Praca zdalna w urzędzie a ochrona danych osobowych

Przepis, który poniekąd zachęca pracodawców, w tym urzędy, do korzystania z pracy zdalnej został uchwalony: w art. 3 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, wskazano, że pracodawca może polecić pracownikowi przejście na pracę zdalną. Pojawia się jednak dość ważne pytanie, co na to RODO?

Od czasu wniesienia ograniczeń można spotkać różne podejścia do tematu ochrony danych w trakcie pandemii. Powszechnie panuje przekonanie, że RODO to jest zbiór przepisów nieżyciowych, które zawile komplikują to, co może być proste. W związku z tym wyrażane są opinie skrajne, w tym nawet takie, że epidemia „zawiesiła stosowanie RODO”. Taki wniosek można odnieść czytając Pismo Wojewody Małopolskiego z 23 marca 2020 r. o sygn. WN-IV.0121.6.2020. Wskazuje ono, że „przetwarzanie danych osobowych w sytuacji zagrożenia epidemicznego przez organy administracji publicznej […] nie jest objęte zakresem prawa Unii”. Opinia taka będzie trudna do obrony, ale podobne interpretacje stają się powszechniejsze. Dlatego na uwagę zasługuje opinia przedstawiona przez Związek Powiatów Polskich (autorem jest r.pr. Bernadeta Skóbel), która wskazuje, że stosownego wyłączenia nasz ustawodawca nie przewiduje. Skoro RODO nie znajduje ograniczenia, warto wziąć pod uwagę bezpieczeństwo danych przy możliwej wykorzystywanej pracy zdalnej w urzędzie.

Praca zdalna w urzędzie?

W urzędach praca zdalna co do zasady jest możliwa. Nie dotyczy to jednakże wszystkich wydziałów i wszystkich pracowników: ciężko wyobrazić sobie, aby punkt obsługi klienta mógł pracować zdalnie, tym bardziej Urząd Stanu Cywilnego – jak wiadomo systemy teleinformatyczne znacznie to utrudniają. Ponadto autor nie wyobraża sobie wynoszenia druków ścisłego zarachowania z urzędu. Osoby, które pracują na takich stanowiskach będą musiały stawiać się w urzędzie. Jednakże większość stanowisk będzie można przenieść w tryb pracy zdalnej.

To kierownik urzędu (następnie wydziału) powinien decydować, którzy pracownicy mogą zdalnie pracować, uwzględniając odpowiednią łączność adekwatną do ich obowiązków, oczywiście pod warunkiem, że te obowiązki można wykonywać na odległość. Powstaje jednak zasadnicze pytanie, czy pracownik ma możliwość i prawo odstąpienia od pracy podczas epidemii? Odpowiedzi dostarcza art. 210 kodeksu pracy, który wskazuje, że w razie gdy warunki pracy nie odpowiadają przepisom bezpieczeństwa i higieny pracy i stwarzają bezpośrednie zagrożenie dla zdrowia lub życia pracownika albo gdy wykonywana przez niego praca grozi takim niebezpieczeństwem innym osobom, pracownik ma prawo powstrzymać się od wykonywania pracy, zawiadamiając o tym niezwłocznie przełożonego. W obecnej sytuacji pandemii, gdy pracodawca nie zapewni środków antybakteryjnych, dezynfekujących, płyt szklanych lub wykonanych z plexi, które odgradzają pracownika, np. punktu obsługi mieszkańca, od klientów, posiada on takie prawo i zachowuje prawo do wynagrodzenia.

Z drugiej strony pracodawca z własnej inicjatywy może wydać polecenia pracy w domu, jako dopuszczalną formę polecenia pracowniczego. Odmowa pracownika, bez podania rzeczowych argumentów, może być potraktowana jako naruszenie podstawowych obowiązków pracowniczych (art. 22 § 1 kodeksu pracy).

