Odnosi się to zarówno do przetwarzania danych przy wykorzystaniu środków komunikacji elektronicznej, jak i danych zawartych w dokumentach papierowych.
Pracodawca, decydując się na umożliwienie pracownikom korzystania podczas pracy zdalnej z dokumentacji papierowej, musi podjąć działania mające na celu ograniczenie ryzyka związanego z utratą dostępności, integralności oraz poufności danych.
Czytaj też: Ochrona danych osobowych podczas pracy zdalnej
Pracodawca musi ocenić niezbędność wykorzystywania dokumentacji papierowej podczas pracy zdalnej, biorąc pod uwagę charakter danych, cele dla których są przetwarzane oraz dostępne środki.
Należy przede wszystkim ocenić, czy do wykonania swojej pracy niezbędny jest dostęp do danych osobowych, czy też jest możliwe skorzystanie z dokumentów zanonimizowanych.
Praca na dokumentach papierowych nie będzie uzasadniona, jeżeli pracodawca: - wdrożył elektroniczny obieg dokumentów, a pracownik ma bezpieczny dostęp do niezbędnych do pracy danych osobowych przy pomocy środków komunikacji elektronicznej;
- ma możliwość szybkiego, sprawnego i bezpiecznego wdrożenia elektronicznego obiegu dokumentacji;
- może udostępnić pracownikowi odpowiednio zabezpieczone (m.in. zaszyfrowane) elektroniczne kopie niezbędnych dokumentów.
Jeżeli nie jest możliwe zastosowanie żadnego z ww. rozwiązań, warto zastanowić się nad pracą na kopiach niezbędnych dokumentów. Minimalizuje to ryzyko naruszenia integralności danych oraz utraty ich dostępności. Należy jednak pamiętać, że pracownik musi chronić dane zawarte w takich dokumentach, tak samo jak w dokumentacji oryginalnej.
Pracodawca, decydując o możliwości wykorzystywania przez pracowników dokumentacji papierowej podczas pracy zdalnej musi:
- zapewnić ewidencjonowanie wydanych pracownikom dokumentów zawierających dane osobowe;
- zapewnić, że udostępnione dokumenty będą przechowywane przez pracownika przez okres niezbędny do wykonania określonego zadania podczas pracy zdalnej (ograniczenie przechowywania);
- ograniczyć liczbę dokumentów wynoszonych z siedziby administratora do tego, co niezbędne w stosunku do celu przetwarzania danych osobowych przez pracownika w ramach pracy zdalnej; zobowiązać pracownika do odpowiedniego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji (np. wynoszenie dokumentów w zabezpieczonej aktówce, przenoszenie dokumentów np. w taki sposób, aby były niewidocznie dla osób trzecich); - zobowiązać pracownika do odpowiedniego zabezpieczenia danych w miejscu wykonywania pracy zdalnej (np. przechowywanie dokumentów w zamykanych na klucz szufladach biurka lub szafach, przestrzeganie zasady czystego biurka, zabezpieczenie dokumentów przed wglądem nieuprawnionych osób trzecich, m.in. członków rodziny);
- zapewnić, że pracownik będzie wykorzystywał pozyskane dane osobowe wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy;
- określić procedurę związaną z niszczeniem dokumentów (zakaz wyrzucania dokumentów do kosza w domu. Jeżeli pracownik nie posiada w domu niszczarki, powinien dokumenty przechowania w bezpieczny sposób, a po zakończeniu pracy zdalnej zniszczyć je w biurze);
- zapewnić, że pracownik będzie zgłaszał pracodawcy każdy incydent bezpieczeństwa zgodnie z procedura postępowania w sprawie naruszeń ochrony danych, tak aby administrator mógł się wywiązać z obowiązku nałożonego na mocy art. 33 ust. 1 RODO.
Źródło: www.uodo.gov.pl
