Czy w związku z pracą zdalną można zabierać dokumenty do domu?
Od tygodnia żyjemy w nowej rzeczywistości, wymagającej od nas dostosowania się do nowych warunków pracy. W wielu firmach z branży usług elektronicznych, zmiany są niewielkie, jednaże takich firm jest obecnie mniejszość na naszym rynku. Wystarczy zauwżyć, że dotychczas większość urzędów i innych podmiotów publicznych pracowała w trybie stacjonarnym, w dodatku głównie z wykorzystaniem dokumentów, tzn. systemy miały charakter wspierający. Podobnie funkcjonowała praca w wielu prywatnych firmach. Stają one przed wyzwaniami zapewnienia pracownikom możliwości samoizolacji, w szczególności poprzez pracę zdalną.
Ponieważ na temat zabezpieczenia komputerów i systemów, a także samego trybu pracy, pojawiło się już wiele opracowań (głos zabrał nawet Prezes UODO), ja skupię się na często pomijanym aspekcie, czyli pracy z dokumentami w formie papierowej. Dylematy przed jakimi stają pracodawcy, to czy pozwalać na zabieranie tych dokumentów do domu, a jeżeli tak, to na jakich zasadach.
Na pewno Was nie zaskoczę, jeśli powiem, że moim zdaniem jest to czas inspektorów ochrony danych, którzy powinni wspierać administratorów w przygotowaniu procedur na okoliczność pracy zdalnej. W szczególności powinni zaproponować efektywną procedurę dotyczącą udostępniania informacji, które są w dokumentach w formie papierowej.
Co moim zdaniem powinno znaleźć się w takiej procedurze? Po pierwsze kto i w jakich okolicznościach będzie mógł otrzymać dokumenty. Należy określić, czy decyzję podejmuje uprzednio bezpośredni przełożony lub kierownik jednostki, czy pracownik sam decyduje o tym, że dane dokumenty zabierze. Jestem wielką przeciwniczką udostępniania pracownikom oryginałów dokumentów. W mojej ocenie ryzyka związane z takim działaniem, szczególnie jeżeli dokumenty zawierają dane osobowe lub inne informacje chronione, są zbyt wysokie i zbyt łatwo mogą się zmaterializować. Dlatego jestem za tym, aby pracownik otrzymywał zgodę na zabieranie kopii dokumentów lub ich digitalizację i zabranie skanów. W obu przypadkach niezbędne są zasady przygotowania kopii/skanów oraz ich zabrania przez pracownika (jaki nośnik, jakie ograniczenia). Nie upieram się przy tym, że zgoda na skopiowanie i zabranie dokumentów musi być uprzednia. Szczególnie w dużych organizacjach. Jednakże każda osoba, która zabiera dokumenty powinna to zgłosić do przełożonego lub kierownika jednostki, wraz z przekazaniem listy dokumentów. Jeżeli dokumentów jest dużo, można określić to w sposób bardziej ogólny, np. faktury ze stycznia i lutego 2020 r., liczba dokumentów: x, liczba kartek: x. Nie jest to rozwiązanie doskonałe, jednakże szczególne sytuacje, wymagają szczególnych działań.
Kolejną sprawą jest sposób zabierania dokumentów. Można rozważyć dwie opcje. Pracownik, który dyżuruje w firmie i po otrzymaniu prośby o kopie określonych dokumentów, digitalizuje je i przekazuje określonej osobie, w sposób określony w procedurze (np. firmowy serwer FTP). Można wprowadzić harmonogram dyżurów pracowników w siedzibie, kiedy będą oni mogli skopiować, podczas wizyty, niezbędne dokumenty. W przypadku dużej liczby pracowników, niezbędne może być wprowadzenie harmonogramu wizyt w siedzibie, którym będzie zarządzać, np. dział kadr lub HR.
Procedura powinna określać także sposób korzystania z dokumentów i przechowywania ich w domu podczas pracy zdalnej. Uważam także, że po zakończeniu pracy z dokumentem, powinien on zostać zwrócony do siedziby firmy. Powinien być ktoś odpowiedzialny za weryfikowanie tego, czy wszystkie dokumenty zostały zwrócone. Można wskazać miejsce, w którym dokumenty będą pozostawiane/zwracane i będą czekać na weryfikację, czy niczego nie brakuje, a następnie zniszczenie.
Czemu tak bardzo sobie utrudniać życie? Ponieważ nie ma gwarancji, że pracownik ma w domu odpowiednie narzędzia do skutecznego zniszczenia dokumentów, a także że to skutecznie zrobi. Obowiązkiem kierownika jednostki jest zapewnienie rozliczalności danych, co wymaga sprawowania kontroli także nad kopiami dokumentów.
W procedurze, moim zdaniem, powinny także zostać wskazane działania niedozwolone, wraz z informacją, jakie mogą być konsekwencje naruszenia postanowień procedury.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.