Przepisy RODO

Podjęcie pracy zdalnej przez urząd wymaga więc wzięcia pod uwagę przepisów RODO. Zwłaszcza przepisu art. 32, który wymaga uwzględniania adekwatnych środków zabezpieczeń technicznych i organizacyjnych. Reorganizując pracę, należy mieć również na względzie takie zasady przetwarzania danych osobowych, jak integralność, poufność czy rozliczalność. Zasady te stanowią sumęzadań nałożonych na administratora, bowiem wskazują [art. 5 ust. 2 lit. f) RODO], że dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Z kolei art. 5 ust. 2 wskazuje, że administrator jest odpowiedzialny za przestrzeganie (…) i musi być w stanie je wykazać („rozliczalność”). Możliwie upraszczając powyższą zasadę wskazać można, że administrator na prawidłowość procesów powinien mieć „papier”.

Tak więc kierownictwo urzędu musi zastanowić się oraz poniekąd przewidzieć zagrożenia i podatności – organizacyjne, techniczne czy ludzkie. Obecnie w internecie nie brakuje materiałów wskazujących zagrożenia i sposoby ich oznaczania (godne odnotowania są porady na portalach: sekurak.pl, Niebezpiecznik.pl, profesjonalna analiza znajduje się po linkiem: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-46r2.pdf).

Świadomość pracownika

Łańcuch jest na tyle mocny, na ile jego najsłabsze ogniwo. Jak wskazują badania: to błąd ludzki jest najczęstszą przyczyną utraty danych. Świadomość pracowników jest podstawą – można mieć najmocniejszą sieć, ale po co nam ona, skoro pracownik np. poda hasło publicznie (tytułem przykładu niektórzy posłowie w trakcie pierwszej zdalnej sesji). Jak podaje Związek Firm Ochrony Danych Osobowych (https://www.zfodo.org.pl/) w swoim raporcie na temat zagrożeń pt. Incydenty ochrony danych osobowych, źródła wewnętrzne, pracownicy i współpracownicy odpowiadają za 71 proc. naruszeń. Wśród naruszeń 89 proc.  posiadało charakter nieumyślny (związane z niewłaściwą wysyłką maili, braku stosowania kopii ukrytej, wysyłka maila z błędną zawartością). Ponadto 89 proc. naruszeń posiadało swój osobowy charakter – a więc związany z działalnością człowieka. Mając to na względzie, należy zastanowić się, przy okazji pracy zdalnej, jakie zagrożenia w urzędzie widzi IOD? W szczególności, czy pracownicy są podatni na ataki phishingowe i inne zagrożenia z internetu, na które trudniej będzie zareagować urzędowemu informatykowi (na marginesie warto przejść bezpłatny minitest od Google’a, który pozwoli uwrażliwić pracowników na takie zagrożenia: https://phishingquiz.withgoogle.com/). Warto też nauczyć pracowników szyfrować maile. Ponadto skoro pracownik będzie pracował w domu, warto uwrażliwić go, aby uważał na domowników, a zwłaszcza dzieci, aby nie miały dostępu do informacji. Podobnie, aby pracownik nie zostawiał komputera na przykład w samochodzie przed sklepem; aby nawet w domu blokować komputer (aby np. biegający po klawiaturze kot nie wysłał przypadkiem maila etc.). Kolejną podstawą jest tworzenie i wykorzystywanie mocnych haseł.

Część pracowników nie potrafi tworzyć/generować silnych haseł. Zdarzają się sytuacje, gdy nawet zostało ono skonstruowane jako mocne, to jest wykorzystane w wielu serwisach. Jest to niebezpieczne, ponieważ zdarzają się serwisy, które wciąż przechowują hasła użytkowników w czystym tekście. Gdy hacker wykradnie jedno hasło, będzie starał się je wykorzystać w innych. Tak więc zdecydowanie należy wykorzystywać silne hasła, korzystając np. z generatora haseł czy następnie programów do przechowywania haseł, np. KeePass. Ponadto samo użycie losowych 4 słów będzie również silnym hasłem.

