CORE CONSULTING

Tag: Sektor prywatny

Wykorzystywanie prywatnych skrzynek e-mail

Pytanie: wszyscy nauczyciele przedszkola mają założone służbowe e-maile, ale nie mamy możliwości założenia służbowych e-maili dla pracowników niepedagogicznych. Chcielibyśmy zebrać od pracowników obsługi ich prywatne adresy e-mail żeby móc im wysyłać elektronicznie, np. prezentacje ze szkolenia BHP, szkolenia dotyczące PPK, informacje dotyczące organizacji pracy itp. W jaki sposób możemy to zrobić, aby było to zgodne z RODO? Czy na jakimś specjalnym formularzu? Czy możemy od pracownika wymagać podania prywatnego adresu e-mail czy jest to tylko jego dobra wola?

Odpowiedź: W przypadku prywatnych adresów e-mail ich podanie przez pracowników jest możliwe tylko za ich zgodą. Oznacza to, że pracownik powinien mieć realną możliwość odmowy jej udzielenia (bez negatywnych konsekwencji). Co z kolei oznacza, że brak zgody nie uniemożliwi mu dostępu do szkoleń i informacji. W przypadku relacji pracownik – pracodawca dobrowolność takiej zgody może być poddana pod wątpliwość przez Urząd Ochrony Danych Osobowych z uwagi na to, iż pracownik może czuć przymus jej udzielenia i obawiać się odmówić (co sprawia, iż zgoda taka nie jest dobrowolna).

Z uwagi na to, że przesyłane informacje mają mieć charakter jedynie organizacyjny – proponuję dwa rozwiązania, które pomogą nam uniknąć pobierania i posługiwania się adresami prywatnymi:

  1. Jeden wspólny mail – w celu umieszczania informacji można rozważyć założenie przez Placówkę jednej wspólnej skrzynki e-mail, na którą mogliby logować się pracownicy i korzystać z przesyłanych na nią szkoleń i innych informacji.
  2. Drugim rozwiązaniem jest założenie indywidualnego maila dla każdego pracownika na komercyjnej skrzynce e-mail. Skrzynka taka służyłaby jedynie do przesyłania wspomnianych treści. Zalecam, aby w takim przypadku w adresie e-mail nie podawać imienia i nazwiska pracownika, a ewentualnie posłużyć się inicjałami.

Oczywiście zakładanie takiej jednej zbiorczej lub kilku indywidualnych skrzynek wiąże się z korzystaniem ze skrzynek darmowych i komercyjnych, korzystania z których zawsze Państwu odradzamy. Jednak w tym konkretnym przypadku można wyjść z założenia, że prywatne skrzynki pracowników również założone są na kontach komercyjnych i darmowych, po drugie zaś na skrzynki te nie będą Państwo przesyłać korespondencji zawierającej dane osobowe.

Ustawa o ochronie sygnalistów – znamy założenia do projektu

17 grudnia 2021 r. mija termin na przyjęcie przepisów krajowych implementujących dyrektywę unijną o ochronie sygnalistów[1]. Poznaliśmy istotę rozwiązań, które mają zostać przyjęte w ustawie.

Zakres zgłoszeń

Zakres możliwych zgłoszeń naruszeń prawa przez sygnalistów nie zostanie rozszerzony na inne obszary niż zakłada to dyrektywa. Nie jest zaskoczeniem, że zakres ten będzie jednak obejmował również naruszenie przepisów krajowych (a nie tylko unijnych) z dziedzin określonych w dyrektywie. Dla przypomnienia, są to obszary:

– zamówień publicznych,

– usług, produktów i rynków finansowych,

– zapobiegania praniu pieniędzy i finansowaniu terroryzmu,

– bezpieczeństwa produktów,

– bezpieczeństwa transportu,

– ochrony środowiska,

– ochrony radiologicznej i bezpieczeństwa jądrowego,

– bezpieczeństwa żywności i pasz,

– zdrowia i dobrostanu zwierząt,

– zdrowia publicznego, w tym praw pacjentów i kontroli wyrobów tytoniowych,

– ochrony konsumentów,

– ochrony prywatności i danych osobowych,

– bezpieczeństwa sieci i systemów teleinformatycznych.

