Mężczyzna siedzi na tapczanie i z uśmiechem pracuje na laptopie.

Praca zdalna w biurze rachunkowym a ochrona danych osobowych

Jak pokazują ostatnie wyniki sondaży, praca zdalna jest idealnym rozwiązaniem dla pracowników. Nieco mniej optymistycznie podchodzą do niej już sami pracodawcy. Organizacja pracy przy takim systemie funkcjonowania firmy nie należy do najprostszych. Wymaga od pracodawcy nakładów finansowych na zakup laptopów i telefonów służbowych, organizowania regularnych i nierzadki spotkań wirtualnych. Wyzwaniem jest także zorganizowanie pracy podwładnych, aby efekty ich działania spajały się w jedną całość. Z drugiej strony, dla pracowników zatrudnienie online oznacza oszczędność czasu, komfortowe warunki pracy oraz większą elastyczność w działaniu. Do którego stanowiska nie byłoby nam bliżej, jedno przyznają wszyscy – praca zdalna z całą pewnością nie sprzyja ochronie danych osobowych. Jeżeli zdecydujesz się na taki system pracy w swoim biurze rachunkowym, musisz być świadomy zagrożeń jakie to za sobą niesie. Wszystkiemu można jednak zaradzić, podejmując zawczasu odpowiednie kroki.

Praca zdalna niesie za sobą nieporównywalnie więcej zagrożeń, niż ta wykonywana w systemie stacjonarnym w siedzibie biura. Największe ryzyko związane jest z danymi osobowymi. Nietrudno o wyciek danych, kiedy większość personelu biura może wykonywać swoje zadania w domu, w biurze wirtualnym, w kawiarni czy na „wczaso-wakacjach”. Będąc właścicielem biura rachunkowego, niezależnie czy zatrudniasz na podstawie umowy o pracę, czy na umowie zlecenie lub B2B, ponosisz odpowiedzialność za każde naruszenie RODO dokonane przez Twoich podwładnych. Odpowiedzialność ta jest naprawdę szeroka, a kary dotkliwe. Musisz zatem zadbać o to, aby praca zdalna Twoich pracowników przebiegała w sposób zgodny w wymogami rozporządzenia unijnego, a sami podopieczni wiedzieli jak dbać o powierzone im dane osobowe.

Czym są dane osobowe?

Abyś mógł prawidłowo zadbać o ochronę danych osobowych w czasie pracy zdalnej, musisz wiedzieć czym owe dane osobowe są. W niniejszym tekście przytoczę jedynie bardzo skompresowaną definicję tego pojęcia. Więcej natomiast możesz przeczytać w artykule „RODO – co jest, a co nie jest danymi osobowymi?”.

Przepis art. 4 ust. 1 RODO dane osobowe definiuje jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Z kolei możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować. W szczególności należy mieć na uwadze identyfikator taki jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Rozporządzenie nie wprowadziło zamkniętego katalogu informacji, które należy uznawać za dane osobowe. Wszystko zależy zatem od konkretnej sytuacji i okoliczności. Popularne jest stwierdzenie, iż za dane osobowe powinno się traktować wszystkie przetwarzane informacje, jeżeli z całkowitą pewnością nie będziesz w stanie wykluczyć ich osobowego charakteru. Tak więc dla własnego bezpieczeństwa powinieneś szczególnie chronić informacje, jakie charakteryzują osoby fizyczne.

Warto jedynie wspomnieć, że RODO ustanowiło od powyższego jeden wyjątek. Mianowicie informacji o osobie fizycznej nie uważa się za umożliwiające określenie tożsamości, jeżeli ustalenie tożsamości wymagałoby nadmiernych kosztów, czasu lub działań. Jeśli zatem określona dana mogłaby wskazać na tożsamość jakieś osoby, jednak ustalenie tego wymagałoby np. użycia specjalistycznych technik używanych przez służby mundurowe, to możesz zrezygnować z ochrony takiej informacji. Nie jest ona daną w rozumieniu RODO.

Praca zdalna – co należy chronić?

Musisz pamiętać, że rola administratora danych nakłada na Ciebie szereg obowiązków związanych z ochroną danych osobowych osób fizycznych. RODO nie ogranicza się jednak wyłącznie do grupy „konsumentów”. Dane, które musisz zabezpieczyć obejmują informacje o klientach Twojej firmy, kontrahentach, współpracownikach i pracownikach. Oznacza to, że decydując się na pracę zdalną musisz zadbać nie tylko o informacje o osobach fizycznych przetwarzane przez zatrudnionych przez Ciebie księgowych, zabezpieczone muszą zostać również ich dane osobowe. Pracownicy muszą czuć się bezpiecznie, muszą wiedzieć, że zadbałeś o każdy szczegół związany ze sprzętem firmowym, serwerem czy stroną internetową Twojego biura. W innym wypadku praca zdalna będzie tylko dokładaniem kolejnego stresu, który w dzisiejszych czasach i tak zbyt mocno udziela się zatrudnionym w ich środowisku pracy. Nie dokładaj kolejnej cegiełki od siebie.

