Kto odpowiada za bezpieczeństwo danych podczas pracy zdalnej?
2020-05-22
Kto powinien pokryć koszty zabezpieczenia sieci domowej pracownika podczas pracy w trybie home office? – wyjaśniają eksperci z kancelarii Gawroński & Partners.
Pytanie:
Czy pracownik w trakcie pracy w trybie home office jest zobowiązany do zapewnienia bezpieczeństwa sieci domowej, z której korzysta? Czy można go zobligować do zakupu oprogramowania antywirusowego? Kto powinien pokryć koszty zabezpieczenia sieci domowej pracownika?
Odpowiedź:
Zapewnienie bezpieczeństwa teleinformatycznego, w tym bezpieczeństwa sieci, z której pracownicy korzystają w czasie home office, jest obowiązkiem pracodawcy. Natomiast pracownik ma obowiązek w tym zakresie współpracować z pracodawcą.
Ochrona własności intelektualnej
Obowiązkiem pracodawcy jest zapewnienie ochrony szeregu „wartości intelektualnych”, w tym danych osobowych, tajemnicy przedsiębiorstwa, jak i tajemnic zawodowych i tzw. sektorowych. Gdy pracodawca dopuszcza „home office” (co obecnie staje się normą), ma obowiązek zadbać też o poufność i bezpieczeństwo przetwarzania przez pracownika informacji służbowych w domu. Nie wyklucza to oczywiście odpowiedzialności dyscyplinarnej pracownika za przyczynienie się, a nawet celowe spowodowanie naruszenia ochrony danych.
Środki bezpieczeństwa informacji
Pracodawca powinien określić, jakie środki bezpieczeństwa informacji (w tym danych osobowych) pracownik powinien stosować w domu. Może to być, ale niekoniecznie obowiązek stosowania konkretnego programu antywirusowego, połączenia tunelowanego VPN (też nie zawsze potrzebne), zmiany domyślnych haseł do routera WIFI w domu, hasłowania WIFI (zawsze), włączenia automatycznych aktualizacji komputera służbowego lub prywatnego.
Jeżeli pracodawca umożliwia wykorzystywanie sprzętu prywatnego, powinien to dość drobiazgowo uregulować (tzw. polityka BYOD – czyli bring your own device). Pracodawca zgodnie z art. 32 RODO ma obowiązek wdrożyć odpowiednie środki bezpieczeństwa, które będą de facto uzależnione od wyników przeprowadzonej analizy ryzyka (zgodnie z art. 32 RODO).
Analiza ryzyka
Dopiero analiza ryzyka i ustalenie słabych punktów infrastruktury teleinformatycznej (np. dostęp dzieci do miejsca pracy lub komputera, na którym przetwarzane są dane służbowe, a już co najgorzej dostęp z poziomu administratora) w ramach świadczonej pracy w trybie home office pozwoli ocenić, jakich środków technicznych i organizacyjnych pracodawca może żądać od pracownika, ale co za tym idzie, musi mu też możliwość ich wdrożenia zapewnić.
Takim działaniem, może być zakup przez pracownika konkretnego oprogramowania antywirusowego. W naszej ocenie w takim wypadku to jednak pracodawca jest zobowiązany do pokrycia kosztów zakupu, instalacji i aktualizacji oprogramowania antywirusowego czy też zapewnienia odpowiedniej sieci do świadczenia pracy w trybie pracy zdalnej. W Tarczy 3.0. proponowano rozwiązanie, zgodnie z którym pracodawca mógł wypłacać pracownikowi ekwiwalent pieniężny do 100 zł/miesiąc z przeznaczeniem na środki pracy zdalnej, co mogłoby być właśnie wydane na odpowiednie środki ochrony danych (albo na światłowodowy internet).
Odpowiedź ukazała się w serwisie firma.rp.pl