Ponadto zakresem dyrektywy objęte są naruszenia mające wpływ na interesy finansowe UE, dotyczące rynku wewnętrznego, w tym naruszenia unijnych zasad konkurencji i pomocy państwa oraz naruszenia krajowych przepisów regulujących opodatkowanie osób prawnych.

Podmioty zobowiązane do wdrożenia procedur

Ważnym założeniem do projektu ustawy jest to, że w sektorze publicznym obowiązek wdrożenia procedur zostanie ograniczony do jednostek zatrudniających co najmniej 50 pracowników. Nasz ustawodawca planuje zatem skorzystać z uprawnienia nadanego mu przez dyrektywę do ograniczenia kręgu podmiotów zobowiązanych.

W obrębie podmiotów z sektora prywatnego nie zakłada się modyfikacji na poziomie krajowym. Zobowiązani do wdrożenia procedur zgłaszania naruszeń będą przedsiębiorcy zatrudniający co najmniej 249 pracowników. Podmioty zatrudniające od 50 do 249 pracowników także będą musiały wdrożyć procedury, ale dopiero pod koniec 2023 r. Co ważne, podmioty działające w sektorze finansowym (m.in. banki, fundusze inwestycyjne, zakłady ubezpieczeń, zakłady reasekuracji, fundusze powiernicze, towarzystwa emerytalne, fundusze emerytalne, domy maklerskie, towarzystwa funduszy inwestycyjnych) będą miały obowiązek stosowania przepisów już w tym roku – niezależnie od liczby zatrudnionych osób.

Niestety na tym etapie założeń do projektu nadal nie wiemy czy i jak należy definiować pojęcie pracownika. Wydaje się, że ustalając stan zatrudnienia trzeba będzie brać pod uwagę również osoby wykonujące zadania na podstawie umów zlecenia.

Sygnaliści

Ustawa ma zapewnić ochronę sygnalistom niezależnie od podstawy i formy świadczenia pracy (umowa o pracę, cywilnoprawna, w ramach własnej działalności gospodarczej, kontrakt menedżerski, wolontariat, staż, praktyka). Ochroną objęte będą również osoby świadczące pracę na rzecz wykonawców, podwykonawców lub dostawców podmiotu, którego dotyczyć będzie zgłoszenie. Za sygnalistów uważani będą również akcjonariusze, wspólnicy oraz członkowie organów osób prawnych oraz byli pracownicy i kandydaci do pracy.

Założenia do projektu ustawy są takie, że sytuacja prawna sygnalisty ma zostać wzmocniona na gruncie ewentualnych postępowań sądowych poprzez odwrócenie ciężaru dowodu. Sygnalista ma mieć prawo do dochodzenia odszkodowania w wysokości nie niższej niż minimalne wynagrodzenie za pracę.

Wewnętrzne procedury

Przewiduje się w ustawie, że procedura zgłaszania naruszeń będzie miała charakter wewnątrzzakładowego aktu prawnego objętego zakresem definicji prawa pracy. Treść procedury będzie zatem przedmiotem uzgodnień z zakładowymi organizacjami związkowymi albo konsultacji z przedstawicielami pracowników.

Na tym etapie zakłada się, że procedura – w wersji minimalnej – będzie musiała obejmować swoim zakresem pracowników. Co za tym idzie, przepisy krajowe mają dawać swobodę podmiotom zobowiązanym w wyborze czy będą chcieli umożliwić skorzystanie z wewnętrznych kanałów zgłoszeń przez np. byłych pracowników, wolontariuszy, stażystów czy też dostawców lub podwykonawców. Należy jednak pamiętać, że brak umożliwienia zgłoszenia kanałem wewnętrznym nie wyłączy możliwości dokonania zgłoszenia przez te osoby w innym trybie tj. zgłoszenia zewnętrznego (do organu centralnego).