Tak więc zdecydowanie należy pracowników zapoznać z zagrożeniami i wyzwaniami pracy zdalnej. Po takim przeszkoleniu, uważam, że warto opracować oświadczenie, w którym pracownik zobowiąże się do przestrzegania tych środków bezpieczeństwa, o których został pouczony. Nie musi być ono rozbudowane i zagmatwane, ale cały czas należy mieć w tyle głowy zasadę rozliczalności.

Pandemia koronawirusa jest wszakże okresem, w którym można zająć się problemem zwłaszcza mniejszych samorządów: wykorzystywania bezpłatnego oprogramowania niezapewniającego prywatności.

Bezpłatne oprogramowanie

Wyzwanie to, wydawałoby się oczywiste, nie zawsze znajduje zrozumienie w mniejszych samorządach. Autor o ile nie spotkał się z urzędem gminy, który swoją skrzynkę pocztową posiada na bezpłatnym serwerze, to już jego jednostki organizacyjne – od szkół przez ośrodki pomocy społecznej – dość często do takich rozwiązań się uciekają. Wskazując, że nie jest to problem wyłącznie administracji, warto wskazać, że spora ilość prawników posiada i wykorzystuje w pracy zawodowej to „bezpłatne” narzędzie. Należy zdać sobie sprawę, że nie płacąc pieniędzmi, płacimy prywatnością klientów, pracowników, uczniów itd. Dane przesyłane w korespondencji co do zasady dostępne są operatorowi, który – jak zazwyczaj wynika z regulaminów – może je analizować elektronicznie i przekazywać reklamodawcom. W szczególności Google, oferując skrzynkę Gmail, w „Warunkach korzystania z usług” bezpośrednio wskazuje, że „automatyczne systemy analizują treść (w tym wiadomości e-mail) w celu oferowania spersonalizowanych funkcji usług, takich jak wyniki wyszukiwania, reklamy indywidualne i wykrywanie spamu oraz złośliwego oprogramowania”. Skanowanie dotyczy więc zarówno samej treści maila, załączników tekstowych, jak również grafiki. Zachodzi więc poważny konflikt z zachowaniem tajemnicy służbowej. Kolejny problem związany z darmową usługą jest taki, że dostawca poczty – czy to z premedytacją, czy całkowicie przypadkowo – może pocztę skasować. Tego problemu i wyzwania nie sposób nie brać pod uwagę. Niemniej jednak nawet gdy urząd jest zmuszony pracować na bezpłatnym oprogramowaniu, bezwzględnie powinien pamiętać o szyfrowaniu danych.

Gdyby potrzebna była telekonferencja

Część decyzji, stanowisk organu etc. może być ustalana zdalnie. W takiej sytuacji niezwykle pomocna może być organizacja telekonferencji. Z punktu widzenia poufności rozmów, samorząd powinien zwrócić uwagę na rozwiązania, które oferują szyfrowanie end-to-end (zwane E2EE lub w tłumaczeniu „punkt-punkt”). Polega to w uproszczeniu na tym, że rozmowy wychodzące, wiadomości tekstowe, pliki będą przesyłane do serwera w postaci zaszyfrowanej i w takiej samej do odbiorcy. Niewykorzystywanie tej opcji oznacza, że wiadomość, która trafiła na serwer zostanie rozszyfrowana, a potem z powrotem zaszyfrowana i przesłana dalej. Oznacza to jednak, że zostanie przeanalizowana pod kątem treści, może być również pozyskana przez nieuprawnioną osobę. Warto wskazać, że coraz więcej programów posiada tę funkcję, ale często opcja ta nie jest zaznaczona domyślnie – takim przykładem jest np. Messenger. W tym miejscu chciałem doradzić samorządowcom, aby nawet w zakresie prywatnej komunikacji włączali opcję takiego szyfrowania, która jest dostępna, ale niedomyślnie. Tytułem przykładu, portale branżowe zajmujące się bezpieczeństwem informacji wskazują, że Signal jest obecnie najbezpieczniejszym komunikatorem, który posiada zaznaczoną opcję. Zresztą warto wskazać, żeby w ogóle szyfrować połączenia. Należy również zastanowić się nad korzystaniem z VPNa.

