Wielu pracodawców mierzy się obecnie z istotnym wyzwaniem jakim jest właściwa organizacja pracy zdalnej. W organizacjach, posiadających doświadczanie w takiej organizacji pracy nie jest to problem zasadniczy a jedynie bieżące analizowanie ryzyka i modyfikowanie przyjętych wcześniej polityk oraz procedur wewnętrznych. Warto zaznaczyć, że sposób wykonywania pracy zdalnej nie jest tożsamy z definicją telepracy w rozumieniu art. 675 § 1 KP.
Praca zdalna jest istotnym wyzwaniem dla podmiotów nie posiadających takiego doświadczenia, dla których bezpieczeństwo informacji do tej pory nie zafunkcjonowało w kulturze organizacyjnej a także opracowano i wdrożono wewnętrznych procedur i polityk bezpieczeństwa informatycznego. Nie dostrzegli potrzeby przeanalizowania wprowadzenia przepisów RODO. Nie są świadomi wykazywania swoich działań w zgodności z art. 32 i art.24 wyznaczników formalizmu organizacyjnego ochrony informacji, podjęcia analiz ryzyka, w tym rzeczywistej ochrony danych. Dzisiaj idą na żywioł związany z potrzebą utrzymania działalności firmy, w trudnej przecież walce o jej przetrwanie w związku z epidemią. Wielu z nich decydując się na home office nie przeanalizowało skutków pracy zdalnej na sprzęcie własnym pracownika przyjmując wygodne rozwiązanie BYOD (Bring Your Own Device), inni przekazując pracownikowi firmowy sprzęt. Czy zatem właściwie zabezpieczyli chronione informacje? Otóż w świetle praktyki i moich doświadczeń nie przygotowali się i swoich pracowników. Muszą zatem zauważyć, że dzisiaj ciągle jeszcze jest pora na wydawanie wewnętrznych polityk pracy zdalnej czy wytycznych pracodawców ( często administratorów danych zgodnie z art.4 RODO) do sprecyzowania warunków bezpieczeństwa pracy zdalnej w warunkach domowych. Na co zatem należy zwrócić uwagę ? Przede wszystkim na możliwość bezpiecznego wykonywania pracy poza biurem. Warto zatem postawić szereg pytań:
– Co to znaczy bezpieczny komputer?
– Czy pracownik może tak zorganizować sobie pracę w domu aby dostęp do komputera lub laptopa był chroniony?
– Czy pracowni będzie korzystał z własnego sprzętu, sieci internetowej oraz własnego oprogramowania i dostępu do poczty mailowej służbowej?
– Kiedy nalzey szyfrować informacje, i jak to praktycznie zrobić ?
– Czy pracodawca formalnie przekaże mu sprzęt, systemy informatyczne, dostępu do własnej cloud computing, decydując na pracę tylko w obszarze chmurowym, bez zapisywania danych na komputerze czy laptopie lub podejmując decyzję o zakazie zapisywania danych na dyskach wewnętrznych i nośnikach zewnętrznych ?
– Czy dział IT lub informatyk wspomaga procesy home office?
Odpowiedzi na powyższe pytania i rodzące się następne, będą istotne dla odpowiedzialności podmiotów do ochrony informacji , a w tym danych osobowych ewentualnej odpowiedzialności w tym zakresie. Polecam też artykuł „ Ochrona danych osobowych podczas pracy zdalnej” na stronie UODO.