Ochrona danych osobowych w kontekście pracy za granicą: co warto wiedzieć?

| Data: wrz 11, 2024 | Compliance

Praca zdalna zza granicy

Praca za granicą, szczególnie w kontekście pracy zdalnej oraz delegacji poza UE/EOG, wiąże się z koniecznością dbania o ochronę danych osobowych. Transgraniczne przesyłanie danych oraz korzystanie z urządzeń mobilnych, takich jak laptopy i telefony lub innych technologii, wymaga szczególnych środków ostrożności.

Poniżej przedstawiamy kluczowe zagadnienia związane z ochroną danych osobowych w tym kontekście.

 

  1. Zasady ochrony danych osobowych. Podczas pracy za granicą należy przestrzegać następujących zasad ochrony danych zgodnie z RODO:
    • Zgodność z prawem i przejrzystość: Pracownik zdalny poza EOG musi mieć jasną podstawę prawną (np. umowę) do przetwarzania danych osobowych klientów z UE i zapewnić, że przetwarzanie jest przejrzyste (zrozumiałe) dla klientów w formie m.in. obowiązków informacyjnych.
    • Ograniczenie celu: Dane osobowe powinny być używane tylko do celów określonych w umowie, np. realizacji zamówień, a nie do innych nieuzgodnionych celów.
    • Minimalizacja danych: Dostęp do danych powinien być ograniczony do tych niezbędnych do wykonania pracy, np. tylko do adresów e-mail lub numerów telefonów, jeśli są potrzebne.
    • Prawidłowość: Dane muszą być aktualne; błędy należy zgłaszać, a narzędzia pracy zdalnej powinny umożliwiać aktualizację danych lub raportowanie do firmy.
    • Ograniczenie przechowywania: Po zakończeniu współpracy z klientem z UE, dane powinny być usunięte lub zanonimizowane lub przechowywane zgodnie z terminami określonymi w polityce przechowywania.
    • Integralność i poufność: Należy stosować środki bezpieczeństwa, jak szyfrowanie, aby chronić dane przed nieuprawnionym dostępem i utratą – z uwzględnieniem uwarunkowań (ryzyka) wykonywanej pracy zdalnej.
    • Rozliczalność: Firma musi dokumentować zgodność z zasadami RODO, w tym w umowach i politykach ochrony danych.

    Dbałość o te zasady jest kluczowa dla ochrony danych osobowych w międzynarodowej pracy zdalnej. Po stronie pracodawcy przed dopuszczeniem pracownika do wykonywania pracy zdalnej spoczywa obowiązek zapewnienia, że wskazane zasady są respektowane.

  2. Techniczne zabezpieczenia danych. W kontekście pracy zdalnej kluczowe jest stosowanie odpowiednich zabezpieczeń technicznych związanych z pracą z wykorzystaniem komputera albo telefonów. Zabezpieczenia powinny być dostosowane do rodzaju zagrożeń (zidentyfikowanych ryzyk) związanych z wykonywaniem pracy zdalnej. Nie ma zatem uniwersalnej listy zabezpieczeń gwarantujących zgodność z wymaganiami RODO (wynika to z zasady podejścia opartego na ryzyku).Wdrożenie odpowiednich, czyli także skutecznych środków powinno zostać poprzedzone analizą ryzyka, w tym konkretnych przypadków wykonywanej pracy, które mogą występować w firmie. Należy wręcz, w zależności od kraju docelowego, czyli tam gdzie pracownik ma wykonywać swoje obowiązki w formie zdalnej (w formie np. workation) rozważyć dostosowanie wdrażanych zabezpieczeń do zagrożeń dla danych, którym pracownik będzie musiał stawić czoła w danym kraju. W zakresie np. potrzeby zapewnienia integralności danych trzeba uwzględnić  dodatkowe techniki dla zabezpieczenia utraty danych lub niepożądanej modyfikacji danych. W przypadku zagrożeń ze strony niepewnych dostawców sieci lub usług telekomunikacyjnych, w celu zagwarantowania poufności, pracodawca może wydać odpowiednie rekomendacje dotyczące bezpiecznego korzystania z punktów dostępowych do Internetu za granicą (uwzględniające jakość stosowanych haseł, typy połączeń z siecią).Do standardowych metod podnoszących bezpieczeństwo pracy zdalnej można zaliczyć:
    • Szyfrowane połączenia (SSL/TLS) – aby zabezpieczyć dane przesyłane przez Internet.
    • VPN – zapewniający bezpieczne połączenie z siecią firmową.
    • Dwuskładnikowe uwierzytelnianie (2FA) – dodatkowa ochrona podczas logowania.
    • Szyfrowanie urządzeń i zarządzanie hasłami – aby uniemożliwić nieuprawniony dostęp do urządzeń.

