Załącznik do Zarządzenia .......... Procedura ochrony danych osobowych w czasie pracy zdalnej § 1 Zasady ogólne 1. Ilekroć w dalszych przepisach jest mowa o „pracodawcy”, należy przez to rozumieć dyrektora ................................................................................................................................ (nazwa placówki) 2. Ilekroć w dalszych przepisach jest mowa o naruszeniu ochrony danych osobowych, należy przez to rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 3. Praca może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika. 4. Uzgodnienie między stronami umowy o pracę dotyczące wykonywania pracy zdalnej przez pracownika może nastąpić: 1) przy zawieraniu umowy o pracę albo 2) w trakcie zatrudnienia. 5. Uzgodnienie, o którym mowa w ust. 4, może być dokonane z inicjatywy pracodawcy albo na wniosek pracownika złożony w postaci papierowej lub elektronicznej. 6. Praca zdalna może być wykonywana na polecenie pracodawcy: 1) w okresie obowiązywania stanu nadzwyczajnego, stanu zagrożenia epidemicznego albo stanu epidemii oraz w okresie trzech miesięcy po ich odwołaniu lub 2) w okresie, w którym zapewnienie przez pracodawcę bezpiecznych i higienicznych warunków pracy w dotychczasowym miejscu pracy pracownika nie jest czasowo możliwe z powodu działania siły wyższej – jeżeli pracownik złoży bezpośrednio przed wydaniem polecenia oświadczenie w postaci papierowej lub elektronicznej, że posiada warunki lokalowe i techniczne do wykonywania pracy zdalnej. 7. W przypadku zmiany warunków lokalowych i technicznych uniemożliwiającej wykonywanie pracy zdalnej pracownik informuje o tym niezwłocznie pracodawcę. W takim przypadku pracodawca niezwłocznie cofa polecenie wykonywania pracy zdalnej. 8. Pracodawca jest zobowiązany: 1) zapewnić pracownikowi wykonującemu pracę zdalną materiały i narzędzia pracy, w tym urządzenia techniczne, niezbędne do wykonywania pracy zdalnej, 2) zapewnić pracownikowi wykonującemu pracę zdalną instalację, serwis, konserwację narzędzi pracy, w tym urządzeń technicznych, niezbędnych do wykonywania pracy zdalnej lub pokryć niezbędne koszty związane z instalacją, serwisem, eksploatacją i konserwacją narzędzi pracy, w tym urządzeń technicznych, niezbędnych do wykonywania pracy zdalnej, a także pokryć koszty energii elektrycznej oraz usług telekomunikacyjnych niezbędnych do wykonywania pracy zdalnej, 3) pokryć inne koszty bezpośrednio związane z wykonywaniem pracy zdalnej, 4) zapewnić pracownikowi wykonującemu pracę zdalną szkolenia i pomoc techniczną niezbędne do wykonywania tej pracy. 9. Strony mogą ustalić zasady wykorzystywania przez pracownika wykonującego pracę zdalną materiałów i narzędzi pracy, w tym urządzeń technicznych, niezbędnych do wykonywania pracy zdalnej, niezapewnionych przez pracodawcę. Materiały te i środki techniczne muszą zapewniać ochronę danych osobowych, o której mowa w niniejszej procedurze. 10. W przypadku korzystania podczas pracy ze sprzętu o którym mowa w ust. 9, pracownik dba o to, aby posiadany system operacyjny był aktualny, w szczególności aby zostały zainstalowane wszelkie aktualizacje dotyczące bezpieczeństwa oraz program antywirusowy. 11. W czasie pracy zdalnej wymagane jest korzystanie wyłącznie z zaufanego połączenia internetowego. § 2 Dokumentacja papierowa 1. Dokumentacja papierowa zawierająca dane osobowe udostępniana jest pracownikowi w zakresie niezbędnym do realizacji obowiązków służbowych podczas pracy zdalnej, za pisemną zgodą pracodawcy. 