Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.
Data publikacji: 23-09-2021 | Autor: | Tomasz Cygan |
Wiele wskazuje na to, że powrót do pracy wykonywanej wyłącznie w formie stacjonarnej, biurowej nigdy nie nadejdzie. Pracodawcy i pracownicy poznali wady i zalety pracy zdalnej, ale w obliczu możliwego powrotu różnych form ograniczeń wiele organizacji planuje jej utrzymanie lub zastąpienie jej wariantami pracy hybrydowej.
Praca zdalna stawia przed organizacjami wiele wyzwań organizacyjnych i technicznych, w szczególności w zakresie zapewnienia bezpieczeństwa informatycznego. Jak zauważają bowiem Murugiah Souppaya i Karen Scarfone w „User’s Guide to Telework and Bring Your Own Device (BYOD)”: „gdy urządzenie wykorzystywane w telepracy korzysta z dostępu zdalnego, jest ono zasadniczo logicznym rozszerzeniem własnej sieci organizacji”.
Aby zdefiniować i usystematyzować prawa i obowiązki wynikające z wykonywania pracy w formie zdalnej, warto rozważyć ich skodyfikowanie w stosownym regulaminie. W praktyce spotyka się tworzenie oddzielnych regulaminów pracy zdalnej lub wplatanie zapisów dotyczących takiego sposobu wykonywania pracy do innych dokumentów wewnątrzorganizacyjnych, takich jak np. polityka bezpieczeństwa instrukcje zarządzania systemem informatycznym. Ich nazwa i forma nie mają znaczenia, znaczenie ma bowiem treść oraz zapoznaniem z nią pracowników. Na potrzeby niniejszego opracowania będziemy posługiwać się określeniem regulamin pracy zdalnej. Zwracamy jednak uwagę, że to pojęcie może obejmować także zapisy dotyczące wykonywania pracy zdalnej zawarte w innych dokumentach, niezależnie od ich formy i nazwy.
Zapisy regulaminu pracy zdalnej powinny przede wszystkim określać:
W przypadku wprowadzenia takiej możliwości regulamin może wprowadzać także zasady użytkowania sprzętu stanowiącego własność pracownika na potrzeby stosunku pracy (BYOD). W praktyce bardzo często dotyczy to właśnie różnego rodzaju urządzeń peryferyjnych, takich jak drukarki, ale także nośników informacji. Dość ciekawym zagadnieniem, choć często pomijanym jako mało informatyczne, jest ocena ryzyka związanego z korzystaniem z prywatnych drukarek (wydruki pozostają poza jakąkolwiek kontrolą) oraz z postępowaniem z wydrukami. Wskazuje się bowiem na ryzyka niszczenia wydruków służbowych w warunkach domowych, czyli bez niszczarek czy specjalnych kontenerów. Co ciekawe, nietypowe zagrożenie pojawiło się jako wypadkowa pracy zdalnej oraz opieki nad dziećmi. Chodzi mianowicie o wykorzystywanie wydruków dokumentów służbowych jako miejsca do realizowania prac plastycznych przez dzieci, które po wykorzystaniu były wyrzucane do kosza bez uwzględnienia ich treści służbowej. Regulamin pracy zdalnej powinien również uwzględniać takie przypadki.
Przedmiotem regulaminu pracy zdalnej mogą być także zasady odpowiedzialności za ewentualne szkody wyrządzone organizacji lub osobom trzecim w związku z wykorzystaniem sprzętu służbowego, oprogramowania oraz sieci internet będących własnością organizacji.
Po pierwsze, warto uwzględnić w regulaminie pracy zdalnej zasady transportu i przechowywania służbowego sprzętu komputerowego poza organizacją. Należy przy tym pamiętać, że powyższe zasady mogą zostać rozciągnięte na wszelkie inne urządzenia mobilne funkcjonujące w organizacji – tablety, telefony komórkowe, smartfony. Konieczność zachowania szczególnej ostrożności w tym przypadku wynika z faktu, że urządzenie opuszcza miejsce, w którym stosowane są najpełniejsze środki bezpieczeństwa. W takim przypadku warto rozważyć takie zasady jak:
Po drugie, regulamin powinien rozstrzygać kwestie zarządzania urządzeniami i oprogramowaniem. Można wówczas wskazać, że użytkownik nie jest uprawniony do zakupów, instalacji, deinstalacji, dokumentowania, ewidencjonowania, przechowywania i ochrony nośników oprogramowania i jego licencji, a także przywrócenia działania oprogramowania po awarii. Takie czynności wykonywać może wyłącznie pracownik działu IT. Naturalną konsekwencją takiego zapisu jest wprowadzenie obowiązku informowania przez użytkownika o wszelkich potrzebach w tym zakresie. Ponadto warto wesprzeć takie zapisy wdrożeniem rozwiązań, które uniemożliwią pracownikowi dokonywanie nieautoryzowanych zmian w urządzeniach oraz w dostępie do systemu. Najczęstszym przykładem takich rozwiązań jest blokowanie możliwości używania nośników informacji lub korzystania z niektórych zasobów internetu.
Po trzecie, warto wskazać, że stanowisko komputerowe wraz z oprogramowaniem i dostępem do internetu należy wykorzystywać wyłącznie do celów związanych z pracą, w sposób gwarantujący zapewnienie ochrony przed dostępem do danych, programów i sprzętu komputerowego przez osoby nieupoważnione.
Nadto przydatne jest wprowadzenie regulacji dotyczących potwierdzania otrzymania sprzętu lub nośników informacji. Można wzbogacić je o poświadczenie znajomości zasad jego wykorzystywania. W takim przypadku warto rozważyć zobowiązanie pracownika do:
[...]
Adwokat, inspektor ochrony danych, wykładowca, publicysta, audytor wewnętrzny normy PN-ISO/IEC 27001:2014-12. Ukończył m.in. kurs „Data Protection and Privacy Rights” organizowany przez Radę Europy Help Programme, kurs „Cybersecurity for Critical Urban Infrastructure” prowadzony przez Massachusetts Institute of Technology, kurs „Cybersecurity Risk Management” prowadzony przez Rochester Institute of Technology.
Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
Transmisje online zapewnia: StreamOnline