Praca zdalna (świadczona na urządzeniach służbowych, ale również sprzęcie prywatnym) stała się popularna w czasie pandemii COVID-19. Mimo, że ten pamiętny okres mamy ją już za sobą, to ta stosunkowo nowa forma organizacji pracy zostanie z nami już na zawsze (w mniejszym lub większym zakresie). Pandemia i związany z nią lockdown bez wątpienia przyspieszyły zmiany społeczne w tym zakresie. W Kodeksie pracy dodano niedawno cały nowy rozdział IIc, który dotyczy wyłącznie tej formy świadczenia pracy.
Jednakże jeszcze przed pandemią zdarzało się, że pracownicy korzystali w pracy z prywatnych urządzeń. Również przynosząc je do biura. Takie podejście, z ang. Bring Your Own Device (w skrócie BYOD, coraz bardziej zyskiwało na popularności. Organizacje, które zdołały uregulować tę kwestię przed lockdownem, nie miały większych problemów z przeniesieniem świadczenia pracy do miejsc zamieszkania pracowników.
UPOMNIENIE DLA RZECZNIKA FINANSOWEGO
Prezes UODO upomniał Rzecznika Finansowego za brak odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych na urządzeniach prywatnych wykorzystywanych w celach służbowych. Niestety decyzja została usunięta ze strony UODO, dlatego informacje na jej temat pochodzą przede wszystkim z innych publikacji.
Wydanie decyzji było rezultatem kradzieży laptopa jednego z byłych już pracowników administratora. Na sprzęcie przechowywane były dane osobowe przetwarzane podczas pracy zdalnej. Jak się później okazało Rzecznik Finansowy nie przeprowadził analizy ryzyka, w związku z czym przetwarzane dane nie zostały odpowiednio zabezpieczone. W organizacji nie zastosowano środków technicznych, ani organizacyjnych, które złagodziłyby skutek kradzieży urządzenia. Ponadto Rzecznik Finansowy po zakończeniu współpracy z pracownikiem nie upewnił się, czy dane osobowe przetwarzane w celach służbowych zostały trwale i skutecznie usunięte z jego urządzenia (do kradzieży doszło później).
SKARGA DO WSA
Mimo, że organ nadzorczy nałożył na Rzecznika Finansowego jedynie karę upomnienia to urząd nie zgodził się z decyzją i zaskarżył ją do Wojewódzkiego Sądu Administracyjnego w Warszawie.
W skardze podniósł m.in., że skradziony komputer należał do pracownika. Według skarżącego Prezes UODO nie udowodnił, że na dysku twardym skradzionego komputera faktycznie znajdowały się dane osobowe. Ponadto były pracownik był radcą prawnym, co w ocenie Rzecznika Finansowego czyni z niego odrębnego administratora danych.
WSA PODTRZYMAŁ DECYZJĘ PREZESA UODO
WSA nie podzielił argumentacji Rzecznika Finansowego i w wyroku z dnia 5 października 2023 r. (na razie nieopublikowanym) podtrzymał w mocy decyzję Prezesa UODO. W ocenie sądu to Rzecznik Finansowy, a nie były pracownik był administratorem danych zgodnie z definicją zawartą w RODO. To urząd, a nie radca prawny decydował o celach i sposobach przetwarzania danych osobowych. W związku z tym działania podejmowane przez byłego pracownika były realizowane na polecenie pracodawcy, za które ponosi on odpowiedzialność.
W ocenie WSA Rzecznik Finansowy powinien przeprowadzić analizę ryzyka w związku ze świadczeniem pracy zdalnej pracowników i korzystaniem przez nich zarówno z prywatnych, jak i służbowych komputerów. Takie działanie pozwoliłoby wdrożyć odpowiednie środki techniczne mające zastosowanie m.in. w przypadku kradzieży sprzętu.
Sąd wskazał, że w związku z nieudowodnieniem odpowiedniej ochrony komputera ciężar dowodu spoczywał na administratorze. Natomiast Rzecznik Finansowy nie przedstawił żadnych dowodów mających świadczyć o tym, że urządzenie było odpowiednio chronione. W ocenie sądu kluczowe było również to, że ADO nie potwierdził usunięcia ze sprzętu byłego pracownika danych służbowych.
To kolejna decyzja Prezesa UODO, która została niedawno podtrzymana przez sąd administracyjny. Rzecznik Finansowy we wpisie opublikowanym na swojej oficjalnej stronie internetowej podkreśla, że wyrok jest nieprawomocny. Informuje w nim również, że zawnioskował o uzasadnienie orzeczenia i nie wyklucza wniesienia skargi kasacyjnej do Naczelnego Sądu Administracyjnego.
BRING YOUR OWN DEVICE (BYOD)
BRING YOUR OWN DEVICE (BYOD) oznacza sytuację, gdy pracownicy świadczą pracę na swoich prywatnych urządzeniach. BYOD ma zastosowanie nie tylko podczas pracy zdalnej, ale również tej wykonywanej w siedzibie organizacji przy użyciu sprzętu prywatnego.
W przypadku zezwolenia na wykorzystywanie prywatnych urządzeń konieczne jest wdrożenie właściwej strategii z tym związanej. W przypadku używania prywatnego sprzętu pracownik (lub współpracownik) powinien zostać zobowiązany m.in. do:
- zawarcia umowy powierzenia przetwarzania zgodnie z wymaganiami art. 28 RODO,
- a co najmniej do odpowiedniego zabezpieczenia sprzętu prywatnego (np. zaszyfrowania dysku urządzenia, stosowania silnych haseł, nieinstalowania oprogramowania z niezaufanych źródeł itp.) oraz poddawania się kontroli pracodawcy w tym zakresie lub
- powstrzymania się od zapisywania służbowych danych na lokalnym dysku prywatnego urządzenia (komputera lub telefonu), a tylko w zasobach zarządzanych przez pracodawcę.
Możliwość korzystania z prywatnego sprzętu w celach służbowych powinna być odnotowana w regulacjach wewnętrznych organizacji. Nałożą one na pracowników odpowiednie obowiązki związane ze świadczeniem pracy przy wykorzystaniu własnych urządzeń. Natomiast pracodawca jest zobowiązany do weryfikacji ich przestrzegania przez pracowników.
Jedna z uczelni wyższych została ukarana przez Prezesa UODO administracyjną karą pieniężną m.in. za brak wiedzy o zapisywaniu danych na prywatnym urządzeniu pracownika. Kary dałoby się uniknąć gdyby w organizacji zastosowano w/w zasady dotyczące BYOD.