Bezpieczeństwo sieci i danych podczas home office obowiązkiem pracodawcy

Kto powinien pokryć koszty zabezpieczenia sieci domowej pracownika podczas pracy w trybie home office – wyjaśniają eksperci z kancelarii Gawroński & Partners.

Pytanie:

Czy pracownik w trakcie pracy w trybie home office jest zobowiązany do zapewnienia bezpieczeństwa sieci domowej, z której korzysta? Czy można go zobligować do zakupu oprogramowania antywirusowego? Kto powinien pokryć koszty zabezpieczenia sieci domowej pracownika?

Odpowiedź:

Zapewnienie bezpieczeństwa teleinformatycznego, w tym bezpieczeństwa sieci, z której pracownicy korzystają w czasie home office, jest obowiązkiem pracodawcy. Natomiast pracownik ma obowiązek w tym zakresie współpracować z pracodawcą.

Ochrona własności intelektualnej

Obowiązkiem pracodawcy jest zapewnienie ochrony szeregu „wartości intelektualnych”, w tym danych osobowych, tajemnicy przedsiębiorstwa, jak i tajemnic zawodowych i tzw. sektorowych. Gdy pracodawca dopuszcza „home office” (co obecnie staje się normą), ma obowiązek zadbać też o poufność i bezpieczeństwo przetwarzania przez pracownika informacji służbowych w domu. Nie wyklucza to oczywiście odpowiedzialności dyscyplinarnej pracownika za przyczynienie się, a nawet celowe spowodowanie naruszenia ochrony danych.

CZYTAJ TAKŻE: http://Koronawirus a biznes, pytania i odpowiedzi: zakaz pracy dla chorego

Środki bezpieczeństwa informacji

Pracodawca powinien określić, jakie środki bezpieczeństwa informacji (w tym danych osobowych) pracownik powinien stosować w domu. Może to być, ale niekoniecznie obowiązek stosowania konkretnego programu antywirusowego, połączenia tunelowanego VPN (też nie zawsze potrzebne), zmiany domyślnych haseł do routera WIFI w domu, hasłowania WIFI (zawsze), włączenia automatycznych aktualizacji komputera służbowego lub prywatnego.

CZYTAJ TAKŻE: http://Koronawirus a biznes, pytania i odpowiedzi: praca zdalna

Jeżeli pracodawca umożliwia wykorzystywanie sprzętu prywatnego, powinien to dość drobiazgowo uregulować (tzw. polityka BYOD – czyli bring your own device). Pracodawca zgodnie z art. 32 RODO ma obowiązek wdrożyć odpowiednie środki bezpieczeństwa, które będą de facto uzależnione od wyników przeprowadzonej analizy ryzyka (zgodnie z art. 32 RODO).

CZYTAJ TAKŻE: https://firma.rp.pl/koronawirus/6083-koronawirus-dla-kogo-postojowe-minister-wyjasnia

Analiza ryzyka

Dopiero analiza ryzyka i ustalenie słabych punktów infrastruktury teleinformatycznej (np. dostęp dzieci do miejsca pracy lub komputera, na którym przetwarzane są dane służbowe, a już co najgorzej dostęp z poziomu administratora) w ramach świadczonej pracy w trybie home office pozwoli ocenić, jakich środków technicznych i organizacyjnych pracodawca może żądać od pracownika, ale co za tym idzie, musi mu też możliwość ich wdrożenia zapewnić.

CZYTAJ TAKŻE: https://firma.rp.pl/prawo-podatki/6026-koronawirus-bez-podatku-od-wsparcia-w-ramach-tarczy-finansowej

Takim działaniem, może być zakup przez pracownika konkretnego oprogramowania antywirusowego. W naszej ocenie w takim wypadku to jednak pracodawca jest zobowiązany do pokrycia kosztów zakupu, instalacji i aktualizacji oprogramowania antywirusowego czy też zapewnienia odpowiedniej sieci do świadczenia pracy w trybie pracy zdalnej. W Tarczy 3 proponowano rozwiązanie, zgodnie z którym pracodawca mógł wypłacać pracownikowi ekwiwalent pieniężny do 100 zł/miesiąc z przeznaczeniem na środki pracy zdalnej, co mogłoby być właśnie wydane na odpowiednie środki ochrony danych (albo na światłowodowy internet).

Autorzy pracują w kancelarii Gawroński & Partners. Kancelaria jest zrzeszona w sieci Kancelarie RP działającej pod patronatem dziennika „Rzeczpospolita”.