Działania podejmowane w celu zwalczania pandemii wirusa SARS-CoV-2 dotykają wielu obszarów działalności przedsiębiorstw. Stosowane przez przedsiębiorców środki nakierowane są nie tylko na zapobieżenie rozprzestrzenianiu wirusa, ale przede wszystkim na zachowanie ciągłości prowadzenia działalności.
Wiele firm i instytucji zdecydowało się na zmianę organizacji funkcjonowania swoich przedsiębiorstw, w tym na oddelegowanie swoich pracowników do tzw. pracy zdalnej. Wiąże się to ze zwiększonym wykorzystaniem różnego rodzaju rozwiązań IT takich jak komunikatory internetowe, wirtualne desktopy czy przechowywanie danych w chmurze.
Ani specustawa koronawirusowa ani żadna inna regulacja prawna nie ogranicza ani nie wyłącza stosowania przepisów ogólnego rozporządzenia o ochronie danych osobowych (tzw. RODO). Zgodnie ze stanowiskiem polskiego organu ds. ochrony danych osobowych przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem[1]. Jednak, co do zasady bieżąca sytuacja nie zwalnia przedsiębiorców z obowiązku przestrzegania przepisów RODO w związku z nowymi procedurami i sposobami działania wdrażanymi w ich organizacjach.
Poniżej podpowiadamy, na co zwrócić uwagę, aby proces wdrażania zastępczych rozwiązań technicznych i organizacyjnych w Państwa firmach przebiegał bezpiecznie oraz zgodnie z regulacjami ochrony danych osobowych.
Po pierwsze – podejście oparte na ryzyku
W przypadku zmiany organizacji pracy zachowuje aktualność tzw. podejście oparte na ryzyku.
Oznacza to, że każdy przedsiębiorca powinien samodzielnie ocenić ryzyko wynikające z przetwarzania danych osobowych w nowych warunkach pracy. Ocena i identyfikacja ryzyka powinna przełożyć się następnie na wdrożenie konkretnych rozwiązań, które zapewnią bezpieczne i zgodne z prawem przetwarzanie danych.
Przeprowadzenie oceny ryzyka jest dziś szczególnie istotne, ponieważ sytuacja, z jaką mamy obecnie do czynienia, w większości przypadków nie była przedmiotem uprzednich analiz i przygotowań ze strony przedsiębiorców. Dodatkowo, aktualnie na pracę zdalną decydują się nie tylko takie organizacje które w zwykłym, normalnym toku działalności korzystały do tej pory ze świadczenia pracy spoza swoich biur czy oddziałów, ale też takie które co do zasady nie korzystały powszechnie z takiego rozwiązania (np. firmy sektora bankowego).
Aktualna sytuacja wymaga niewątpliwie szczególnego podejścia. Działania przedsiębiorców w tym zakresie muszą być z jednej strony dostosowane do stale zmieniającej się rzeczywistości, a z drugiej strony muszą uwzględniać szczególne zagrożenia, jakie niesie przeniesienie znacznej części działalności poza siedziby firm.
Nie wszystkie rozwiązania są przy tym dopuszczalne. Z tego względu warto upewnić się, że przetwarzanie danych osobowych w Państwa firmie odbywa się zgodnie z prawem. Rekomendowanym rozwiązaniem są więc doraźne audyty prawne i informatyczne, które pozwolą wykryć ewentualne nieprawidłowości.
Po drugie – bezpieczeństwo danych poza biurem
Przejście na system pracy zdalnej wiąże się z koniecznością zapewnienia bezpiecznego przetwarzania danych osobowych.
Oznacza to obowiązek korzystania z bezpiecznych narzędzi pracy zdalnej, co obejmuje nie tylko sprzęt komputerowy i oprogramowanie, z którego korzystają Państwa pracownicy, ale także wdrożenie odpowiednich dostosowanych do nowej rzeczywistości procedur.
Zmiana organizacji pracy oznacza między innymi wzmożony ruch danych w sieci. W ostatnim czasie na popularności zyskały środki komunikowania się na odległość. Miejsce spotkań zajmują telekonferencje i wideokonferencje, na popularności zyskują komunikatory internetowe oraz platformy służące do wymiany danych.
