Procedura bezpieczeństwa pracy zdalnej
- Prawo
praca
- Kategoria
regulamin
- Klucze
bezpieczeństwo danych osobowych, obowiązki pracowników, praca zdalna, procedury, zakończenie pracy zdalnej, zasady bezpieczeństwa
Procedura bezpieczeństwa pracy zdalnej ma na celu zapewnienie, że pracownicy wykonujący swoje obowiązki zdalnie są świadomi wszelkich zagrożeń związanych z tą formą pracy oraz znają zasady postępowania w sytuacjach awaryjnych. Dokument określa procedury związane z ochroną danych, bezpiecznym korzystaniem z systemów informatycznych oraz komunikacją z zespołem i przełożonymi. Pracodawca odpowiedzialny jest za dostarczenie niezbędnych narzędzi oraz szkoleń z zakresu bezpieczeństwa pracy zdalnej.
Procedura bezpieczeństwa informacji i ochrony danych osobowych
§ 1. Wstęp
1. Stosownie do treści art. 223 KP praca może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod ul. Słoneczna 12, 00-001 Warszawa pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość (dalej: praca zdalna).
2. Niniejsza procedura ochrony danych osobowych (dalej: Procedura) obejmuje pracowników, wykonujących pracę zdalną w Firma Przykładowa Sp. z o.o. (dalej: Organizacja).
3. Procedura obejmuje osoby zatrudnione w Organizacji na podstawie umowy o pracę (dalej: pracownicy) niezależnie od tego, czy praca zdalna jest wykonywana na wniosek Pracownika czy Organizacji (lub z jej polecenia).
4. Ilekroć w niniejszej Procedurze jest mowa o kierownictwie, należy przez to rozumieć osoby działające w imieniu Organizacji (np. zarząd lub w przypadku jednoosobowego przedsiębiorcy – osobę prowadzącą działalność).
5. Procedura obejmuje także pracę zdalną okazjonalną (art. 191a KP).
6. Za przegląd i aktualizację niniejszej Procedury odpowiada Anna Kowalska. Przeglądu Procedury dokonuje się co najmniej raz w roku kalendarzowym. W przypadku aktualizacji Procedury należy uzyskać potwierdzenie zapoznania się z nową wersją Procedury zgodnie z § 2 ust. 1 lit. a Procedury. Za komunikację nowej wersji Procedury odpowiada Jan Nowak.
7. Nowa wersja Procedury wchodzi w życie po upływie 14 dni od jej zatwierdzenia przez kierownictwo Organizacji. Następnie należy zapoznać pracowników oraz uzyskać od nich oświadczenie, o którym mowa w § 2 ust. 1 lit. a maksymalnie w ciągu 30 dni.
8. Treść niniejszej Procedury jest konsultowana z inspektorem ochrony danych.
9. Pracownik jest zobowiązany informować, gdy warunki pracy zdalnej mogą naruszać wymogi (w tym bezpieczeństwa fizycznego) zawarte w niniejszej Procedurze.
§ 2. Rozpoczęcie pracy zdalnej
1. Przed rozpoczęciem pracy zdalnej pracownik:
1) potwierdza zapoznanie się z treścią niniejszej Procedury i składa oświadczenie, o którym mowa w załączniku Nr 1 do Procedury;
2) uzyskuje upoważnienie do przetwarzania danych osobowych zgodnie z odrębną procedurą onboardingu Pracownika;
3) składa oświadczenie o zachowaniu poufności zgodnie z odrębną procedurą onboardingu Pracownika;
4) potwierdza zapoznanie się z informacją dotyczącą przetwarzania jego danych osobowych w toku pracy zdalnej stosownie do treści załącznika Nr 2 Procedury;
5) odbywa szkolenie wstępne w zakresie pracy zdalnej zgodnie z § 3 Procedury, które jest dokumentowane w sposób wskazany w § 3 Procedury.
2. Oświadczenie przechowywane jest przez Annę Kowalską (kierownika działu HR) w aktach osobowych, przez okres 50 lat prowadzenia akt dla danego pracownika przewidziany przepisami prawa pracy.
3. Kierownik działu HR prowadzi listę pracowników pracujących zdalnie.
4. Kierownik działu HR przekazuje informację o potrzebie przeprowadzenia szkolenia wstępnego do inspektora ochrony danych.
§ 3. Szkolenia
1. Szkolenie dotyczące ochrony danych osobowych w zakresie pracy zdalnej może mieć charakter wstępny i okresowy.
2. O konieczności przeprowadzenia szkolenia wstępnego (przed rozpoczęciem pracy zdalnej) kierownik działu kadr informuje inspektora ochrony danych.
