czujemy, że praca zdalna zwiększa ryzyko naruszenia praw i wolności osób, których dane dotyczą, a także zwiększa ryzyko po stronie samego administratora. Samo jednak „poczucie” zwiększonego ryzyka nie wystarczy dla spełnienia zasady rozliczalności. Podobnie jak dokonywaliśmy i nadal dokonujemy jako administratorzy oceny ryzyka przy poszczególnych procesach, podobnie musimy postąpić w przypadku zmiany modelu organizacji na pracę zdalną. Fakt nagłych zdarzeń w postaci epidemii koronawirusa czy też szybkie zmiany w prawie nie oznaczają zawieszenia lub ograniczenia stosowania RODO – na administratorze spoczywają takie same obowiązki jak dotychczas.
Nie należy tracić z pola widzenia, że w szczególności komunikacja z pracownikiem pracujących zdalnie zwiększa ryzyko. Praca zdalna oznacza zmianę komunikacji pracownika z pracodawcą oraz pracownika z innymi osobami (wewnątrz firmy lub na zewnątrz firmy). Zapewnienie odpowiednich narzędzi i infrastruktury może stanowić nie lada wyzwanie dla administratora. Nie wystarczy jedynie zadbanie o służbowych komputer i telefon, ale również zapewnienie odpowiedniego środowiska komunikacji i wymiany informacji. Wszelkie porady, które można spotkać w Internecie dotyczące możliwości korzystania z Facebooka czy SnapChata przy pracy zdalnej należy traktować – delikatnie mówiąc – z bardzo dużym dystansem. Facebook czy też inne powszechnie dostępne komunikatory internetowe nie zapewniają odpowiedniego poziomu bezpieczeństwa, nie wspominając o tym, że w takiej sytuacji zwykle dochodzi do transferu danych do państwa trzeciego (co wymagałoby wyraźnych zmian w rejestrze czynności, analizie ryzyka i obowiązku informacyjnym). Dlatego zapewnienie odpowiedniego oprogramowania komunikacyjnego może mieć kluczowe znaczenie przy zabezpieczeniu danych w przypadku pracy zdalnej.
