Dostałem polecenie od pracodawcy, że mam wysyłać dokumenty służbowe logując się przez moje prywatne konta bankowe lub moje inne prywatne konta, celem weryfikacji. W związku z RODO i ogromnymi obawami, że mam dostęp do bardzo wielu danych osobowych, które muszą być w wyjątkowy sposób chronione, poprosiłem o w/w polecenie na piśmie z odpowiednią podstawą prawną, że dokumenty służbowe mam wysyłać logując się przez prywatne konta. Za wypłynięcie danych osobowych grozi odpowiedzialność karna, którą nie mogę być obciążony jako pracownik, tylko dyrektor wydający mi takie polecenie służbowe.
W opisanej sytuacji, obawy pracownika wydają się słuszne (bazuję tylko na załączonej do zgłoszenia treści). Jeżeli pracownik ma wątpliwości co do zasadności polecenia służbowego i jego zgodności prawnej, może żądać polecenia na piśmie.
Polecenie logowania się przez prywatne konta bankowe lub inne prywatne profile (np. mObywatel, profil zaufany powiązany z bankiem) w celu przesyłania dokumentów służbowych jest wysoce niestandardowe i ryzykowne zarówno z punktu widzenia RODO, jak i bezpieczeństwa prywatnych danych pracownika.
Pracownik ma obowiązek dbać o bezpieczeństwo danych osobowych, do których ma dostęp.
Dlaczego to polecenie dyrektora wydaje się ryzykowne?
- Zasada Rozliczalności (RODO): Administrator danych musi udowodnić, że kontroluje przepływ danych. Jeśli pracownik wysyła coś przez prywatne konto, urząd traci kontrolę nad tym, co dzieje się z kopią tych danych.
- Bezpieczeństwo bankowe: Logowanie się do systemów zewnętrznych przez bank to metoda uwierzytelniania tożsamości (np. MojeID). Pracodawca nie ma prawa zmuszać pracownika do używania prywatnych dostępów w celach służbowych.
- Art. 100 Kodeksu Pracy: Pracownik ma obowiązek stosować się do poleceń przełożonych, ale tylko wtedy, gdy nie są one sprzeczne z przepisami prawa lub umową o pracę.
Co teraz?
- Pracownik może przedłożyć notatkę służbową do administratora danych / pracodawcy ze swoimi wątpliwościami.
- Pracownik może konsultować wątpliwości bezpośrednio z Inspektorem Ochrony Danych (IOD).
- Pracownik nie powinien logować się do prywatnych usług potwierdzających jego prywatną tożsamość w celach służbowych chyba, że swoimi danymi tylko loguje się do służbowych skrzynek lub usług, a nie do prywatnych.
Dodatkowe pytania i odpowiedzi:
- Co w sytuacji, gdy pracownik posiada stosowne upoważnienie do przetwarzania danych osobowych wynikające z Polityki bezpieczeństwa?
Upoważnienie do przetwarzania danych osobowych nie upoważnia pracownika do ich przetwarzania za pośrednictwem kont prywatnych. - Czy naruszeniem jest potwierdzanie tożsamości pracownika np. przy eDoręczeniach poprzez bankowość elektroniczną lub profil zaufany czy mObywatel?
Jeżeli pracownik potwierdza swoimi prywatnymi danymi dostęp do konta służbowego – można to zaakceptować. Jeżeli pracownik potwierdza swoimi danymi dostęp do prywatnego konta (prywatnych usług) w celu realizacji polecenia służbowego w ramach swojego prywatnego konta m. in. do wysyłki dokumentów do klientów lub do komunikacji z klientami ze swojego prywatnego konta – nie powinno to tak wyglądać. Pracownik nie może dysponować danymi osobowymi wykorzystując prywatne konta / dostępy / skrzynki email. - Czy istnieją inne kanały bezpiecznego potwierdzania tożsamości pracownika w celu wykonywania obowiązków służbowych?
Systemy udostępniane pracownikom przez administratora danych powinny zapewniać im możliwość realizacji zadań służbowych w taki sposób, aby nie zmuszać ich do wykorzystywania prywatnych dostępów. Pracownik nie może być obligowany bez odpowiedniej podstawy prawnej do wykorzystywania prywatnych dostępów do realizacji zadań służbowych. - Czy do dostępu do eDoręczeń powinniśmy mieć odrębne upoważnienia?
To zależy na jakie konta. Jeżeli pracownik korzystający z tej usługi uzyskuje dostęp do konta administratora danych (pracodawcy) w celu realizacji zadań służbowych – to nie trzeba. Jeżeli administrator /pracodawca wymaga wykorzystania usługi eDoręczeń pracownika (lub innych usług) do zadań służbowych – to w mojej ocenie jest to nieakceptowalne podejście. Administrator danych (pracodawca) powinien zapewnić pracownikom niezbędne narzędzia do realizacji zadań służbowych.