Wiele wskazuje na to, że powrót do pracy wykonywanej wyłącznie w formie stacjonarnej, biurowej nigdy nie nadejdzie. Pracodawcy i pracownicy poznali wady i zalety pracy zdalnej, ale w obliczu możliwego powrotu różnych form ograniczeń wiele organizacji planuje jej utrzymanie lub zastąpienie jej wariantami pracy hybrydowej.

Praca zdalna stawia przed organizacjami wiele wyzwań organizacyjnych i technicznych, w szczególności w zakresie zapewnienia bezpieczeństwa informatycznego. Jak zauważają bowiem Murugiah Souppaya i Karen Scarfone w „User’s Guide to Telework and Bring Your Own Device (BYOD)”: „gdy urządzenie wykorzystywane w telepracy korzysta z dostępu zdalnego, jest ono zasadniczo logicznym rozszerzeniem własnej sieci organizacji”.

Aby zdefiniować i usystematyzować prawa i obowiązki wynikające z wykonywania pracy w formie zdalnej, warto rozważyć ich skodyfikowanie w stosownym regulaminie. W praktyce spotyka się tworzenie oddzielnych regulaminów pracy zdalnej lub wplatanie zapisów dotyczących takiego sposobu wykonywania pracy do innych dokumentów wewnątrzorganizacyjnych, takich jak np. polityka bezpieczeństwa instrukcje zarządzania systemem informatycznym. Ich nazwa i forma nie mają znaczenia, znaczenie ma bowiem treść oraz zapoznaniem z nią pracowników. Na potrzeby niniejszego opracowania będziemy posługiwać się określeniem regulamin pracy zdalnej. Zwracamy jednak uwagę, że to pojęcie może obejmować także zapisy dotyczące wykonywania pracy zdalnej zawarte w innych dokumentach, niezależnie od ich formy i nazwy.

Zapisy regulaminu pracy zdalnej powinny przede wszystkim określać:

• zasady korzystania ze służbowego sprzętu komputerowego;
• zasady korzystania ze służbowego oprogramowania;
• zasady korzystania z dostępu do służbowego Internetu;
• zasady korzystania z innych urządzeń, w szczególności z drukarek oraz postępowania z wydrukami.

W przypadku wprowadzenia takiej możliwości regulamin może wprowadzać także zasady użytkowania sprzętu stanowiącego własność pracownika na potrzeby stosunku pracy (BYOD). W praktyce bardzo często dotyczy to właśnie różnego rodzaju urządzeń peryferyjnych, takich jak drukarki, ale także nośników informacji. Dość ciekawym zagadnieniem, choć często pomijanym jako mało informatyczne, jest ocena ryzyka związanego z korzystaniem z prywatnych drukarek (wydruki pozostają poza jakąkolwiek kontrolą) oraz z postępowaniem z wydrukami. Wskazuje się bowiem na ryzyka niszczenia wydruków służbowych w warunkach domowych, czyli bez niszczarek czy specjalnych kontenerów. Co ciekawe, nietypowe zagrożenie pojawiło się jako wypadkowa pracy zdalnej oraz opieki nad dziećmi. Chodzi mianowicie o wykorzystywanie wydruków dokumentów służbowych jako miejsca do realizowania prac plastycznych przez dzieci, które po wykorzystaniu były wyrzucane do kosza bez uwzględnienia ich treści służbowej. Regulamin pracy zdalnej powinien również uwzględniać takie przypadki.

Przedmiotem regulaminu pracy zdalnej mogą być także zasady odpowiedzialności za ewentualne szkody wyrządzone organizacji lub osobom trzecim w związku z  wykorzystaniem sprzętu służbowego, oprogramowania oraz sieci internet będących własnością organizacji.