    Powyższe wyszczególnienie jest wyłącznie przykładowe i warto podczas analizy ryzyka w obliczu pracy z zagranicy brać także pod uwagę, czy system prawny danego kraju zapewnia tajemnicę telekomunikacyjną, jakie są granice ochrony prawa do prywatności, czy też ochrony danych osobowych (czy wobec danego kraju trzeciego została np. wydana decyzja przez Komisję Europejską stwierdzającą odpowiedni poziom ochrony danych danych?).

  3. Pracownik na pracy zdalnej lub podczas delegacji, a transfer danych osobowych. Nie tylko w przypadku zagranicznej pracy zdanej należy uwzględnić kwestie RODO ale także w przypadku delegacji pracowniczych poza EOG. W związku z faktem, że pracownik firmy wykonujący pracę zdalną działa w oparciu o upoważnienie, nie zawsze będzie dochodziło do transferu danych osobowych poza EOG. Gdyby jednak do takiego transferu doszło (np. poprzez przekazanie niektórych danych osobowych pracownika poza EOG do kontrahenta firmy w związku z podróżą służbową np. dotyczące szczepień, gdy prawo państwa trzeciego tego wymaga) należy zastosować odpowiednie podstawy prawne, takie jak:
    • Decyzja o odpowiednim poziomie ochrony wydana przez Komisję Europejską (stwierdzająca, że dane państwo trzecie, do którego następuje transfer danych zapewnia odpowiedni poziom ochrony danych osobowych – dane można przekazać do takiego państwa trzeciego),
    • Standardowe klauzule umowne, które zabezpieczają transfer (umowy zawarte w oparciu o wzorce umów przyjęte przez KE zabezpieczające realizację zasad ochrony danych wobec osób, których przekazywane dane dotyczą).
    • Na podstawie art. 49 RODO, dane osobowe pracownika wysłanego na delegację poza EOG mogą być przetwarzane w krajach trzecich także w wyjątkowych sytuacjach, jeśli spełnione są określone warunki. Przetwarzanie może odbywać się na podstawie wyraźnej zgody tej osoby lub w związku z realizacją umowy, której jest stroną, np. w ramach warunków zatrudnienia czy świadczenia usług. Te wyjątki pozwalają na transfer danych, nawet gdy kraj docelowy nie zapewnia odpowiedniego poziomu ochrony danych.

    W sytuacjach wyjątkowych, transfer danych może być oparty na zgodzie pracownika, jednak opieranie procesów na zgodzie może skomplikować realizację celów pracodawcy, szczególnie w kontekście delegacji. Wyjazdy na delegacje do państw poza EOG są zazwyczaj nieodłącznym elementem wykonywania obowiązków pracowniczych, ponieważ odbywają się na „polecenie pracodawcy”. W związku z tym, tam gdzie to możliwe, rekomenduje się zrezygnowanie ze zbierania zgód na przekazywanie danych w ramach tych procesów i oparcie takiego przekazywania danych raczej o przesłankę realizacji umowy z osobą delegowaną.

