Tarcza antykryzysowa 4.0 wprowadziła poprzez art. 77 sformalizowaną definicję „pracy zdalnej”. Przy okazji okazało się, że jest szansa na zastąpienie kompletnie nieefektywnej „telepracy” i wprowadzenie do prawa pracy takich narzędzi, które będą faktycznie stosowane w praktyce.
Chociaż rzeczywistość pierwszej połowy br. wymusiła na wielu pracodawcach skorzystanie z pracy świadczonej zdalnie to z formalnego punktu widzenia nie było można powiedzieć, że taka forma pracy jest uregulowana w sposób bezpieczny dla pracownika i pracodawcy. Ustawodawca wprowadzał przepisy w pośpiechu i trzeba było się liczyć, że realia zweryfikują te pomysły. Jako że przyroda nie znosi pustki wkrótce można było spotkać w internecie rozmaite zalecenia i wytyczne próbujące opisać to jak taką pracę zdalną zorganizować bezpiecznie. Prezes Urzędu Ochrony Danych Osobowych także zamieścił na swoich stronach takie zalecenia, ale oczywiście musiały się one ograniczyć do dość ogólnikowych pomysłów – takich jak sprawdzenie czy oprogramowanie w komputerze pracownika jest zaktualizowane, czy pracownik używa programu antywirusowego itp. Niestety realia są takie, że przeciętny polski pracownik nie odczuwa istotnej potrzeby rozwijania kompetencji w zakresie bezpieczeństwa cyfrowego – polegając w tym zakresie na działach IT swoich pracodawców. Pracodawcy zebrali teraz żniwo swoich zaniedbań – unikania szkoleń z zakresu bezpiecznej informatyki. Znikoma znajomość narzędzi takich jak firewalle, antywirusy, narzędzia do szyfrowania plików czy podpisy elektroniczne zemściła się gdy pracownicy z dnia na dzień musieli pozostać w domach i przy użyciu tego, co mieli pod ręką musieli zacząć obsługiwać klientów, sięgać do firmowych baz danych czy pracować z poufnymi dokumentami.
Tym razem prawo stosunkowo szybko próbuje dogonić potrzeby realnego świata. Informatyzacja nabrała tempa i już po 3 miesiącach od początku izolacji było mniej więcej wiadomo jak ułożone zostaną relacje pracownika z pracodawcą w związku z bezpiecznym świadczeniem pomocy prawnej. Nie wdając się w szczegółowe oceny tego pomysłu wypada zauważyć, że po raz kolejny prawo staje się narzędziem, z którego jego użytkownik może korzystać w dość elastyczny sposób – dostosowany do swoich potrzeb i oczekiwań. Co prawda zasada ogólna jest taka, że środki niezbędne do wykonywania pracy zdalnej i związaną z tym logistykę zapewnia pracodawca, ale dopuszcza się przecież użycie „narzędzi lub materiałów niezapewnionych przez pracodawcę”. Problem jaki dotknie większość pracodawców polega na tym, że używanie „niezapewnionych przez pracodawcę” środków dopuszcza się jeśli „umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę”. Czyli ryzyko związane z wykazaniem, że pracodawca należycie ocenił takie możliwości poszanowania informacji poufnych – w całości spoczywa na pracodawcy. Podobnie jak w przypadku Rozporządzenia Ogólnego (RODO) to podmiot administrujący czynnościami ma sobie określić i stworzyć warunki do ochrony własnych interesów i bezpieczeństwa informacji. W przypadku wystąpienia szkody należy się liczyć także z tym, że to od pracodawcy będzie się oczekiwać wykazania, że kierował się racjonalnymi przesłankami, dobrze dobrał mierniki bezpieczeństwa i zrobił wszystko co w jego mocy aby do szkody nie mogło dojść przez ujawnienie informacji poufnych. Pracodawca sam ma ocenić czy praca zdalna jego pracownika nie narazi go na szkodę. Uwzględnić pewnie wypada przy tym wszystko to, co ma znaczenie dla konkretnych przypadków i inaczej oceniać ryzyka związane ze zdalną pracą sekretarki organizującej pracę szefa, przedstawiciela handlowego, który nagle całą bazę klientów firmy będzie mógł mieć w domu, prawnika mającego dostęp do poufnych informacji o polityce negocjacyjnej firmy czy wreszcie szefa kancelarii tajnej w przedsiębiorstwie realizującym kontrakty dla armii czy „służb”.