Pozostaje jednak problem pierwotny: na którym komputerze ma pracować pracownik? Własnym czy służbowym?

Praca na komputerze służbowym

Zaletą komputera służbowego jest fakt, że informatyk zatrudniony w urzędzie na bieżąco sprawdza zabezpieczenia – warto przypomnieć o szyfrowaniu dysku twardego, jako jednego z ważniejszych zabezpieczeń. Podstawą powinien być program antywirusowy z firewallem. Zabezpieczeń jest sporo i informatycy sobie z tym poradzą. Problemem jest natomiast fakt, że ilość takiego sprzętu jest mocno ograniczona i część pracowników, wykonując pracę zdalną ,będzie zmuszona pracować na własnym sprzęcie.

Praca na sprzęcie własnym

W niektórych urzędach część pracowników dostaje możliwość pracy zdalnej na sprzęcie własnym. Fachowo takie rozwiązanie zwie się z angielskiego Bring Your own Device (BYOD). Rozwiązanie ma tę zaletę, że nie trzeba kupować lub udostępniać komputera służbowego. Do najważniejszych wyzwań tego rozwiązania należy jednakże bezpieczeństwo takiego komputera/smartfona. Praca na komputerze zdalnym wymagać może przebadania przez informatyka w urzędzie zabezpieczeń komputerowych: antywirusów, firewalli itp. Z doświadczenia mogę wskazać, że informatycy w urzędach zazwyczaj wybierają tę opcję – z możliwością skonfigurowania zdalnego pulpitu. Zaletami tego rozwiązania są: pracownik łączy się za pomocą komputera własnego ze służbowym oraz stosowanie protokołu pulpitu zdalnego [czyliRemote Desktop Protocol (RDP)], który umożliwia uzyskanie połączenia za pomocą interfejsu graficznego użytkownika systemu operacyjnego. Protokół Remote Desktop Protocol jest bezpieczny, o ile zostało ustawione mocne hasło.

Praca z dokumentacją

Odpowiadając na zagadnienia pracy zdalnej w urzędzie, należy wskazać na osobne wyzwanie, które będzie musiało zostać uwzględnione w polityce bezpieczeństwa danych osobowych czy opracowanie tych procedur. Myśląc o zmianie procedury, należy mieć na względzie papierowy lub elektroniczny obieg dokumentów. W tym zakresie niezwykle przydatna będzie „Informacja Naczelnego Dyrektora Archiwów Państwowych dotycząca postępowania z dokumentacją w związku z wykonywaniem pracy zdalnej”. (dostępna na stronie: https://www.archiwa.gov.pl/). Dyrektor wskazuje kilka przypadków.

Po pierwsze, gdy jednostka organizacyjna posiada system EZD jako podstawowy lub wspomagający, ale pracownik wykonujący pracę zdalną nie posiada do niego dostępu, bądź w jednostce obowiązuje system papierowy, w związku z zaistniałą sytuacją możliwe jest wykonywanie czynności kancelaryjnych z pomocniczym wykorzystaniem dostępnych narzędzi elektronicznych (np. za pomocą poczty e-mail), pod warunkiem ich późniejszego (tzn. niezwłocznie po przywróceniu standardowych warunków pracy) przeniesienia do systemu papierowego.