Po pierwsze, warto uwzględnić w regulaminie pracy zdalnej zasady transportu i przechowywania służbowego sprzętu komputerowego poza organizacją. Należy przy tym pamiętać, że powyższe zasady mogą zostać rozciągnięte na wszelkie inne urządzenia mobilne funkcjonujące w organizacji – tablety, telefony komórkowe, smartfony. Konieczność zachowania szczególnej ostrożności w tym przypadku wynika z faktu, że urządzenie opuszcza miejsce, w którym stosowane są najpełniejsze środki bezpieczeństwa. W takim przypadku warto rozważyć takie zasady jak:

• nie należy zostawiać komputera przenośnego w samochodzie (zwłaszcza na przednim siedzeniu);
• komputer przenośny należy zabierać ze sobą zawsze podczas podróży między miejscem pracy a domem (zwłaszcza przy okazji zakupów);
• komputer służbowy to własność pracodawcy, także w domu;
• nie należy instalować żadnego oprogramowania „na własną rękę” bez zgody i wiedzy pracowników pionu informatycznego;
• nie należy udostępniać komputera ani haseł do systemu operacyjnego, nawet osobom najbliższym;
• szczególną uwagę należy zachować w czasie wszelkiego rodzaju wyjazdów służbowych, zwłaszcza w przypadku pozostawiania komputera przenośnego w hotelu.

Po drugie, regulamin powinien rozstrzygać kwestie zarządzania urządzeniami i oprogramowaniem. Można wówczas wskazać, że użytkownik nie jest uprawniony do zakupów, instalacji, deinstalacji, dokumentowania, ewidencjonowania, przechowywania i ochrony nośników oprogramowania i jego licencji, a także przywrócenia działania oprogramowania po awarii. Takie czynności wykonywać może wyłącznie pracownik działu IT. Naturalną konsekwencją takiego zapisu jest wprowadzenie obowiązku informowania przez użytkownika o wszelkich potrzebach w tym zakresie. Ponadto warto wesprzeć takie zapisy wdrożeniem rozwiązań, które uniemożliwią pracownikowi dokonywanie nieautoryzowanych zmian w urządzeniach oraz w dostępie do systemu. Najczęstszym przykładem takich rozwiązań jest blokowanie możliwości używania nośników informacji lub korzystania z niektórych zasobów internetu.

Po trzecie, warto wskazać, że stanowisko komputerowe wraz z oprogramowaniem i dostępem do internetu należy wykorzystywać wyłącznie do celów związanych z pracą, w sposób gwarantujący zapewnienie ochrony przed dostępem do danych, programów i sprzętu komputerowego przez osoby nieupoważnione.

Nadto przydatne jest wprowadzenie regulacji dotyczących potwierdzania otrzymania sprzętu lub nośników informacji. Można wzbogacić je o poświadczenie znajomości zasad jego wykorzystywania. W takim przypadku warto rozważyć zobowiązanie pracownika do:

• korzystania ze sprzętu komputerowego, sieci komputerowej, oprogramowania komputerowego, poczty elektronicznej i internetu wyłącznie do celów służbowych oraz zgodnie z obowiązującym prawem;
• stosowania menedżera haseł;
• używania zaufanego punktu dostępowego do internetu, w szczególności wykorzystania hot-spotu w służbowym telefonie;
• unikania drukowania służbowych dokumentów w domu lub miejscu, w którym odbywa się praca zdalna;
• niszczenia w sposób bezpieczny dokumentów wydrukowanych i wykorzystanych lub zbędnych (nieczytelnych lub wydrukowanych nadmiarowo) z zastrzeżeniem obowiązku ich zniszczenia w organizacji, gdy w miejscu wykonywania pracy zdalnej nie ma możliwości bezpiecznego niszczenia;
• zachowania w poufności danych dostępowych do wszystkich systemów i aplikacji udostępnionych w celu służbowego wykorzystania;
• wymiany informacji służbowych jedynie z wykorzystaniem firmowego sprzętu i nośników, służbowej poczty elektronicznej oraz w inny sposób akceptowany przez pracodawcę.

[...]

Adwokat, inspektor ochrony danych, wykładowca, publicysta, audytor wewnętrzny normy PN-ISO/IEC 27001:2014-12. Ukończył m.in. kurs „Data Protection and Privacy Rights” organizowany przez Radę Europy Help Programme, kurs „Cybersecurity for Critical Urban Infrastructure” prowadzony przez Massachusetts Institute of Technology, kurs „Cybersecurity Risk Management” prowadzony przez Rochester Institute of Technology.