Sakowska-Baryła Marlena, Ochrona danych osobowych w warunkach pracy zdalnej

Praca zdalna w przepisach prawa pojawiła się wraz z pandemią koronawirusa, choć w praktyce z niestacjonarnego wykonywania zadań, w tym przetwarzania danych osobowych, wiele podmiotów korzystało znacznie wcześniej. Nie zmienia to faktu, że na tak dużą skalę w okresie przed 2020 r. praca zdalna nie była wykonywana, co więcej, nie było uregulowania prawnego tej formy pracy. Dopiero konieczność przeciwdziałania zagrożeniom wynikającym z rozprzestrzeniającej się epidemii, a co za tym idzie – poszukiwania rozwiązań pozwalających na wykonywanie pracy poza siedzibą pracodawcy lub poza miejscami pozostającymi pod jego kontrolą – uzasadniała skorzystanie z pracy zdalnej jako rozwiązania pozwalającego na zapewnienie względnej ciągłości wykonywanych zadań w warunkach koniecznego ograniczenia kontaktów, a nawet izolacji. Praca zdalna doczekała się wprawdzie niezwykle skąpej, ale osobnej regulacji od zbliżonej do niej kodeksowej formy, jaką jest telepraca. Należy zwrócić uwagę, że są to dwie osobne instytucje prawa pracy, i wydaje się, że z uwagi na dużą skalę praktykowania to właśnie praca zdalna wymaga większej uwagi i zaangażowania po stronie pracodawcy, wiele rozwiązań zależy bowiem tylko od niego, a w konsekwencji to on poniesie odpowiedzialność za niewdrożenie odpowiednich procedur oraz rozwiązań organizacyjnych i technicznych.

Niniejsze opracowanie jest poświęcone tym aspektom pracy zdalnej, które istotnie rzutują na system ochrony danych osobowych w poszczególnych organizacjach. Analiza skupiona jest na zagadnieniach praktycznych; odnosi się także do tych konstrukcji normatywnych z zakresu ochrony danych osobowych i zagadnień charakteryzowanych w piśmiennictwie, które mogą być przydatne przy organizacji systemu ochrony danych osobowych w warunkach pracy zdalnej, zapewnienia bezpieczeństwa prawnego, technicznego i organizacyjnego, a także zapewnienia rozliczalności przetwarzania zgodnie z wymogami RODO.

Ponieważ książka z założenia ma mieć charakter praktyczny, na uboczu pozostają kwestie pogłębionych doktrynalnych analiz dotyczących poszczególnych instytucji ochrony danych osobowych. W tym stanie rzeczy na pierwszy plan wysuwa się konieczność wskazania, że dla uproszczenia prowadzonych tu rozważań często zamiennie używane są pojęcia pracodawcy i administratora dla określenia podmiotu odpowiedzialnego za zgodne z prawem zorganizowanie pracy zdalnej i jej procesy, a jednocześnie za wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO i aby można było to wykazać. Decydując się na to uproszczenie, należy skorzystać z założenia wynikającego z art. 3 k.p., który stanowi, że pracodawcą jest jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudnia ona pracowników. Zgodnie zatem z tym tokiem rozumowania pracodawca powinien być kwalifikowany jako administrator bez względu na to, czy ma osobowość prawną, czy też nie. Choć dla precyzji wypowiedzi i rzetelności naukowej warto wskazać, że zasadniczo pojęcie administratora w rozumieniu art. 4 pkt 7 RODO interpretowane jest w dużo szerszym kontekście niż wyłącznie kontekst prawa pracy .

W publikacji uwaga skoncentrowana została na zagadnieniach ochrony danych osobowych w warunkach pracy zdalnej. Starano się rzeczowo wyjaśnić:

Oczywiste jest, że odpowiednie zorganizowanie i udokumentowanie pracy zdalnej – adekwatnie do realiów konkretnie wykonywanej pracy i konkretnego pracodawcy, a jednocześnie administratora – służy bezpieczeństwu danych, zabezpieczeniu interesów osób, których dane dotyczą, ale i samego pracodawcy, zwłaszcza w kontekście odpowiedzialności prawnej. Brak spisanych i wdrożonych procedur jest równoznaczny z brakiem możliwości wykazania, że administrator działa zgodnie z RODO, odpowiednio poinstruował personel, a pracownicy rzeczywiście mieli wiedzę, w jaki sposób praca zdalna ma być wykonywana, i byli świadomi zagrożeń związanych z tą formą pracy.