Organ centralny – Rzecznik Praw Obywatelskich

Polski ustawodawca chce wyznaczyć na organ centralny Rzecznika Praw Obywatelskich, który będzie udzielał wsparcia sygnalistom i przyjmował zgłoszenia (kanał zewnętrzny). 

Wiemy również, że Rzecznik nie będzie organem rozpatrującym zgłoszenia, a jego rola będzie sprowadzała się do nadania zgłoszeniu właściwego biegu czyli tak faktycznie przekazania sprawy do właściwego organu (w zależności od tego czy konieczne okaże się postępowanie kontrolne, wyjaśniające czy np. złożenie zawiadomienia o przestępstwie). W konsekwencji należy założyć, że ustawa raczej nie będzie zawierała niezależnej procedury postępowania w zakresie merytorycznego rozstrzygania zgłoszeń.

Odrębna ustawa

Nie jest również zaskoczeniem, że z uwagi na szeroki zakres koniecznych do wdrożenia rozwiązań przepisy związane z ochroną sygnalistów zostaną ujęte w formie odrębnej ustawy.

Kary

Z dotychczas opublikowanych informacji nie wynika, jakie kary będą wiązały się z naruszeniem przepisów o ochronie sygnalistów. Dyrektywa wymaga, aby ustawodawca krajowy zapewnił skuteczność stosowania przepisów poprzez wprowadzenie sankcji o charakterze karnym, cywilnym i/lub administracyjnym. Przewidujemy, że podobnie jak w przypadku kar za naruszenie przepisów o ochronie danych osobowych, sankcje te mogą być dotkliwe. Z tego powodu zalecamy nie czekać z decyzją o wdrożeniu wymaganych procedur do ostatniej chwili.

Pamiętajmy, że powyższe założenia są wstępne i mogą ulec zmianie na dalszych etapach. Z niecierpliwością czekamy na projekt ustawy. Zmiany można śledzić tutaj: https://archiwum.bip.kprm.gov.pl/kpr/form/r230343592,Projekt-ustawy-o-ochronie-osob-zglaszajacych-naruszenia-prawa.html


[1] Dyrektywa Parlamentu Europejskiego i Rady UE (2019/1937) z dnia 23 października 2019 w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Dane niechciane

CZYM SĄ I CO Z NIMI ZROBIĆ?

Kiedy mamy do czynienia z „danymi niechcianymi”
Przetwarzanie danych osobowych stanowi pewien proces, który powinien być zaplanowany, mieć swój początek oraz koniec. Zadaniem administratora jest określenie tego, jakie informacje, na jakiej podstawie, w jakim celu i w jaki sposób będą przetwarzane oraz wskazanie, w miarę możliwości, okresu ich przechowywania. Innymi słowy, dane osobowe przetwarzane w ramach organizacji, powinny być przyporządkowane do konkretnego procesu (lub procesów) i nie powinny znajdować się w niej przez przypadek. W praktyce zdarza się jednak, że organizacja wchodzi w posiadanie danych osobowych wbrew własnej woli. Pojawiają się wówczas kwestie problemowe – co z takimi danymi zrobić, jak je przetwarzać, czy należy spełnić obowiązek informacyjny. Przykładem otrzymania takich danych jest otrzymanie wiadomości e-mail zawierającej CV, podczas gdy nie jest prowadzona rekrutacja, a placówka nie jest zainteresowana zatrudnianiem nowego pracownika. Inną sytuacją jest składanie przez pracownika wniosku do ZFŚS i załączanie kserokopii dokumentów np. wypisu ze szpitala. Takie dane określa się właśnie mianem „danych niechcianych”.

JEŚLI ADMINISTRATOR PODEJMIE DECYZJĘ O USUNIĘCIU BĄDŹ ZNISZCZENIU DANYCH NIECHCIANYCH, WÓWCZAS NIE BĘDZIE ZOBLIGOWANY DO SPEŁNIENIA OBOWIĄZKU INFORMACYJNEGO WOBEC OSOBY, KTÓRA PRZEKAZAŁA DANE WBREW JEGO WOLI.

