2.Jakie ryzyka związane są z pracą zdalną w chmurze obliczeniowej?

Przykładowo, pracownicy dysponujący zdalnym dostępem do infrastruktury pracodawcy nie podlegają środkom bezpieczeństwa fizycznego, które mogą obowiązywać w lokalu pracodawcy. Zagrożenia te dostrzegł Minister Cyfryzacji, który w komunikacie z dnia 13 marca 2020 r. zawarł szereg rekomendacji dotyczących zasad wykonywania zdalnej pracy (https://www.gov.pl/web/cyfryzacja/razem-ale-osobno--to-powinniscie-wiedziec-o-pracy-zdalnej). Zalecane jest między innymi podjęcie takich działań jak nieużywanie prywatnych skrzynek pocztowych czy grup na portalach społecznościowych do komunikacji firmowej oraz zadbanie o bezpieczeństwo urządzeń w sieci domowej poprzez używanie „silnego” hasła do sieci WiFi oraz aktualizacji oprogramowania.

Z kolei, w komunikacie z dnia 17 marca 2020 r. Urząd Ochrony Danych Osobowych (UODO) wskazał na kilka zasad ochrony danych osobowych poza miejscem pracy (https://uodo.gov.pl/pl/138/1459). W kontekście korzystania z chmury obliczeniowej podkreślono między innymi potrzebę korzystania z zaufanych dostawców oraz przestrzegania wszelkich zasad i procedur organizacyjnych dotyczących logowania i udostępniania danych. W kontekście bezpieczeństwa danych osobowych warto również zapoznać się z poradnikiem Urzędu Ochrony Danych Osobowych, opracowanym przy współpracy z MEN, („Dane osobowe bezpieczne podczas zdalnego nauczania”).

Z pracą zdalną związane są szczególne problemy prawne przetwarzania danych osobowych, dotyczące takich sytuacji jak: praca na własnym sprzęcie (Bring Your Own Device, BYOD), zarządzanie urządzeniami mobilnymi (np. konfigurowanie aplikacji, usuwanie danych na żądanie), czy monitorowanie wykonywania obowiązków pracowniczych w trakcie pracy zdalnej. W tym ostatnim przypadku trzeba między innymi pamiętać o obowiązku informowania pracownika o wykorzystaniu i celach technologii monitorowania, a także zadbaniu aby odbywało się ono zgodnie z zasadą proporcjonalności i minimalizacji danych. Oznacza to, że przetwarzanie danych w tym kontekście musi być proporcjonalne do ryzyka, jakie ponosi pracodawca, a także, że należy w miarę możliwości ograniczać do minimum informacje rejestrowane w ramach ciągłego monitorowania. Wytyczne w tym zakresie określono w Opinii nr 2/2017 Grupy Roboczej art.29 na temat przetwarzania danych osobowych w miejscu pracy.

adw. Xawery Konarski – Wiceprezes PIIT