Firma musi określić zasady ochrony danych przekazywanych telepracownikowi oraz skierować go – w miarę potrzeb – na instruktaż lub szkolenie w tym zakresie. Wynika tak z art. 67
12
§ 1 kodeksu pracy. Z kolei telepracownik musi potwierdzić na piśmie, że zapoznał się z tymi zasadami (art. 67
12
§ 2 k.p.). Problem nabiera znaczenia, gdy telepracownik ma dostęp do informacji podlegających szczególnej ochronie, takich jak dane osobowe, informacje stanowiące tajemnice: przedsiębiorstwa, służbową czy inne ustawowo chronione.
Wagę problemu ochrony informacji podlegających szczególnej ochronie w stosunkach telepracy dobrze ilustrują zasady obowiązujące przy przetwarzaniu danych osobowych. Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.), definiując je jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, wprowadza bardzo surowe zasady ich ochrony.
Zgodnie z art. 36 ust. 1 ustawy pracodawca jako administrator danych musi stosować środki techniczne i sposób organizacji zabezpieczający te informacje przed udostępnieniem ich osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, uszkodzeniem lub zniszczeniem. Z kolei art. 36 ust. 2 ustawy obliguje administratora, aby prowadził dokumentację opisującą sposób przetwarzania danych osobowych oraz środki zabezpieczające.
Szczegółowe warunki prowadzenia takiej dokumentacji określa rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024). Dokumentacja w formie pisemnej instrukcji wydanej przez pracodawcę ma regulować m.in.
1) procedury nadawania uprawnień do przetwarzania danych,
2) procedury rozpoczęcia, zawieszenia i zakończenia pracy dla użytkowników systemu,
3) sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe,
4) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących przetwarzaniu danych.
To tylko niewielka próbka obowiązków pracodawcy związanych z przetwarzaniem danych osobowych. Dostatecznie uzasadnia ona jednak twierdzenie, że jeżeli zamierza on zatrudnić telepracownika, który będzie zajmował się przetwarzaniem danych osobowych i to nawet w ograniczonym zakresie, powinien przede wszystkim dostosować wewnętrzną dokumentację (instrukcję) o zasadach przetwarzania tych danych do potrzeb telepracy. Ma ona uwzględniać specyfikę miejsca wykonywania pracy (poza zakładem pracy, często w prywatnym mieszkaniu pracownika), technologię wykonywanej przez niego pracy oraz przekazywania jej wyników pracodawcy. Szef musi więc ocenić, czy przetwarzanie danych osobowych przez telepracownika w ogóle jest możliwe do pogodzenia z surowymi wymogami bezpieczeństwa.
Wykonywanie pracy poza faktyczną bieżącą kontrolą pracodawcy, potencjalnie ułatwiony dostęp do danych przez osoby trzecie (np. domowników, znajomych telepracownika) np. w wyniku chwilowego pozostawienia włączonego komputera bez opieki – to zagrożenia wymagające zastosowania odpowiednich środków. Na ogół są one odmienne od tych, jakie stosuje się w siedzibie firmy.
Gdy mimo tak surowych wymogów szef zdecyduje się jednak powierzyć telepracownikowi pracę obejmującą, choćby w bardzo ograniczonym zakresie, przetwarzanie danych osobowych, powinien – również dla własnego bezpieczeństwa – przeprowadzić szczegółowy instruktaż telepracownika. Ten własnoręcznym podpisem potwierdza, że zapoznał się z zasadami ochrony informacji. I to zanim przystąpi do pracy.
Dane osobowe to tylko jedna z wielu informacji podlegających szczególnej ochronie prawnej. Jeżeli szef zamierza powierzyć telepracownikowi pracę, której elementem będzie przetwarzanie informacji szczególnie chronionych, zawczasu powinien rozważyć, czy:
- określona kategoria informacji w ogóle może być przetwarzana poza siedzibą zakładu pracy,
- czy i jak przetwarzanie informacji poza zakładem wpłynie na bezpieczeństwo informacyjne pracodawcy,
- przetwarzanie informacji poza zakładem wymaga dostosowania obowiązujących u niego zasad ochrony informacji.
Autor jest radcą prawnym w spółce Orłowski, Patulski, Walczak