Jak dalej postąpić?
Pamiętajmy, że to administrator decyduje o tym jakie dane osobowe przetwarza – część z tych danych pojawia się w organizacji na podstawie przepisów prawa (np. w przypadku zatrudnienia pracowników), a część z nich w wyniku działalności administratora (np. na podstawie zgody na otrzymywanie newslettera lub umowy na wykonanie usługi). Nie można natomiast niejako zmusić daną organizację do administrowania naszymi danymi osobowymi np. przesyłając CV w wiadomości e-mail lub przekazując nadmiarową dokumentację. W przypadku otrzymania takich „nadprogramowych” danych osobowych administrator ma prawo po prostu je usunąć, jako że są one dla niego zbędne. W tym przypadku też, nie ma konieczności aby spełniać obowiązek informacyjny wobec osoby, która przekazała swoje dane.

TAK ZWANE: „DANE NIECHCIANE” NALEŻY PO PROSTU USUNĄĆ BĄDŹ ZNISZCZYĆ.

PODSUMOWUJĄC:
Wiadomości e-mail zawierające dane niechciane należy pozostawiać bez odpowiedzi oraz usunąć je ze skrzynki.
Natomiast w przypadku dokumentów zwrócić je właścicielowi bądź (jeśli są to kserokopie) zniszczyć.

Proces przetwarzania danych osobowych

W kontekście ochrony danych osobowych często pojawia się pojęcie procesu przetwarzania. RODO definiuje „przetwarzanie” jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany (…).  Szukając  definicji „procesu” warto sięgnąć do normy ISO 27000, która definiuje go jako: „zbiór działań wzajemnie powiązanych lub wzajemnie oddziałujących, które przekształcają wejścia w wyjścia”.

Rezultatem (wyjściem) procesu przetwarzania danych osobowych jest osiągnięcie celu przetwarzania. Informacjami wejściowymi są natomiast dane osobowe. Zmiennymi, które kształtują ten proces, oprócz danych wejścia i wyjścia jest między innymi kategoria podmiotów, których dane dotyczą; sposób przetwarzania – w szczególności użyta technologia; zakres i zasięg przetwarzania, podmioty zaangażowane oraz otoczenie prawne.

Otoczenie prawne procesu

Myśląc o ochronie danych osobowych w organizacji należy brać pod uwagę nie tylko przepisy RODO oraz krajowych ustaw dotyczących ochrony danych osobowych, ale także inne obowiązujące akty prawne.

Jako przykład posłużyć może proces rekrutacji. Zakres danych osobowych, których pracodawca może żądać od kandydatów jest wskazany wprost przepisami Kodeksu pracy (art. 22k.p.). Planując więc ten proces, należy zaimplementować do niego ograniczenia, które narzucił na administratora ustawodawca. Oczywiście, kandydaci bardzo często podają dane, które wychodzą poza ten katalog – w takim przypadku jednak robią to z własnej inicjatywy, a przetwarzanie odbywa się na podstawie zgody. Po zakończeniu rekrutacji i wyborze pracownika, pracodawca rozpoczyna nowy proces przetwarzania danych, jakim jest zatrudnienie. Po raz kolejny proces ten powinien zostać „dopasowany” do przepisów prawa (przykładowo w zakresie 10. letniego okresu przechowywania teczek osobowych). Dlatego też ważne jest zaplanowanie procesu niejako „z góry”.

Planowanie i budowa procesu

Zasady planowania i budowy procesu przetwarzania danych osobowych wynikają z Rozporządzenia – w szczególności administrator powinien kierować się ujętymi w art. 5 RODO zasadami: rzetelności, przejrzystości, minimalizacji, prawidłowości, integralności i poufności oraz zgodności z prawem, ograniczenia celu i ograniczenia przechowywania danych. Zasady te są równoważne – oznacza to, że administrator nie może dowolnie wybrać, które z nich będą miały zastosowanie do danego procesu. Budując proces należy również uwzględnić wskazane z art. 25 RODO privacy by design oraz privacy by default (ochrona danych w fazie projektowania oraz domyślna ochrona danych).