A jeżeli zastanawiasz się czy praca zdalna jest w ogóle możliwa w świetle omawianego rozporządzenia unijnego, to pozwól, że przytoczę stanowisko Prezesa Urzędu Ochrony Danych Osobowych. W swoim komunikacie wskazał on, że przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką m.in. z pandemią, tym samym podjęcie właściwych działań ochronnych całkowicie jest w stanie zapewnić pracę zdalną zgodną z przepisami RODO. Oznacza to ni mniej ni więcej, że praca na odległość jest jednoznacznie zgodna z przepisami prawa. Musi być jednak wykonywana w poszanowaniu zasad i reguł dotyczących ochrony danych osobowych.

Więcej informacji na temat pracy zdalnej znajdziesz w Ustawie z dnia 1 grudnia 2022 r. (Dz. U. z 2023 r. poz. 240) o zmianie ustawy – Kodeks pracy oraz niektórych innych ustaw, która wprowadza do Kodeksu
pracy pracę zdalną, a także  na stronie Ministerstwa Rodziny i Polityki Społecznej

Przede wszystkim regulamin

Tak jak wiele jest przedsiębiorstw i zatrudnionych w nich pracowników, tak wiele może pojawić się problemów związanych z ochroną danych osobowych. Można jednak wyodrębnić najczęściej poruszane kwestie, których zwalczenie będzie co najmniej dobrym startem w Twojej przygodzie z prawidłowym przetwarzaniem danych osobowych.

Przede wszystkim powinieneś zadbać o sporządzenie regulaminu RODO Twojego biura rachunkowego. Należy określić w nim wszelkie zasady, jakimi powinna kierować się firma oraz każdy księgowy z osobna, aby dane osobowe pozyskiwane przez Twoje biuro były bezpieczne. Regulamin pracy nie oznacza, że wyłącznie pracownicy stacjonarni są obowiązani do jego przestrzegania. Również ci, którzy wykonują swoje zadania w domu na kanapie muszą stosować się do Twoich wskazówek.

Polityka bezpieczeństwa danych osobowych powinna przede wszystkim zawierać instrukcje zarządzania systemami, metodykę dotyczącą dbania o bezpieczeństwo dokumentacji, czystości biurka, zabezpieczenia dysku twardego komputera oraz dysków przenośnych, a także procedury zgłaszania incydentów i wycieku danych. Warto zadbać także, aby regulamin zawierał „życiowe” wskazówki jak dbać o dane osobowe w miejscach publicznych czy w czasie drogi z firmy do domu i z domu do firmy. Uświadomienie podwładnym tak – zdawać by się mogło – błahych rzeczy, może w rzeczywistości uchronić Cię przed bardzo poważnym wyciekiem informacji.

Ustal sztywne godziny pracy zdalnej

Jednym z częściej popełnianych błędów w kontekście pracy zdalnej jest brak ustalenia sztywnych godzin pracy i pozwolenie pracownikom na wykonywanie swoich zadań kiedy mają na to czas. Z punktu widzenia ochrony danych osobowych to bardzo niebezpieczna praktyka. Jeżeli nie stać Cię na utrzymywanie inspektora danych osobowych oraz działu IT 24 godziny na dobę, to radzę szybko zmienić swój system pracy. Pracownicy zdalni muszą mieć stały dostęp do pomocy technicznej. Bez tego w razie wycieku danych osobowych, np. przez utratę laptopa służbowego czy „rozszczelnienia” serwera, nie będzie nikogo, kto mógłby zminimalizować straty (np. zablokować skradzione urządzenie).

Księgowi pracujący zdalnie powinni mieć ustalone godziny pracy zbieżnie z godzinami obsługującego Twoje biuro programisty, tak aby w przypadku popełnienia przez nich jakiegoś błędu, informatyk mógł błyskawicznie zareagować.

Bezpieczne korzystanie ze sprzętu służbowego

Praca zdalna będzie niemożliwa bez odpowiedniego sprzętu służbowego. Oczywiście sprzęt ten powinien być zakupiony przez Ciebie. Po pierwsze nieetycznym byłoby nakazywanie swoim pracownikom inwestowanie w nowe laptopy i telefony komórkowe, a po drugie tylko będąc właścicielem sprzętu będziesz mógł ingerować w to, co na takim urządzeniu się znajduje.

