Ako sa vysporiadať s prácou z domu – práve to bola otázka viacerých zamestnávateľov v mimoriadnej situácii. Podnikatelia boli nútení zavrieť svoje kancelárie a presunúť prácu z domu. Ako reaguje na home office GDPR?
Ochrana dát pri práci z domu
Práca z domu bola až do novely Zákonníka práce č. 66/2020 Z. z. pre náš právny poriadok abstraktným pojmom. Nie že by novela definovala, čo práca z domácnosti je alebo nie, avšak až touto novelou bola práca z domu zavedená do nášho Zákonníka práce. A to v súvislosti s mimoriadnou situáciou alebo núdzovým stavom, pri ktorých:
- je zamestnávateľ oprávnený nariadiť výkon práce z domácnosti zamestnanca, ak to dohodnutý druh práce umožňuje,
- má zamestnanec právo na vykonávanie práce zo svojej domácnosti, ak to dohodnutý druh práce umožňuje a na strane zamestnávateľa nie sú vážne prevádzkové dôvody, ktoré neumožňujú výkon práce z domácnosti.
V našom článku a v infografike zhrnieme všeobecné odporúčané opatrenia, ktoré by ste mali pri práci z domu zaviesť. Samozrejme, nemožno porovnávať a) väčšie spoločnosti, kde je GDPR aj IT bezpečnosť na vysokej úrovni, b) menších alebo stredných podnikateľov, ktorí riešia GDPR ako nutné zlo a ich zdroje – ľudské, finančné alebo technické sú obmedzené.
Pri prvej skupine väčších spoločností nad bezpečnosťou dohliada IT technik alebo celé oddelenie. A v týchto spoločnostiach sú štandardne aj mimo mimoriadnych situácií pripravení na prácu z domu – ako jeden zo zamestnaneckých benefitov. Čiže sú zavedené procesy a postupy, ako aj pri plošnom home-office riešiť situáciu a nezaudať pri tom na ochranu osobných údajov. Prioritou a prvou povinnosťou je práca výlučne na zariadeniach vo vlastníctve zamestnávateľa. A využívanie aplikácií a softvérov, na ktoré má zamestnávateľ licenciu.
V druhej skupine (zväčša) absentuje IT zabezpečenie a bezpečnosť, často sa používajú súkromné zariadenia aj aplikácie (ako aj e-mailový klienti).
Obe tieto skupiny môžu prijať opatrenia, ktoré pomôžu chrániť dáta a osobné údaje pri práci z domu.
Opatrenia: home office GDPR
Prijať bezpečnostné opatrenia je základnou povinnosťou každého subjektu, ktorý spracúva osobné údaje. Ako dobre viete, opatrenia majú byť prijaté na technickej, ako aj organizačnej a personálnej úrovni. Pri práci z domu, kedy prichádza k „prenosu“ listinných dokumentov a zariadení z „chránených“ firemných priestorov do domácností zamestnancov a pripájaniu zariadení na nezabezpečené siete, sa riziko porušenia ochrany osobných údajov a vzniku bezpečnostného incidentu zvyšuje.
Pri väčších spoločnostiach, ktoré popisujeme vyššie je najväčšou hrozbou ľudský faktor. Pri menších je to kombinácia absencie technických bezpečnostných opatrení, nepoznania povinností a ľudský faktor zároveň. Aby ste obmedzili potenciálnym hrozbám na oboch úrovniach – technickej aj organizačnej, pre prácu z domu odporúčame zaviesť aspoň uvedené opatrenia:
Prijatie týchto opatrení automaticky neznamená, že budete pokrývať všetky povinnosti, ktoré prináša nariadenie GDPR. Zamestnanci, ktorí spracúvajú osobné údaje ako oprávnené osoby, majú a môžu byť „poverení“ a poučení k tomu, ako narábať so zariadeniami a aplikáciami pri spracúvaní osobných údajov a ako postupovať pri ochrane dát pri home office. Ak zamestnávateľ zavádza v súvislosti s prácou v domácnosti zamestnancov nový účel spracúvania, je potrebné ho zaznamenať1 a oboznámiť zamestnancov ako dotknuté osoby v zmysle čl. 13 nariadenia GDPR.
Takýchto povinností v súvislosti s ochranou osobných údajov a nastavením home-office môže byť viacero. Nevyhnutnosťou je identifikovanie rizík a zavedenie procesov k ich obmedzeniu.
Predovšetkým v zázname o spracovateľských činnostiach a ostatných nadväzujúcich interných dokumentoch ↩