W praktyce dane wejścia bardzo często będą służyć różnym celom, a więc będą przetwarzane w kilku procesach. Przykładem jest zawieranie umowy pomiędzy stronami (np. umowa sprzedaży w sklepie internetowym). Przetwarzanie danych osobowych na potrzeby zawarcia lub realizacji umowy znajduje podstawę prawną w art. 6 ust. 1 lit b RODO. Jednak  administrator może zdecydować o przetwarzaniu pozyskanych danych również na potrzeby marketingu własnych produktów, w oparciu o swój prawnie uzasadniony interes (art. 6 ust 1 lit f RODO). O takiej decyzji należy jednak poinformować podmiot danych w treści klauzuli informacyjnej. 

Istotną cechą procesu przetwarzania danych osobowych jest jego zmienność. Procesy zmieniają się wraz z rozwojem organizacji, co często umyka uwadze administratorów. Wdrożenie nowej technologii w firmie, wymiana sprzętu IT, korzystanie z nowego rodzaju usług, a czasem także zmiany personalne wpływają na sposób przetwarzania danych, a co za tym idzie, zmieniają się elementy procesu – pomimo, że dane wejścia i wyjścia pozostają niezmienne. Wracając ponownie do procesu rekrutacji – zmiana sposobu zbierania CV od kandydatów (np. rezygnacja z przesyłania CV na adres e-mail pracodawcy na rzecz korzystania z dedykowanej aplikacji, która zapisuje dane w chmurze) będzie istotną zmianą procesu przetwarzania i powinna znaleźć swoje odbicie w analizie ryzyka (lub konieczności przeprowadzenia DPIA). W pewnych przypadkach zmiana taka pociągnie za sobą konieczność spełnienia na nowo (aktualizacji) obowiązku informacyjnego.

Rola klauzuli informacyjnej w procesie przetwarzania danych

Administrowanie danymi osobowymi wiąże się z obowiązkiem przekazania podmiotom danych informacji na temat dokonywanego procesu przetwarzania –  jej minimalny zakres określają art. 13 i 14 RODO. Klauzula informacyjna jest więc swoistą „metryczką” procesu przetwarzania dla osób, których dane dotyczą. Na jej podstawie osoba ta, powinna być w stanie podjąć świadomą decyzję dotyczącą przekazania administratorowi swoich danych osobowych oraz wiedzieć, jakie prawa jej w związku z tym przetwarzaniem przysługują i jak je egzekwować.

Ponowne spełnianie (aktualizacja) obowiązku informacyjnego

Wspomniane zmiany procesu mogą powodować zmianę treści i zakresu klauzuli informacyjnej, co pociąga za sobą konieczność powtórnego spełnienia obowiązku informacyjnego. Konieczność tą zawsze trzeba zbadać pod kątem przesłanek art. 13 i 14 RODO oraz wpływu zmiany procesu na prawa i wolności osób, których dane są przetwarzane w ramach procesu.

Przykładowo – jeśli administrator wykorzystuje rozwiązanie chmurowe i w związku z tym, przesyła dane do państwa trzeciego, jakim są Stany Zjednoczone i zawarł tę informację w klauzuli informacyjnej, to sama zmiana dostawcy oprogramowania w ramach tego państwa trzeciego nie wpłynie na aktualizację obowiązku informacyjnego. Wynika to między innymi z tego, iż po pierwsze w myśl art. 13 i 14 RODO administrator nie ma konieczności wskazywać jakim konkretnym podmiotom dane będą udostępniane – istotną informacją dla podmiotu danych jest natomiast sam fakt przesyłania danych poza Europejski Obszar Gospodarczy do konkretnego państwa oraz informacja na temat poziomu ochrony danych osobowych na jego terytorium. Po drugie zaś, zmiana ta nie powinna wpływać na prawa i wolności podmiotów danych, bowiem każdy z tych dostawców powinien spełniać te same warunki dotyczące ochrony danych. W takim przypadku więc, obowiązek aktualizacji klauzuli informacyjnej zrodziłby się, gdyby nowy dostawca oprogramowania pochodził z innego państwa trzeciego.