2. Po otrzymaniu zgody na piśmie pracownik sporządza kopie dokumentów niezbędnych do realizacji jego obowiązków służbowych podczas pracy zdalnej. Po wykonaniu kopii dokumentów pracownik przygotowuje zestawienie określające, jakie dokumenty, w jakiej liczbie zostały skopiowane, następnie przekazuje je pracodawcy. 3. Zabronione jest zabieranie poza siedzibę pracodawcy oryginałów dokumentów. Podczas przenoszenia kopii dokumentów pracownik zobowiązany jest do odpowiedniego ich zabezpieczenia i przenoszenia w taki sposób, aby były niewidoczne dla osób trzecich, np. w teczce wykonanej z nieprzezroczystego materiału. 4. Przechowywanie kopii dokumentów papierowych zawierających dane osobowe jest dopuszczalne wyłącznie przez czas niezbędny do wykonania danego zadania i po jego upływie powinny one zostać zwrócone do siedziby pracodawcy. § 3 Dokumentacja elektroniczna 1. Podczas pracy zdalnej dopuszczalne jest wykorzystywanie wyłącznie oprogramowania udostępnionego lub zaaprobowanego przez pracodawcę. 2. Hasła dostępowe do stron wykorzystywanych w pracy zdalnej, w szczególności do stron udostępnionych przez pracodawcę, w tym jako kanały komunikacji elektronicznej, nie mogą być zapisywane w przeglądarkach internetowych. Pracownik dba o bezpieczeństwo powierzonego hasła dostępowego. 3. Zarówno w przypadku wykorzystania w pracy zdalnej sprzętu należącego do pracownika, o którym mowa w § 1 ust. 9, jak i wykorzystania sprzętu udostępnionego przez pracodawcę, instalowanie jakiegokolwiek oprogramowania niewykorzystywanego w trakcie pracy zdalnej jest możliwe wyłącznie za zgodą pracodawcy. 4. Pracownik nie może przechowywać żadnych danych ani informacji na innych nośnikach niż udostępnione mu przez pracodawcę. 5. Zabronione jest używanie prywatnych kont pocztowych do przetwarzania danych osobowych udostępnionych przez pracodawcę. Sprawy służbowe mogą być załatwiane wyłącznie przy użyciu laptopa służbowego oraz telefonu służbowego. 6. Pracownik odpowiada za ochronę powierzonego mu sprzętu służbowego, nie może korzystać z laptopa służbowego w miejscach publicznych. 7. W czasie pracy zdalnej z wykorzystaniem komputera pracownik nie korzysta z treści naruszających prawa autorskie osób trzecich. § 4 Naruszenie ochrony danych osobowych 1. W przypadku podejrzenia naruszenia lub naruszenia ochrony danych osobowych udostępnionych pracownikowi w trakcie pracy zdalnej pracownik niezwłocznie informuje o zaistniałym zdarzeniu pracodawcę. 2. Skutkiem naruszenia bezpieczeństwa, które uznawane jest za naruszenie danych osobowych, może być: 1) przypadkowe lub niezgodne z prawem zniszczenie danych, 2) przypadkowa lub niezgodna z prawem utrata danych, 3) przypadkowe lub niezgodne z prawem zmodyfikowanie danych, 4) nieuprawnione ujawnienie danych, 5) nieuprawniony dostęp do danych. 3. W przypadku naruszenia ochrony danych osobowych, pracodawca bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. 4. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. § 5 Postanowienia końcowe 1. Pracownik wykonujący pracę zdalną i pracodawca przekazują informacje niezbędne do wzajemnego porozumiewania się za pomocą środków bezpośredniego porozumiewania się na odległość lub w inny sposób uzgodniony z pracodawcą. 2. Pracodawca ma prawo przeprowadzać kontrolę wykonywania pracy zdalnej przez pracownika, kontrolę w zakresie bezpieczeństwa i higieny pracy lub kontrolę przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych. 3. Pracodawca umożliwia pracownikowi wykonującemu pracę zdalną przebywanie na terenie zakładu pracy, kontaktowanie się z innymi pracownikami oraz korzystanie z pomieszczeń i urządzeń pracodawcy, zakładowych obiektów socjalnych i prowadzonej działalności socjalnej – na zasadach przyjętych dla ogółu pracowników.