Praca i wakacje w jednym. Jak pracownicy chronią dane osobowe podczas workation

Pogoda za oknem coraz bardziej nie zachwyca, dni są coraz krótsze i tylko z utęsknieniem można już tylko wspominać mijające lato. Dla niektórych droga tam i z powrotem do swojej pracy odbywa się już pod ciemnym niebem. Niejedna osoba patrzy już z utęsknieniem na billboardy biur turystycznych oferujących egzotykę, mimo że sezon urlopowy już dawno minął. I tak marząc o kolejnych, przyszłorocznych wakacjach, można natknąć się na oferty workation, które teraz wydają się jeszcze bardziej kuszące.

Publikacja: 25.11.2023 17:36

Praca i wakacje w jednym. Jak pracownicy chronią dane osobowe podczas workation

Foto: Adobe Stock

Jakie aspekty oprócz prawa pracy oraz ubezpieczeń należy uwzględnić podczas wykonywania pracy zdalnej za granicą

Czym jest workation…

Workation jest nowym trendem pojawiającym się wśród pracowników. Polega na wyjeździe lub nawet zmianie miejsca zamieszkania oraz wykonywaniu zdalnie pracy na rzecz dotychczasowego pracodawcy. Przepisy prawa pracy dotyczące pracy zdalnej nie zabraniają wykonywania pracy w Indiach, Australii czy nawet na Alasce – dzieli nas od tego tylko zgoda pracodawcy, jeżeli rodzaj wykonywanej przez nas pracy jest możliwy do świadczenia wyłącznie na odległość. Dodatkowym atutem tego rozwiązania jest to, że można podróżować do wymarzonych miejsc bez konieczności korzystania z urlopu. Biura podróży także podchwyciły ten trend i oferują hotele przystosowane do wykonywania pracy zdalnej, zapewniające szybki i stabilny internet, odpowiednio zorganizowane pokoje czy osobne workroomy. Czy wizja pracy na leżaku na dominikańskiej plaży bądź pod kocem w chatce w Alpach nie brzmi zachęcająco?

…i co na to kodeks pracy

Praca zdalna to liczne obowiązki dla pracodawcy. Pomijając kwestie prawa pracy, BHP, zagadnienia podatkowe, formalności związane z ubezpieczeniami społecznymi i sposobami wypłaty ekwiwalentu za pracę zdalną oraz prawem imigracyjnym (w tym formalności takie jak wiza czy pozwolenie na pracę), problemy mogą pojawić się w sferze ochrony danych osobowych. Należy pamiętać, że w większości przypadków to na pracodawcy jako administratorze lub procesorze danych osobowych ciąży obowiązek zapewnienia odpowiednich procedur bezpieczeństwa i ochrony danych osobowych zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych osobowych 2016/679. Kodeks pracy nakłada w przypadku wykonywania pracy zdalnej przez pracowników dodatkowy obowiązek w postaci wdrożenia na potrzeby pracy zdalnej procedur ochrony danych osobowych, których przestrzeganie przez pracowników pracodawca ma prawo kontrolować. Nie da się zaprzeczyć, że praca z hotelu na Mauritiusie może ograniczyć możliwości kontrolne pracodawcy, chociaż nie całkowicie wykluczyć, np. z uwagi na rozwiązania kontrolne zainstalowane na sprzęcie służbowym.

Czytaj więcej

"Dane osobowe? To mnie nie dotyczy" - Każdy powinien dbać o swoją prywatność

Gdzie warto pojechać

Wybierając kierunek workation, który nie wywoła natychmiastowego sprzeciwu pracodawcy, najlepiej wybrać państwo członkowskie Unii Europejskiej lub szerzej – Europejskiego Obszaru Gospodarczego (poza państwami członkowskimi UE to także Norwegia, Liechtenstein oraz Islandia). Z uwagi na obowiązywanie na tym obszarze przepisów RODO (lub uznanie przez UE, że przepisy tych państw dotyczące ochrony danych osobowych są zgodne z wymogami RODO) przyjmuje się, że zapewniają one odpowiednie bezpieczeństwo dla ochrony danych osobowych.

Jeśli państwa wchodzące w skład EOG nie wydają się zachęcające, to przy wyborze wymarzonej destynacji do wykonywania pracy zdalnej, można rozważyć państwa, wobec których Komisja Europejska stwierdziła, że zapewniają odpowiedni stopień ochrony, czyli wydała tzw. decyzję o adekwatności. Obecnie decyzje o adekwatności zostały wydane dla Andory, Argentyny, Wysp Owczych, Guernsey, Izraela, Wyspy Man, Japonii, Jersey, Nowej Zelandii, Korei Południowej (właśc. Republiki Korei), Szwajcarii, Wielkiej Brytanii, Urugwaju oraz Kanady. Warto jednak zwrócić uwagę, że lista państw adekwatnych jest na bieżąco aktualizowana.