Kolejnym przykładem, tym razem ilustrującym konieczność dokonania aktualizacji obowiązku informacyjnego jest sytuacja, w której administrator, w ramach rozwoju organizacji zaczyna korzystać z programu dokonującego profilowania klientów w sposób zautomatyzowany. W takim przypadku na gruncie art. 13 i 14 RODO administrator ma obowiązek poinformować o takim przetwarzaniu osobę, której dane dotyczą. Zmiana przetwarzania ma również istotny wspływ na prawa i wolności, osób których dane dotyczą – decyzja bowiem pozbawiona jest czynnika ludzkiego i oparta jedynie na zmiennych przetworzonych przez algorytm. Co więcej, w związku z profilowaniem, osobie która mu podlega, przysługują szersze uprawnienia wynikające z art. 22 RODO. Z analizy tego przypadku wynika, iż administrator powinien zaktualizować obowiązek informacyjny.


Podstawa prawna:

art. 5, 6, 13, 14, 22, 15 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

art. 22ustawy z dnia 26 czerwca 1974 r. Kodeks pracy.

Narzędzia kontroli jakimi dysponuje pracodawca podczas wykonywania pracy w formie zdalnej

Ogłoszenie stanu epidemii w Polsce spowodowało wiele zmian w życiu codziennym, w tym również w środowisku pracy. Pracodawcy stanęli przed zadaniem zorganizowania bezpiecznych warunków pracy, a jeśli to możliwe, z uwagi na profil działalności zakładu pracy, również polecenia swoim pracownikom wykonywania pracy w trybie zdalnym. Tak zorganizowana praca, może przysporzyć problemów organizacyjnych, dlatego też postaramy się odpowiedzieć na jedno z ważniejszych pytań – jakie narzędzia kontroli może wykorzystać pracodawca, celem podnoszenia efektywności pracy swoich pracowników, wykonujących zadania na odległość.

Wprowadzenie pracy zdalnej (tzw. home office), niezależnie do tego, czy będzie ona dedykowana dla części, czy też dla wszystkich pracowników, winno być oparte na formalnych regułach jej wykonywania. Reguły te określają czas na jaki wprowadza się pracę zdalną (przynajmniej przybliżony okres obowiązywania tejże formuły), rodzaj środków, narzędzi wykorzystywanych przez pracownika do wykonywania zadań służbowych i komunikowania się z pracodawcą oraz współpracownikami na odległość (będą to różnego rodzaju środki komunikacji elektronicznej albo podobne środki indywidualnego porozumiewania się na odległość). Formalny dokument, określający podstawowe zasady, jest pierwszym narzędziem mogącym posłużyć pracodawcy do weryfikowania wykonywanych zadań przez pracowników. Zasady pracy zdalnej mogą również, a wręcz powinny, zawierać określenie sposobu i formy kontroli pracy świadczonej przez pracownika, jak również dopuszczalne metody potwierdzania przez pracownika obecności na stanowisku pracy oraz wskazywania ram czasowych swojej dostępności dla pracodawcy.

Nowe przepisy wydane w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, co prawda przewidują możliwość polecenia pracownikom pracy zdalnej, jednakże nie precyzują sposobu jej organizacji. Dlatego też na pracodawcy ciąży obowiązek odpowiedniego uregulowania trybu zdalnego tak, by nie zaburzyło to sprawnego wykonywania zadań, przy jednoczesnym zachowaniu wysokiego poziomu merytorycznego. Home office wykazuje podobieństwo do telepracy, przewidzianej w kodeksie pracy, jako jednej z dopuszczalnych form. Warto podkreślić, iż obie formy nie są ze sobą tożsame, dlatego też przepisów o telepracy nie stosuje się odpowiednio do pracy zdalnej. Jednakże pewne reguły można zaczerpnąć, by uporządkować system realizacji zadań na odległość.

Sposób kontroli obowiązków pracowniczych powinien być dostosowany do obecnej sytuacji i wydanych zaleceń sanitarnych, obejmujących ograniczenie kontaktów personalnych. Kontrola zatem będzie odbywać się zdalnie przy użyciu środków komunikacji elektronicznej albo podobnych środków indywidualnego porozumiewania się na odległość. Jako przykład takiego rozwiązania można wskazać narzędzia bądź oprogramowanie dedykowane do tzw. time trackingu  – monitorowania czasu pracy poprzez ewidencję zadań i czasu ich wykonywania. Duże znaczenie w sukcesie tego procesu ma zaangażowanie pracownika, który poza bieżącym uzupełnianiem wspomnianego zestawienia, zobligowany będzie do regularnego raportowania (w systemie dziennym, tygodniowym).

Jednocześnie w przypadku problemów technicznych, czy też potrzeby dokonania instalacji nowego oprogramowania, w trakcie wykonywania pracy, pracodawca powinien również w formule zdalnej zapewnić wsparcie techniczne, posługując się rozwiązaniami na zasadzie help desku.

Poza starannością po stronie pracodawcy, mającą zapewnić sprawne funkcjonowanie firmy w trybie zdalnym, niezbędna jest należyta staranność pracowników, którzy będą wykonywać swoje obowiązki w zgodzie z zasadami panującymi standardowo w organizacji. Ponadto w wyznaczonych godzinach pracy pracownik powinien być dostępny dla pracodawcy, nie wykluczając również jego gotowości do stawiennictwa w siedzibie pracodawcy na uzasadnione wezwanie skierowane w trakcie tych godzin. Wśród pozostałych obowiązków pracowników można wymienić:

  1. wykorzystywanie powierzonego sprzętu wyłączenie w celach służbowych, w zgodzie z jego przeznaczeniem i w sposób bezpieczny, tak by nie dopuścić do uszkodzenia, kradzieży czy nieuprawnionego dostępu;
  2. ochronę danych osobowych, jak również informacji, mogących stanowić tajemnicę przedsiębiorstwa przed dostępem innych osób (np. domowników).

Wykonywanie pracy na odległość stało się nową rzeczywistością, a czy będzie to wygodniejsza forma współpracy, czas pokaże. Ważne z perspektywy racjonalnego organizowania pracy jest wprowadzenie prostych, transparentnych zasad, usprawniających cały proces, będąc tym samym dobrą inwestycją w opracowanie systemu, który niejednokrotnie może być przydatnym w przyszłości.

Podstawy prawne:

art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (polecenie wykonywania pracy zdalnej);

art. 675i n. ustawy z dnia 27 czerwca 1974 r. Kodeks pracy (zatrudnianie pracowników w formie telepracy).

Czy osoby “samozatrudnione” i pracujące w oparciu o umowę zlecenie powinny zawrzeć umowę o przetwarzaniu danych?

Jak traktować osoby pracujące na podstawie umowy zlecenia lub tzw. „samozatrudnione”? Czy z takimi osobami trzeba zawrzeć umowę dotyczącą przetwarzania danych czy po prostu je upoważnić do przetwarzania? 

Z punktu widzenia przepisów RODO, forma prawna zatrudnienia (współpracy) ma znaczenie drugorzędne. Kluczowe jest ustalenie, czy osoba pracująca na podstawie umowy zlecenia lub „samozatrudniona” realizuje czynności związane z przetwarzaniem danych pod kontrolą zatrudniającego oraz na jego pełną odpowiedzialność (np. pracuje tylko w biurze zatrudniającego oraz na sprzęcie służbowym). Jeśli tak – należy taką osobę potraktować jak pracownika i upoważnić do przetwarzania danych. Jeśli jednak taka osoba ma dużą niezależność (pracuje np. na własnym sprzęcie oraz dla innych podmiotów), wówczas należy zawrzeć z nią umowę dotyczącą przetwarzania danych – jak z każdym innym procesorem. 

Photo by Charles 🇵🇭 on Unsplash