  4. Przekazywanie danych w grupach kapitałowych. Zgodnie z motywem (48) RODO, administratorzy będący częścią grupy przedsiębiorstw mogą przetwarzać dane w ramach grupy w celach administracyjnych. Przekazywanie danych pracowników między spółkami wewnątrz grupy kapitałowej może opierać się na prawnie uzasadnionym interesie pracodawcy, jakim jest realizowanie celów biznesowych, w tym informowanie o swoich pracownikach. Transfer danych do państw trzecich (poza UE/EOG) nadal wymaga przestrzegania ogólnych zasad przekazania danych poza EOG, co może obejmować wykorzystanie standardowych klauzul umownych lub innych w/w mechanizmów przewidzianych przez RODO między spółkami należącymi do grupy kapitałowej.
  5. Inne wymogi dotyczące pracy zdalnej w kodeksie pacy / RODO. Kodeks pracy w Polsce nakłada na pracodawcę obowiązek wdrożenia procedur ochrony danych podczas pracy zdalnej lub aktualizacji regulaminu pracy, aby uwzględnić zasady dotyczące ochrony danych osobowych. Pracodawca powinien zwłaszcza zapewnić środki techniczne i organizacyjne chroniące dane podczas pracy zdalnej, takie jak szyfrowanie, VPN czy zarządzanie hasłami.

    Nie należy zapominać, aby każdorazowo przeprowadzić analizę ryzyka związaną z pracą zdalną oraz wdrożyć odpowiednie środki bezpieczeństwa zgodnie z podejściem Privacy by design / Privacy by default.

  6. Podsumowanie. Należy pamiętać, że pracownik będący na pracy zdalnej poza EOG nie jest odbiorcą danych osobowych w rozumieniu przepisów RODO – tym odbiorcą będzie np. podmiot, z którym podpisaliśmy umowę powierzenia przetwarzania danych osobowych lub odrębny administrator danych (np. klient naszej firmy spoza EOG) lub podwykonawca. Odbiorcą danych nie będzie podmiot działający z upoważnienia administratora, jak pracownik, który działa w imieniu administratora wewnątrz struktury organizacyjnej.

    W związku z tym nie ma konieczności legalizowania transferu danych poza EOG w tych wypadkach w oparciu o instrumenty wynikające z rozdziału V RODO, lecz należy skupić się na analizie ryzyka związanego z przesyłaniem danych oraz wdrożeniem odpowiednich technicznych środków bezpieczeństwa. Ważne jest także, do jakiego kraju udaje się pracownik, gdyż nie musimy wyrażać zgody na każdy kraj, zwłaszcza taki, co do którego mamy pewność, że  nie zapewnia odpowiedniego stopnia ochrony danych osobowych. Niestety nie zawsze można uniknąć wszystkich zagrożeń dla bezpieczeństwa informacji (w tym także tajemnic przedsiębiorstwa), w formie szpiegostwa, inwigilacji służb lub władz lokalnych, a także czy system prawny państwa trzeciego chroni tajemnicę korespondencji, respektuje prawo do prywatności, ochrony tajemnic przedsiębiorstwa itd.

    W przypadku delegacji pracowników do egzotycznych miejsc pamiętajmy także, że pracownik powinien być poinformowany zgodnie z art. 12 i 13 RODO m.in. o podstawach przetwarzania jego danych, a także planowanym przekazywaniu danych poza EOG i odbiorcach danych poza EOG lub przynajmniej ich kategoriach (w tym także m.in. naszych kontrahentach poza EOG do których nasz pracownik będzie np. podróżował służbowo).

 

Tags:

administrator | compliance | dane osobowe | dane osobowe w HR | klauzula informacyjna | procedury wewnętrzne | procesor | RODO, GDPR | transfer danych poza EOG | umowa o pracę | zgoda na przetwarzanie

Paweł Fedczyszyn

advocate | co-author of the WeAdviseTech.com legal blog

Ostatnie wpisy

Kategorie