W takiej sytuacji w szczególności należy zachować zapewniających prowadzenie jednego dla całej jednostki rejestru przesyłek wpływających i wychodzących, a także rejestru pism wewnętrznych. Wiąże się to z przesłaniem prowadzącemu sprawę wersji elektronicznej pisma (dokument elektroniczny, skan) oraz prowadzenie sprawy (bądź części sprawy) w sposób elektroniczny, aż do jej zakończenia. Jest to ściśle związane z zachowaniem przygotowanej dokumentacji – otrzymanej i wysłanej pocztą elektroniczną, a następnie w terminie, w którym to będzie możliwe, włączenie jej do akt sprawy wraz z naniesioną ścieżką dekretacji i akceptacji, w sposób właściwy dla danego systemu.

Po drugie: EZD i sytuacje, gdy pracownik wykonujący pracę zdalną wszystkie czynności wykonuje w tym systemie. We wskazanej sytuacji Dyrektor wskazuje, że system EZD należy wykorzystywać do:

1. prowadzenia rejestrów przesyłek wpływających i wychodzących, rejestru pism wewnętrznych;
2. prowadzenia spisów spraw;
3. wykonywania dekretacji;
4. wykonywania akceptacji, w szczególności poprzez podpisanie dokumentów elektronicznych podpisem elektronicznym;
5. prowadzenia możliwych do zrealizowania w systemie EZD innych potrzebnych rejestrów lub ewidencji, z wyłączeniem rejestrów lub ewidencji prowadzonych w dedykowanych do załatwiania określonych rodzajów spraw w systemach teleinformatycznych innych niż system EZD;
6. tworzenia możliwych do zrealizowania w ramach systemu EZD raportów dotyczących przebiegu załatwiania i rozstrzygania tych spraw;
7. gromadzenia przyporządkowanych do właściwych spraw wszelkich dokumentów elektronicznych (w tym odwzorowań cyfrowych), mających znaczenie dla udokumentowania przebiegu załatwiania i rozstrzygania tych spraw;
8. rozgłaszania treści pism wewnętrznych (np. zarządzenia, regulaminy, komunikaty).

Trzeci przypadek dotyczy przetwarzania dokumentacji papierowej, wspomaganej w systemie EZD. W takiej sytuacji, jak wskazuje Dyrektor, system EZD wykorzystuje się w celu:

1. prowadzenia rejestrów przesyłek wpływających i wychodzących;
2. prowadzenia spisów spraw;
3. prowadzenia innych, niż określone w pkt. 1, rejestrów i ewidencji;
4. udostępniania i rozpowszechniania treści pism wewnątrz;
5. przesyłania przesyłek;
6.  dekretacji, pod warunkiem przeniesienia jej następnie w formie dekretacji zastępczej na dokument w postaci nieelektronicznej wraz z datą i podpisem osoby dokonującej przeniesienia jej treści.

Oczywiście wszystkie inne czynności można wykonywać właśnie w systemie EZD. Należy jednak pamiętać o ich późniejszym przeniesieniu do systemu papierowego.

Podsumowanie

RODO nie zabrania pracy zdalnej. Wskazuje ono jedynie, że administratorzy tak powinni zadbać o przetwarzanie, aby nie dochodziło do naruszeń danych oraz aby wykazać, że urząd przewidział zagrożenia i im przeciwdziałał. Warto więc opracowując procedury uwzględnić: świadomość pracowników – czynnik ludzki oraz bezpieczeństwo sprzętu: zarówno pracowniczego, jak i oprogramowania, na które zdecyduje się urząd. Ostatecznie również bezpieczeństwo. Należy więc o tyle zmienić/opracować procedury, aby zapewnić rozliczalność: aby w przyszłości rozliczyć się z organem nadzorczym. W najbliższym czasie polityka Unii Europejskiej wobec RODO może się zmienić, Wojciech Wiewiórowski, Europejski Inspektor Ochrony Danych, wskazuje, że dla Unii koronawirus odgrywa rolę „game-changer’a” również w zakresie podejścia do prywatności. To jednak przyszłość. Teraźniejszość oznacza zmiany i opracowanie wewnętrznych procedur.