Procedura ochrony danych osobowych przy pracy zdalnej
Procedura ochrony danych osobowych
w ramach pracy zdalnej
I. Zakres podmiotowy procedury
- Procedura określa zasady postępowania z danymi osobowymi w przypadku ich przetwarzania podczas pracy poza siedzibą pracodawcy.
- Zakresem procedury objęci są pracownicy wykonujący pracę zdalną na podstawie:
- art. 6719 § 1 Kodeksu pracy (praca zdalna uzgodniona między pracownikiem a pracodawcą),
- art. 6719 § 3 Kodeksu pracy (obligatoryjna praca wykonywana na polecenie pracodawcy),
- art. 6719 § 6 Kodeksu pracy (obligatoryjna praca zdalna na wniosek pracownika).
II. Podstawowe pojęcia
- dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizyczne, np. imię i nazwisko, numer identyfikacyjny (PESEL), adres zamieszkania, adres e-mail,
- naruszenie ochrony danych osobowych – takie naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
- pracownik wykonujący pracę zdalną – osoba zatrudniona na podstawie przepisów kodeksu pracy, w jeden ze sposobów określonych w art. 6719 § 1 Kodeksu pracy (w rozumieniu procedury nie jest pracownikiem wykonującym pracę zdalną osoba zatrudniona na podstawie umów cywilnoprawnych).
III. Obowiązki ogólne
- Każdy pracownik ma obowiązek uczestniczenia w szkoleniach z zakresu ochrony danych osobowych, na które kieruje go pracodawca.
- Każdy pracownik ma obowiązek zgłaszania wszelkich podejrzeń naruszeń ochrony danych osobowych. Każdy incydent należy zgłosić na adres iod@mokmarki.pl
- Należy ograniczyć do niezbędnego minimum drukowanie dokumentacji zawierającej dane osobowe, a jeżeli taka konieczność zaistnieje, należy niszczyć wydruki po zakończeniu pracy z nimi.
- Nie jest dopuszczalne korzystanie i zapisywanie na własnych nośnikach plików zawierających dane osobowe, których administratorem jest pracodawca, bez jego zgody.
- Nie jest dopuszczalne umożliwianie dostępu do danych, poczty elektronicznej lub systemów informatycznych osobom nieuprawnionym, próbujących uzyskać dostęp drogą telefoniczną lub mailową, podającym się za przedstawicieli serwisu lub konkretnych instytucji, bez ich weryfikacji i potwierdzenia w zakładzie pracy takiego kontaktu.
- Pracując w miejscu pracy zdalnej, należy zapewnić, aby osoby nieuprawnione nie posiadały wglądu/dostępu do treści danych służbowych na nośnikach, komputerach, laptopach i w dokumentacji papierowej.
- W miejscach publicznych, jak kawiarnie, restauracje, galerie handlowe, kolej, należy zabezpieczać się przed dostępem osób nieupoważnionych.
- W miejscach publicznych nie należy pozostawiać bez nadzoru dokumentów, nośników i sprzętu.
IV. Obowiązki pracowników korzystających wyłącznie z poczty elektronicznej
Każdy pracownik korzystający z poczty elektronicznej jest zobowiązany do:
- przechowywania loginu i hasła do poczty elektronicznej w bezpiecznym miejscu, niedostępnym dla osób nieuprawnionych, w tym domowników,
- korzystania z poczty elektronicznej wyłącznie w celach służbowych,
- archiwizowania korespondencji służbowej przy użyciu dedykowanych temu celowi narzędzi poczty elektronicznej.
V. Obowiązki pracowników korzystających z poczty elektronicznej i systemów teleinformatycznych
Każdy pracownik korzystający z poczty elektronicznej i systemów teleinformatycznych jest zobowiązany do:
- stosowania zasad określonych w pkt IV,
- nieudostępniania danych dostępowych do systemów informatycznych osobom nieuprawnionym, w tym domownikom
- niepobierania danych osobowych z systemów informatycznych w celu innym niż służbowy,
- pobierania i zapisywania tylko niezbędnych dokumentów.
VI. Obowiązki podczas spotkań zdalnych, wideokonferencji
- Organizacja spotkań może nastąpić tylko przy użyciu dostarczonych przez pracodawcę rozwiązań informatycznych.
- Podczas spotkań przebiegających z ujawnianiem wizerunków należy ograniczyć do minimum rejestrowanie spotkań.
- W przypadku konieczności udostępniania konkretnych dokumentów podczas spotkań należy zamknąć używane wcześniej inne dokumenty, aplikacje, okna przeglądarek, aby udostępnić uczestnikom spotkania tylko i wyłącznie dedykowany dla nich plik.
- Wszystkie pliki zapisywane w zespołach lub dedykowanej do tego przestrzeni w aplikacji do wideokonferencji należy cyklicznie przeglądać i usuwać po ustaniu ich przydatności.
- Linki do wideokonferencji powinny być udostępniane tylko i wyłącznie uczestnikom spotkania, bezpiecznym kanałem komunikacji, zaproszenia powinny być kierowane wyłącznie na służbowe adresy e-mail.