Komputery, tablety i telefony wydawane pracownikom powinny być prawidłowo zabezpieczone. Podstawą jest ustawienie haseł dostępowych do urządzeń, ustawienie w nich szyfrowania danych, założenie służbowych skrzynek email, a także zadbanie o dedykowane serwery firmowe. Idealnym rozwiązaniem byłoby zapewnienie własnego serwera ustawionego w siedzibie firmy. Niemniej jednak aktualne usługi hostingowe są na równi bezpieczne. Wiążą się jednak z koniecznością angażowania w przetwarzanie danych podmiotów trzecich. W takim wypadku nie dość, że będziesz musiał zawrzeć umowę powierzenia danych, to dodatkowo będziesz odpowiadał za błędy usługodawcy w przypadku wycieku danych. Więcej o odpowiedzialności administratora danych i podmiotu przetwarzającego pisałem w artykule „Administrator danych osobowych a podmiot przetwarzający – jaka jest ich odpowiedzialność?

Musisz także zadbać o to, aby Twoi pracownicy wiedzieli jak obchodzić się ze swoim sprzętem. Oczywiście nie powinni oni dopuścić do zgubienia powierzonego im laptopa czy telefonu, ale nie tylko w taki sposób może dojść do upublicznienia cudzych danych osobowych. Wyciek danych może mieć przecież równie dobrze charakter online. Zainstalowanie nieautoryzowanego programu na urządzeniu może wiązać się z wprowadzeniem do całego systemu firmy wirusa, który przechwyci dane z serwera. W związku z tym powinieneś zadbać, aby na firmowych sprzętach zablokowana została możliwość instalowania zewnętrznych aplikacji. Dobrym pomysłem jest także regularne sprawdzanie urządzeń pod względem aktualności systemu oraz oprogramowania antywirusowego.

Jak zabezpieczyć sprzęt w trakcie pracy zdalnej przeczytasz w artykule Ochrona sprzętu służbowego a RODO.

Naucz księgowych odpowiedzialnego korzystania ze sprzętu firmowego

Nic nie da zabezpieczenie laptopa służbowego, jeżeli księgowy nie będzie potrafił z niego racjonalnie i odpowiedzialnie korzystać.
Najczęstszym błędem popełnianym przez członków biura jest nierozważne używanie skrzynek mailowych. Ostrzeż swoich podwładnych, aby nie otwierali podejrzanych wiadomości od nieznanych nadawców, dokładnie sprawdzali do kogo wysyłają korespondencję, szyfrowali wiadomości zawierające dane osobowe czy nie przesyłali loginów z hasłami dostępowymi w jednym mailu.

Niezwykle istotne jest także umiejętne korzystanie z opcji programu obłuskującego skrzynki wirtualne przy korespondencji masowej. Niezgodne z RODO będzie wysyłanie wiadomości do wielu adresatów, kiedy są oni wprowadzeni w polu jawnym („DO”). Adres poczty email jest daną osobową, zatem wysłanie korespondencji, w której każdy z adresatów może zobaczyć dane innych podmiotów, stanowi wyciek danych. W takim wypadku należy stosować opcję ukrywania widoczności odbiorców wiadomości, tj. ustawienie ich w polu „UDW”.

Poza tym nie zawsze przejęcie systemu przez hakera będzie prowadziło do upublicznienia danych osobowych. Wystarczy, aby księgowy korzystał z laptopa lub telefonu służbowego w miejscu publicznym, w taki sposób, że każdy może sprawdzić co jest akurat wyświetlane na ekranie urządzenia. Szczególnie groźne jest wykonywanie swojej pracy w miejscach do tego w ogóle nieprzystosowanych, jak np. w parku czy kawiarni. W takich okolicznościach każdy spacerujący czy gość lokalu może sprawdzić komu np. wystawiłeś fakturę lub z kim podpisałeś bardzo ważny kontrakt. Lepszym wyjściem jest wybór biurka czy kanapy usytułowanej w domu pracownika. Tam z całą pewnością dane osobowe Twoich klientów będą bezpieczniejsze.

A co z dokumentami papierowymi?

Niewiele się już o nich mówi, czy nawet myśli, ale papier jest również nośnikiem danych osobowych i on również może przyczynić się do wycieku informacji wrażliwych – szczególnie w Twoim fachu. W związku z tym powinieneś wprowadzić w swoim biurze rachunkowym zasadę, zgodnie z którą Twoi pracownicy będą mieli obowiązek zgłaszania Tobie lub swoim bezpośrednim przełożonym wszelkich czynności związanych z wynoszeniem dokumentacji poza siedzibę biura. Warto wprowadzić zakaz kopiowania lub skanowania dokumentacji rachunkowej w punktach ksero oraz drukowania takich dokumentów poza siedzibą biura. Powinieneś także zadbać, aby wszelka „niepotrzebna” już dokumentacja nie lądowała w śmietnikach, a w niszczarce firmowej. Wiązało się to będzie z koniecznością dostarczania przez pracowników pism wydrukowanych w domu do siedziby firmy, ale z całą pewnością lepsze to, niż ogromna kara finansowa nałożona przez Prezesa Ochrony Danych Osobowych.

Podobne wpisy