źródło 123rf.com
W praktyce zauważyć można, że łatwo sięga się po prostą i zupełnie niesprawdzoną metodę – oświadczenie złożone przez pracownika, że umie się obchodzić z komputerem i że obiecuje pracodawcy, że jego poufne dane nie wyciekną z jego komputera. Pominąć można od razu trudności z określeniem optymalnej i dopuszczalnej treści takiego oświadczenia. Nie ma większego znaczenia czy osobę kompetentną w rachunkowości można traktować na równi z informatykiem specjalizującym się w „cybersecurity” i czy można od obu takich osób oczekiwać tej samej staranności w wypełnianiu nowych dla nich obowiązków. Naprawdę nie ma to znaczenia gdyż i tak odebranie oświadczenia od przedstawiciela handlowego, księgowej czy informatyka przypomina trochę zasłonięcie oczu kierowcy przez pasażera rozpędzonego samochodu. Czy skoro szofer obiecał, że postara się nas dowieźć – to możemy po prostu spokojnie siedzieć z tyłu i cieszyć się podróżą?
Czasem może wystarczyć oświadczenie o najlepszych staraniach pracownika, czasami pomyśleć będzie trzeba o szkoleniu z jakąś formą sprawdzenia wiedzy (może certyfikatem). W przypadkach firm i instytucji związanych normami bezpieczeństwa praca zdalna na prywatnym komputerze nie będzie w ogóle możliwa. W innych zaś uda się objąć sprzęt i łącze internetowe pracownika życzliwym wsparciem firmowego informatyka (którego też wypada zobowiązać aby nie naruszał prywatności pracowników i grzebał w ich komputerach tylko na ich udokumentowny wniosek). Pracodawca może stworzyć regulamin pracy zdalnej, umieścić w nim nie tylko zasady ewidencjonowania wykonanych zadań, ale zasady logowania, korzystania z zasobów firmowych, łączenia z internetem i szyfrowania plików przesyłanych mailem. Racjonalny pracodawca przy okazji zadba o monitorowanie transferu danych przez pracowników – obserwując przy okazji czy baza klientów nie jest ściągana po nocach przez pracownika planującego przejście do konkurencji. Odpowiedzialny pracodawca uprzedzi też swoich pracowników, że takie monitorowanie będzie prowadził – bo prawnik takiego pracodawcy przypomni o takim obowiązku, który już jest w kodeksie pracy. Nie należy też się oszukiwać – pracę zdalną można traktować jak pewnego rodzaju przywilej. Jej wykonywanie często sprzyja pracownikowi a także pracodawcy. Godząc się na pracę zdalną pracownik może się czegoś nauczyć a następnie zdać krótki test a pracodawca oszczędzając na prądzie, sprzątaniu i służbowej kawie może przeznaczyć pewne środki na przeszkolenie pracowników czy wyposażenie ich w nowe narzędzia do pracy zdalnej. Sposób zorganizowania tego jak będzie to przebiegać w danym przypadku pozostawiono pracodawcom – wszystkim i każdemu. Nie ma sztywnej regulacji i jedynie poprawnej drogi do zgodności z tymi przepisami. Nie ma też raczej chyba lepszego rozwiązania ze względu na ograniczenia czasowe – zważywszy, że możliwy jest na jesieni powrót do izolacji społecznej a praca zdalna będzie dla wielu pracowników znów jedyną dostępną formą zatrudnienia.