Co na to RODO

Czy to wyliczenie państw wskazuje, że na gruncie RODO zabronione jest przetwarzanie danych osobowych poza terytorium UE/EOG oraz państw, wobec których została wydana tzw. decyzja o adekwatności (dla uproszczenia przyjmijmy: w państwach trzecich), jest zabronione? Nie, ale w takim przypadku (np. Kenii, Brazylii czy Indii) sytuacja jest bardziej skomplikowana. Transfer danych z EOG do państw trzecich wymaga bowiem spełnienia dodatkowych warunków (np. zawarcia umów zawierających standardowe klauzule ochrony danych, czyli postanowienia nakładające na podmiot trzeci wymagania dotyczące ochrony danych osobowych). Pracownik zatrudniony na podstawie umowy o pracę działa w ramach wewnętrznej organizacji pracodawcy i tym samym nie jest odbiorcą danych osobowych przekazywanych mu do przetwarzania (nie jest ani administratorem, ani procesorem w nomenklaturze RODO). Zatem sam fakt obecności pracownika w państwie trzecim nie powoduje konieczności zawarcia z nim dodatkowych umów dotyczących transferów danych, np. zawierających standardowe klauzule ochrony danych. Takie umowy są zawierane pomiędzy administratorami i procesorami.

Nie zmienia to jednak faktu, że w przypadku świadczenia przez pracownika pracy na odległość w państwie trzecim dojdzie raczej do transferu danych pracodawcy do państwa trzeciego, ale nie względu na samą jego obecność, lecz działania. Każde uzyskane połączenie z lokalną siecią, każdy wykonany telefon przy użyciu sygnału lokalnego operatora czy choćby użycie lokalnej wersji aplikacji, która jest powszechnie dostępna na terenie UE/EOG może wiązać się z uzyskaniem dostępu do przetwarzanych przez pracownika danych osobowych przez podmiot czy organizację państwa trzeciego. Skoro nie z pracownikiem, z kim zatem należałoby zawrzeć stosowne umowy?

Korzystanie z usług lokalnych dostawców

Łatwo sobie uświadomić, że do świadczenia pracy zdalnej konieczne jest połączenie z internetem. Nawet jeśli zdecydowalibyśmy się korzystać z internetu pochodzącego z wykupionego w Polsce pakietu danych komórkowych (chociaż w przypadku roamingu korzystanie z danych komórkowych w państwie trzecim może być bardzo kosztowne), to i tak zostalibyśmy zmuszeni do korzystania z usług lokalnego dostawcy usług telekomunikacyjnych, który zastępowałby naszą rodzimą sieć.

W celu ograniczenia kosztów większość skorzystałaby jednak z usług lokalnych dostawców internetu. I tutaj pojawia się główny problem. Nie można wykluczyć sytuacji, że dostawca usług internetowych (który właściwie jest pośrednikiem w dostępie do łącza) może mieć dostęp do przetwarzanych przez pracownika danych osobowych na sprzęcie służbowym. Mogą to być dane samego pracownika, dotyczące jego poruszania się w internecie (metadane), jak również dane osobowe osób trzecich, dla których przetwarzania niezbędne jest połączenie z siecią internet. Nie licząc przypadków nieuprawnionego pobierania danych, czasem prawo danego kraju może nakładać na dostawcę internetu obowiązek gromadzenia różnego rodzaju danych. Ten sam problem może pojawić się w przypadku usług telekomunikacyjnych, gdy dostawca takich usług, będzie nagrywał prowadzone przez nas rozmowy czy zapisywał wysyłane wiadomości. Z tego też względu, mimo że dane przekazywane pracownikowi będącemu na terytorium państwa trzeciego nie będą stanowić przekazywania danych osobowych do państwa trzeciego, to samo przetwarzanie danych osobowych przez pracownika na tym terytorium będzie przekazywaniem danych osobowych do państwa trzeciego, z uwagi na możliwość ich uzyskania przez dostawców usług łączności. W tej sytuacji pracodawca jako administrator danych osobowych byłby zmuszony do zawarcia z dostawcami tych usług odpowiednich umów powierzenia przetwarzania lub udostępniania danych osobowych zawierających standardowe klauzule umowne, co w większości przypadków może się okazać niemożliwe lub utrudnione, z uwagi na niechęć dostawców do zawierania takich umów, ich niewiedzę w tym zakresie, trudności komunikacyjne z dostawcami czy brak chęci nakładania na siebie dodatkowych obowiązków zarówno po stronie tych dostawców, jak i pracodawcy.

Czy VPN rozwiązuje problem

Osoby, które już pakują walizki z myślą o workation, pewnie po bardzo krótkim researchu stwierdzą, że przecież to żaden problem, skoro można stosować VPN (ang. Virtual Private Network). Sprawa nie jest jednak tak prosta, jak się wydaje. Niektóre kraje mocno ograniczają możliwość korzystania z VPN (jak np. Indie, Wenezuela, Egipt, Chiny i Rosja), a niektóre nawet go zakazują (jak Białoruś, Irak, Oman czy Korea Północna). Druga kwestia jest taka, że VPN VPN-owi nie jest równy. Usługi VPN polegają głownie na szyfrowaniu danych internetowych, tak aby dostawca internetu nie mógł ich odczytać. Bardziej zaawansowane usługi VPN pozwalają na tzw. maskowanie, które sprawia, że wysyłane dane wyglądają normalnie, a nie jak zaszyfrowane, dzięki czemu trudniej jest stwierdzić, że ktoś używa VPN. Trzeba przy tym pamiętać, że darmowe czy podejrzanie tanie usługi VPN mogą nieść za sobą bardzo duże ryzyko w postaci bardzo łatwego do odczytania szyfrowania czy zbierania i sprzedaży teoretycznie zaszyfrowanych danych przez dostawcę VPN, a nawet instalowania złośliwego oprogramowania. VPN spełniający odpowiednie wymagania dla bezpieczeństwa ochrony danych osobowych może się okazać dość sporym kosztem, którego pracodawca może nie chcieć pokrywać.