3. Szkolenie przeprowadza inspektor ochrony danych na wniosek kierownika działu kadr.
4. Szkolenie jest dokumentowane w formie certyfikatu przechowywanego przez kierownika działu kadr.
5. Kierownictwo decyduje, które grupy pracowników zostaną objęte w danym roku kalendarzowym szkoleniem okresowym. Uzasadnienie wskazanego wyboru jest dokumentowane. Każdy pracownik pracujący zdalnie powinien co najmniej raz na 2 lata odbyć szkolenie okresowe.
§ 4. Zarządzanie narzędziami pracy zdalnej
1. Kierownik działu IT prowadzi wykaz sprzętu (np. laptopy, smartfony) wydanego pracownikom pracującym zdalnie.
2. Kierownik działu IT zapewnia, żeby sprzęt wydawany pracownikowi został wcześniej odpowiednio skonfigurowany, w szczególności sprzęt ten powinien zostać zabezpieczony przed ujawnieniem lub utratą, zgodnie z Instrukcją zarządzania systemami informatycznymi, innymi dokumentami dotyczącymi bezpieczeństwa sprzętu przyjętymi w Organizacji.
3. Kierownik działu IT przygotuje dla pracowników pracujących zdalnie, a także pracowników działu IT, którzypracownikowi narzędzi pracy, w tym urządzeń technicznych. go obsługują, instrukcję dotyczącą instalacji, inwentaryzacji, konserwacji, aktualizacji oprogramowania i serwisu powierzonych
4. Pracownik jest zobowiązany stosować się do zakomunikowanych zasad dotyczących instalacji, inwentaryzacji, konserwacji, aktualizacji oprogramowania i serwisu powierzonych pracownikowi narzędzi pracy, w tym urządzeń technicznych.
5. Organizacja publikuje listę osób uprawnionych do wsparcia pracownika (w zakresie instalacji, inwentaryzacji, konserwacji, aktualizacji oprogramowania i serwisu powierzonych pracownikowi narzędzi pracy, w tym urządzeń technicznych) w sposób minimalizujący ryzyko podszycia się pod te osoby. Pracownik może się komunikować wyłącznie ze wskazanymi osobami.
§ 5. Bezpieczeństwo narzędzi pracy zdalnej
1. Pracownicy są zobowiązani do zapewnienia bezpieczeństwa sprzętu służbowego, danych do logowania (login i hasło) oraz przechowywanych na nim informacji, w tym danych osobowych, w szczególności poprzez:
1) niepozostawianie wydanego sprzętu służbowego bez nadzoru;
2) niezapisywania nigdzie danych do logowania się (loginu i hasła);
3) korzystanie ze sprzętu w sposób bezpieczny, w szczególności niedozwolone jest korzystanie z publicznych sieci bezprzewodowych;
4) korzystania wyłącznie z szyfrowanych pendrive’ów, wydanych im zgodnie z § 4 ust. 1 powyżej;
5) nieudostępniania sprzętu osobom postronnym do korzystania oraz niekorzystania ze sprzętu do celów prywatnych.
2. Pracownik jest zobowiązany właściwie eksploatować i dbać o powierzony mu sprzęt oraz utrzymać go w stanie nie gorszym, niż wynika to ze zwykłego zużycia eksploatacyjnego. Zabrania się samodzielnego otwierania obudowy komputera oraz innych części (np. monitorów, drukarek, myszy).
3. Niedozwolone jest gromadzenie, instalowanie i użytkowanie oprogramowania, plików oraz innych informacji pochodzących z nielegalnego lub niewiadomego źródła oraz będących w sprzeczności z przepisami prawa, przyjętymi w Organizacji procedurami oraz niezwiązanych z wykonywaniem obowiązków pracownika w Organizacji.
4. Zakazane jest drukowanie dokumentów zawierających dane osobowe lub tajemnice przedsiębiorstwa.
5. Wszystkie dane służbowe (pliki, dokumenty, notatki wytworzone, modyfikowane lub otrz
Procedura bezpieczeństwa pracy zdalnej stanowi istotny element w organizacji procesów zdalnej pracy. Regularne przestrzeganie wytycznych zawartych w dokumencie może zminimalizować ryzyko wystąpienia incydentów bezpieczeństwa oraz zagrożeń dla poufności danych. Pracownicy, którzy świadomie i zgodnie z zasadami korzystają z instrukcji zawartych w procedurze, przyczyniają się do skutecznego i bezpiecznego funkcjonowania przedsiębiorstwa.