Przede wszystkim trzeba pamiętać, że zgodnie z treścią art. 4 pkt. 7 RODO pracodawca jest administratorem danych osobowych swoich pracowników. Administrator w znaczeniu przyjętym na potrzeby omawianego rozporządzenia to podmiot, który ustala cele i metody przetwarzania danych osobowych indywidualnie lub we współpracy z innymi osobami. Dla statusu administratora danych osobowych nie ma znaczenia to, czy poszczególne osoby pozostające w stosunku pracy wykonują swe obowiązki i zadania w zakładzie pracy (np. w biurze), z innego miejsca (np. home office) lub świadczą telepracę.
Kluczowe regulacje
Wprowadzenie przez pracodawcę telepracy w rozumieniu Kodeksu pracy oraz polecenie pracy zdalnej w związku z zagrożeniem wirusem COVID jak również korzystanie ze „zwykłej” pracy zdalnej nie powoduje zmiany pozycji pracodawcy w ramach przepisów RODO. Pracodawca winien zatem przetwarzać dane telepracowników (pracowników zdalnych) zgodnie z prawem (co nie oznacza jedynie tzw. „formalnej zgodności z przepisami), rzetelnie, przejrzyście. Obowiązek informacyjny wprowadzony przez art. 13 i 14 RODO obejmuje m.in. zamieszczanie i udostępnianie informacji o przetwarzaniu danych, umocowaniu prawnym tego przetwarzania, o ich odbiorcach oraz o prawie pracowników, których dane podlegają przetwarzaniu.
Nowe i stare obowiązki
Niejednokrotnie może okazać się, że wraz z wprowadzeniem telepracy albo poleceniu pracy drogą zdalną zmianie ulegnie zakres danych osobowych, przetwarzanych przez podmiot zatrudniający. Zmienić może się również cel i podstawa prawna owego przetwarzania (np. dane o miejscu wykonywania telepracy, dana z protokołu kontroli realizowania obowiązków pracowniczych w tymże miejscu, dane powstałe w kontekście kontroli BHP itd.).
W myśl art. 32 Rozporządzenia zasadniczym obowiązkiem pracodawcy jest wprowadzenie takich środków organizacyjnych i technicznych, które są adekwatne do ryzyka powstającego w toku przetwarzania danych osobowych. Przy przejściu na telepracę lub pracę zdalną pojawią się nowe ryzyka, związane z wynoszeniem poza zakład pracy dokumentów, komputerów i nośników danych. Pojawią się też nowe źródła dostępu do Internetu, baz danych czy prenumerowanych przez zatrudniającego serwisów profesjonalnych. Ryzyka owe trzeba poddać analizie, ustalić zagrożenia (np. dostęp osób trzecich), a następnie dobrać, opierając się na doświadczeniu życiowym i wiedzy fachowej, środki adekwatne środki ograniczające potencjalne problemy.