Ponadto należy zaznaczyć, że posługiwanie się VPN może momentami prowadzić do naruszenia licencji niektórych aplikacji czy programów z uwagi na ograniczony terytorialnie zakres ochrony prawa autorskich. To, że dany dostawca oprogramowania posiada prawo do dystrybucji danego rozwiązania na terenie Polski nie oznacza, że będzie posiadał je w innym kraju. Aby chronić się przed roszczeniami beneficjentów prawa autorskiego z danego kraju, dostawcy często wprowadzają tzw. geoblokadę czy rozwiązania pozwalające wykryć używanie VPN. Wybranie się do odległego kraju na workation i odkrycie na miejscu, że ma się zablokowane narzędzia do pracy z pewnością nie będzie miłym doświadczeniem.

Czytaj więcej

Najpopularniejsze imię wśród dzieci lub dorosłych. Otwarte dane to nowy trend

Co kraj, to obyczaj

Niestety, to jeszcze nie koniec ryzyka związanego z workation. Jak mówią, co kraj, to obyczaj, tak samo co kraj, to inne prawodawstwo administracyjne i karne. Państwa nieposiadające decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony nie zapewniają odpowiednich zabezpieczeń danych osobowych pracodawcy (a zatem jego pracowników, kontrahentów, klientów, dostawców i ich personelu), z czym wiązać mogą się konsekwencje w zakresie dostępu do nich organów władzy publicznej, a jakiejkolwiek formy inwigilacji każdy pracodawca chciałby uniknąć ze względu na wymogi ochrony danych osobowych, tajemnicę zawodową (adwokacką, bankową, lekarską) czy tajemnicę przedsiębiorstwa.

Tylko w Polsce lub UE

Kolejną kwestią, na którą pracodawca z pewnością zwróci uwagę, będą umowy z jego kontrahentami. Niektórzy klienci wskazują w umowach, że ich dane powierzone lub udostępnione naszemu pracodawcy w celu wykonania usługi, mogą być przetwarzane wyłącznie na terytorium danego państwa/państw. Zmiana w tym zakresie może wymagać nawet aneksowania umowy.

Jeżeli planujemy wyjechać do państwa trzeciego i pracodawca zawrze umowy powierzenia z lokalnymi dostawcami usług, które są nam niezbędne do wykonywania obowiązków, to będzie musiał jeszcze poinformować o transferze danych swoich kontrahentów i umożliwić im zgłoszenie sprzeciwu wobec transferu lub nawet uzyskać ich zgodę.

Szansa na workation bliżej czy dalej

Nie trzeba jednak rozpakowywać walizki i spoglądać ze smutkiem na szarą aurę za oknem, porzucając nadzieję na pracę zdalną przy powiewie ciepłego wiatru na balkonie z widokiem na morze. Wystarczające jest wybranie miejsca, które nie będzie się wiązało z podwyższonym ryzykiem dla ochrony danych osobowych oraz z dodatkowymi obowiązkami pracodawcy w zakresie transferu danych do państw trzecich. Mimo że workation jest zależne od dobrej woli pracodawcy oraz rodzaju pracy, który umożliwia wykonywanie jej wyłącznie lub przez dłuższy czas zdalnie, to zawsze warto mieć w zanadrzu argumenty, by pracodawcę przekonać do takiego rozwiązania.

Na pewno łatwiej będzie pracodawcy zezwolić na wyjazd pracownika do państwa EOG: nie jest to państwo trzecie w rozumieniu RODO, więc przepisy dotyczące danych osobowych zapewniają właściwą ochronę. Istnieje też większa szansa, że licencja na nabywane przez pracodawcę oprogramowanie niezbędne do świadczenia usług, będzie obejmować nie tylko Polskę, lecz również obszar UE lub EOG, ale niestety niekoniecznie Argentyny czy Kanady. Sama decyzja o adekwatności może zatem nie wystarczyć.

Jakie aspekty oprócz prawa pracy oraz ubezpieczeń należy uwzględnić podczas wykonywania pracy zdalnej za granicą

Czym jest workation…

Pozostało 99% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Spadki i darowizny
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Prawo w Firmie
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Podatki
Składka zdrowotna na ryczałcie bez ograniczeń. Rząd zdradza szczegóły
Ustrój i kompetencje
Kiedy można wyłączyć grunty z produkcji rolnej
Sądy i trybunały
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara