27 stycznia 2023 r. Prezydent RP podpisał ustawę nowelizującą Kodeksu pracy (KP) o przepisy obejmujące m.in. regulacje z zakresu pracy zdalnej i choć praca zdalna jest z nami już od lat, a od 2020 r. jeszcze bardziej zaznaczyła swoją pozycję na rynku pracy (z przymusu), to dotychczas nie była ona tak obszernie uregulowana w żadnych akcie prawnym.
Jak ma wyglądać praca zdalna według nowelizacji KP?
Praca zdalna została zdefiniowana jako praca, która „może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość” (art. 67(18) KP).
Ustawa została podpisana przez Prezydenta RP 27 stycznia 2023 r. a opublikowana w Dzienniku Ustaw 6 lutego 2023 r. Okres vacatio legis dla przepisów dotyczących pracy zdalnej wynosi dwa miesiące od daty publikacji – oznacza to, że przepisy te wejdą w życie 7 kwietnia 2023 r.
Jakie grupy pracowników obowiązuje nowelizacja?
Zgodnie z regulacją ustawową „Przepisy niniejszego rozdziału[1] stosuje się także do stosunków pracy nawiązanych na innej podstawie niż umowa o pracę” (art. 67(34) KP). Stosunek pracy może powstać na podstawie: umowy o pracę, powołania, wyboru, mianowania i spółdzielczej umowy o pracę. Generalne zasady dotyczące pracy zdalnej określone w KP (zwrot kosztów, ewidencja czasu pracy itp.) powinny dotyczyć ww. stosunków umownych, ale nic nie stoi na przeszkodzie, aby regulacjami z zakresu ochrony danych osobowych, objąć wszystkich pracowników/współpracowników przetwarzających dane osobowe w danej organizacji, bez względu na rodzaj stosunku umownego łączącego strony.
Jakie obowiązki z zakresu ochrony danych osobowych przewidują przepisy o pracy zdalnej?
Zgodnie z nowymi przepisami pracodawca ma obowiązek:
- określić procedury ochrony danych osobowych w zawiązku z wykonywaniem pracy zdalnej (art. 67 (26) § 1 KP);
- zapoznać pracownika z ww. procedurami (i na potwierdzenie tego faktu odebrać od pracownika oświadczenie w postaci papierowej lub elektronicznej – art. 67(26) § 2 KP).
Fakultatywnym zadaniem pracodawcy jest przeprowadzenie instruktażu i szkolenia w zakresie procedur ochrony danych osobowych podczas pracy zdalnej (art. 67 (26) § 1 KP).
Co powinna zawierać procedura ochrony danych osobowych?
Regulacja ustawowa nie wskazuje, jakie konkretnie regulacje powinna zawierać procedura ochrony danych osobowych, właściwe wydaje się, aby procedury dotyczyły:
- bezpieczeństwa miejsca świadczenia pracy zdalnej – uregulowanie kwestii podejmowania pracy zdalnej w miejscach publicznych, jak kawiarnie, restauracje, galerie handlowe, gdzie osoby postronne mogłyby usłyszeć fragmenty służbowych rozmów lub zapoznać się z fragmentami wykonywanej pracy;
- zabezpieczenia połączenia internetowego i skrzynki e-mail – zasady korzystania ze służbowego hotspota, wymagania dotyczące zabezpieczenia domowej sieci Wi-Fi;
- sposobów przekazywania informacji – procedura hasłowania dokumentów, procedura weryfikacji tożsamości współpracowników;
- zasad postępowania z dokumentacją papierową – transport danych z siedziby pracodawcy, wysyłka dokumentów, skanowanie, przechowywanie w miejscu wykonywania pracy zdalnej, sposób niszczenia dokumentacji;
- wymagań dotyczących urządzeń wykorzystywanych przez pracownika/współpracownika – zakaz udostępniania narzędzi pracy domownikom, sposoby zabezpieczania nośników danych;
- zasad zgłaszania incydentów,
- zasad uczestnictwa w szkoleniach,
- zasad uczestnictwa w wideokonferencjach.
Procedura ochrony danych osobowych podczas pracy zdalnej powinna wskazywać wprost na określone wymagane zachowania w trakcie jej wykonywania. Rekomendujemy zrezygnowanie z ogólnych twierdzeń – „przetwarzaj dane w sposób zapewniający bezpieczeństwo”, ponieważ nie wskazują one na żadne konkretne obowiązki nałożone na pracownika i uniemożliwiają przeprowadzenie odpowiedniej kontroli pracy zdalnej.
Czy pracodawca może skontrolować pracownika?
Zgodnie z art. 67 (28). § 1. Pracodawca ma prawo przeprowadzać kontrolę wykonywania pracy zdalnej przez pracownika, kontrolę w zakresie bezpieczeństwa i higieny pracy lub kontrolę przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych […].
Pracodawca powinien dostosować sposób przeprowadzania kontroli do miejsca wykonywania pracy zdalnej i jej rodzaju, a wykonywanie czynności kontrolnych nie może naruszać prywatności pracownika wykonującego pracę zdalną i innych osób ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem. Dlatego bardzo ważne jest odpowiednie uregulowanie kwestii kontroli pracownika w regulaminie/porozumieniu, tak aby ewentualna ingerencja w prawo pracownika do prywatności była proporcjonalna.
Co istotne, kontrola wykonywania pracy zdalnej, może przybrać także formę zdalną – w formie połączenia się przez wideokonferencję lub wykonanie przez pracownika zdjęć miejsca pracy.
Jakie obowiązki z zakresu pracy zdalnej i ochrony danych osobowych ciążą na administratorach danych?
- aktualizacja/wprowadzenie regulaminu pracy zdalnej z uwzględnieniem procedur ochrony danych osobowych,
- aktualizacja Rejestru Czynności Przetwarzania o nową czynność,
- określenie zasad kontroli wykonywania pracy zdalnej przez pracownika z uwzględnieniem prawa do prywatności,
- przeprowadzenie procedury Privacy by design dla nowego procesu przetwarzania danych,
- przeprowadzenie analizy ryzyka,
- przygotowanie obowiązków informacyjnych,
- przygotowanie szkolenia z zasad ochrony danych osobowych podczas pracy zdalnej.
Praca zdalna – kiedy?
Nowe przepisy regulujące pracę zdalną będą obowiązywać od 7 kwietnia br. Pracodawcom został już niespełna miesiąc na pełne dostosowanie organizacji do nowych przepisów i spełnienie szeregu wymogów. Pomimo obowiązków cieszy fakt, że praca zdalna po 3 latach jej ciągłego wykorzystywania w praktyce w końcu znalazła swoje odzwierciedlenie w przepisach.
[1] Rozdział „Praca zdalna”
