Dokumenty służbowe można zabrać do domu, ale tylko za zgodą pracodawcy

Pracodawca zauważył, że jego pracownicy wynoszą dokumenty z firmy w celu np. dokończenia pracy w domu. W dokumentach tych są dane osobowe m.in. klientów firmy. Zatrudnieni korzystają ponadto poza firmą ze służbowych komputerów przenośnych i w ten sposób również mają dostęp do danych osobowych kontrahentów. Czy pracownik może wynosić poza miejsce pracy dokumenty i komputery przenośne zawierające dane osobowe?

Pracodawca jest administratorem danych osobowych. Z tego tytułu ciąży na nim wiele obowiązków związanych z ochroną przetwarzanych danych. Nie zależą one od tego, czy przetwarzane są dane pracowników czy innych osób, np. klientów, podopiecznych.

Zastosowanie odpowiednich środków

W myśl art. 36 ustawy o ochronie danych osobowych pracodawca zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. W szczególności musi zabezpieczyć dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.

Przedstawione wymogi zabezpieczenia danych osobowych dotyczą zarówno danych przetwarzanych w sposób tradycyjny (manualny), jak i danych przetwarzanych w systemach informatycznych.

Z uwagi na powyższe jednym z przejawów należytego wypełnienia obowiązku zabezpieczenia danych osobowych przez pracodawcę jest prowadzenie rzeczywistej kontroli nad realizacją procesu przetwarzania danych osobowych przez osoby upoważnione. Natomiast, wynoszenie przez pracowników dokumentacji z danymi osobowymi poza miejsce pracy czy korzystanie przez nich z komputerów służbowych np. w domu powoduje, że administrator danych pozbawiony jest kontroli nad tym, gdzie dokumenty się znajdują, kto ma do nich dostęp, w jaki sposób są one wykorzystywane. Powyższa sytuacja stwarza niewątpliwie niebezpieczeństwo utraty, uszkodzenia, zniszczenia lub zabrania przez osobę nieupoważnioną danych osobowych, a tym samym uchybienia obowiązkowi wynikającemu z art. 36 ustawy o ochronie danych osobowych.

Wdrożenie procedur

Pracodawca zobowiązany jest wdrożyć właściwe procedury, tj. politykę bezpieczeństwa i instrukcję zarządzania system informatycznym. Sposób prowadzenia i zakres tej dokumentacji określony został w rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Dokumentacja opisująca środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych powinna być prowadzona w formie pisemnej.

Zakres polityki bezpieczeństwa i instrukcji zarządzania oraz środki bezpieczeństwa uregulowane są szczegółowo w przywołanym wyżej rozporządzeniu z 29 kwietnia 2004 r. i w załączniku do niego. I tak zgodnie z par. 4 rozporządzenia polityka bezpieczeństwa powinna zawierać, w szczególności m.in wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. Ponadto obszar ten powinien być zabezpieczony przed dostępem osób nieuprawnionych, w czasie nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Tym samym ustawodawca wprowadził, po pierwsze wymóg zawarcia w polityce bezpieczeństwa wykazu miejsc, w których dane osobowe będą przetwarzane (obszary te powinny być określone w sposób konkretny, poprzez wskazanie adresów budynków, pomieszeń - nr pokoju), a po drugie obowiązek zabepieczenia tych miejsc przed dostępem osób nieuprawnionych. Zatem ustawodawca wskazuje jednoznacznie, że dane osobowe powinny być przetwarzane wyłącznie w miejscach przewidzianych w polityce bezpieczeństwa obowiązującej u danego pracodawcy.

W przypadku natomiast pracowników użytkujących komputer przenośny zawierający dane osobowe są oni zobowiązani (na podstawie przywołanego rozporządzenia z 29 kwietnia 2004 r.) zachować szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem określonym w polityce bezpieczeństwa oraz stosować środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.

Wewnętrzne regulacje

Mimo że ustawa o ochronie danych osobowych nie wprowadza wprost zakazu wynoszenia dokumentów poza miejsce pracy, to wymóg sprawowania przez pracodawcę rzeczywistej kontroli nad przetwarzaniem danych osobowych przez pracowników, jak również sam kształt polityki bezpieczeństwa nakazuje stwierdzić, że dane osobowe powinny być przetwarzane przez pracownika jedynie w miejscu pracy. Jednak znaczna część pracodawców dopuszcza możliwość wynoszenia przez pracowników dokumentacji z zakładu pracy czy korzystania przez nich z komputerów służbowych w domu. W przypadku gdy pracodawca decyduje się na taką ewentualność, powinien przede wszystkim określić zasady wynoszenia dokumentacji poza miejsce pracy w regulaminie pracy i w polityce bezpieczeństwa, oraz wprowadzić możliwość korzystania z takiej ewentualności w sytuacjach wyjątkowych i za uprzednią zgodą pracodawcy (bezpośredniego przełożonego).

Pożądane jest również wskazanie w polityce bezpieczeństwa konsekwencji naruszenia jej zasad przez poszczególne osoby. Przykładowo w przypadku pracowników, że poniosą odpowiedzialność porządkową, dyscyplinarną, nastąpi rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika, a w przypadku świadczących pracę na innej podstawie, że skutkiem będzie rozwiązanie umowy, zapłacenie kary umownej, odpowiedzialność karna.

Kontrola GIODO i sankcje

Realizacja przez pracodawcę omawianych obowiązków podlega kontroli generalnego inspektora ochrony danych osobowych (GIODO), jego zastępcy i upoważnionych inspektorów. Ponadto niedochowanie obowiązków w omawianym wyżej zakresie może prowadzić do odpowiedzialności karnej pracodawcy (z art. 51 i 52 ustawy o ochronie danych osobowych). Jest na nią narażony ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępni je lub umożliwi do nich dostęp osobom nieupoważnionym. Sankcją jest kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. W przypadku winy nieumyślnej sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Natomiast ten, kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Uwaga

Pracownicy użytkujący komputery przenośne muszą stosować środki ochrony kryptograficznej wobec przetwarzanych danych osobowych

@RY1@i02/2012/237/i02.2012.237.21700040a.803.jpg@RY2@

Monika Kandiuk, aplikant radcowski z kancelarii prawnej Schampera, Dubis, Zając i Wspólnicy Sp. k.

Monika Kandiuk

aplikant radcowski z kancelarii prawnej Schampera, Dubis, Zając i Wspólnicy Sp. k.

Podstawa prawna

Art. 14, 36, 37, 39a, 51, 52 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).

Rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024).