Stosowane przez przedsiębiorców techniczne środki ochrony danych mogą obejmować m.in. stosowanie bezpiecznych połączeń sieciowych, wykorzystywanie szyfrowania danych przy ich transmisji, ochronę sprzętu komputerowego i telekomunikacyjnego przed złośliwym oprogramowaniem czy zabezpieczenie dostępu do urządzeń przy użyciu haseł. W aktualnej sytuacji zapewnienie należytej ochrony danych może także wymagać monitorowania urządzeń pracowników.
Zgodne z RODO przetwarzanie danych osobowych obejmuje nie tylko stosowanie zabezpieczeń przed wyciekami danych, ale także m.in. zapewnienie odpowiedniej przepustowości serwerów dostosowanej do potrzeb wszystkich użytkowników czy tworzenie kopii awaryjnych danych. W związku ze zwiększonym zapotrzebowaniem zakupowym podkreślamy, że na przedsiębiorcach spoczywa również obowiązek zweryfikowania kompetencji dostawcy sprzętu i oprogramowania.
Po trzecie – świadomość pracowników
Z uwagi na skalę i konieczność natychmiastowego stosowania środków zaradczych niejednokrotnie przedsiębiorcy borykają się z brakiem odpowiedniego czasu na kompleksowe przygotowanie swoich środowisk pracy z punktu widzenia ochrony danych osobowych.
W takiej sytuacji istotną rolę w zmienionej rzeczywistości biznesowej pełni wiedza i podejście pracowników, którzy w ramach pracy zdalnej wykonują operacje na danych osobowych. Prawidłowe wdrożenie zastępczych rozwiązań organizacyjnych i technicznych wymaga przekazania pracownikom zaktualizowanych informacji o postępowaniu z danymi osobowymi oraz wdrożenia w tym zakresie nowych, doraźnych procedur.
Zwracamy uwagę, że w ostatnim czasie obserwowana jest wzmożona liczba ataków hakerskich. Z punktu widzenia zgodności z przetwarzania danych osobowych z prawem istotne jest zarówno to, żeby dane osobowe nie wydostały się z Państwa organizacji w konsekwencji zewnętrznych cyberataków, ale także, aby ewentualny wyciek danych nie był wynikiem zachowania Państwa pracowników. Dotyczy to oczywiście również innych wrażliwych danych w Państwa organizacjach.
Z tego względu kluczowe jest poinstruowanie pracowników o sposobach bezpiecznego przetwarzania danych w sieci, ale również m.in. bezpiecznego postępowania z dokumentami w wersji papierowej (np. opracowanie i przekazanie pracownikom informacji o procedurach w kwestii niszczenia dokumentów czy zabezpieczenia dokumentów na czas nieobecności w domu). Obecny czas może być także dobrym momentem na odświeżenie wiedzy pracowników i przeprowadzenie szkoleń z zakresu bezpiecznego przetwarzania danych (np. w formie webinariów).
Należy o tym pamiętać, ponieważ skutki biznesowe i prawne braku posiadania oraz zachowania odpowiednich procedur mogą być bardzo dotkliwe, włączając w to nie tylko utratę zaufania klientów i kontrahentów oraz straty wizerunkowe, ale także kary finansowe.
[1] Zob. Oświadczenie Prezesa UODO w sprawie koronawirusa z 12.03.2020 r., dostępne na stronie internetowej: https://uodo.gov.pl/pl/138/1456
Zespół Kubas Kos Gałkowski cały czas monitoruje regulacje i zalecenia wydawane przez organy rządowe i na bieżąco opracowuje konkretne rozwiązania prawne. Pozostajemy w gotowości, aby udzielić wsparcia i odpowiedzi na wszelkie pojawiające się pytania. W razie jakichkolwiek wątpliwości związanych z COVID-19 oraz wpływem pandemii na Państwa działalność, jesteśmy do Państwa dyspozycji.
Artykuł ma charakter wyłącznie informacyjny, abstrakcyjny i ogólny, nie stanowi opinii prawnej lub porady ani nie może być traktowany jako świadczenie pomocy prawnej w jakiejkolwiek formie. Materiały zawarte w niniejszym artykule nie mogą stanowić podstawy jakiejkolwiek odpowiedzialności Kancelarii lub autora artykułu w stosunku do osób trzecich. Kancelaria "Kubas Kos Gałkowski – Adwokaci sp. p". sp. k. może udzielić porady prawnej lub sporządzić opinię wyłącznie i dopiero po zapoznaniu się ze stanem faktycznym konkretnej sprawy. W celu uzyskania bardziej szczegółowych informacji lub pomocy prawnej skontaktuj się z naszym prawnikiem.