I. Законови задължения

1. В Кодекса на труда ("КТ") е изрично уредено, че при работа от вкъщи работодателят осигурява за своя сметка:

• защита на данните (чл. 107и, ал. 3, т. 6 от КТ);

• информация и изисквания за работата с оборудването и поддържането му в изправност, както и за законовите изисквания и правила, в т.ч. такива на предприятието в областта на защитата на данните, които ще се използват по време на работата от разстояние (чл. 107и, ал. 3, т. 6 от КТ);

• програмно (софтуерно) осигуряване (чл. 107и, ал. 3, т. 2 от КТ) и техническа профилактика и поддържане (чл. 107и, ал. 3, т. 3 от КТ).

2. Законът за защита на личните данни ("ЗЗЛД") изисква работодателят, в качеството си на администратор на лични данни, да приеме правила и процедури при:

• използване на система за докладване на нарушения;

• ограничения при използване на вътрешнофирмени ресурси;

• въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина.

Въведените правила и процедури следва да отчитат предмета на дейност на работодателя и естеството на работа (вкл. отдалеченият й характер), като не може да ограничават правата на субектите на данните по Регламент (ЕС) 2016/679 (GDPR) и ЗЗЛД.

Като работодател сте длъжен да уведомите служителите за тези правила и процедури и да подсигурите, че същите са се запознали надлежно със съдържанието им.

За изпълнение на горепосочените задължения по КТ се следи от Инспекция по труда. От Инспекцията бе обявено, че същата предстои да извършва проверки и в домовете на служители, работещи отдалечено. Комисията за защита на личните данни също може да извърши проверка относно спазването на описаните задължения по ЗЗЛД.

II. Мерки за спазване на законовите изисквания

Възможни конкретни действия, които може да предприемете, за да избегнете санкции и да отговорите на законовите изисквания, са:

1. Осигуряване на технически мерки за защита на личните данни

В качеството Ви на администратор на лични данни, Вие сте задължен да предприемете необходимите технически мерки за сигурност (независимо от къде работят Вашите служители). Мерките при отдалечена работа следва да са не по-малко надеждни от мерките, които се предприемат при работа в офис.

По отношение на работещите от вкъщи служители и техните устройства, могат да бъдат предприети следните специфични действия:

• Осигуряване на система за докладване на нарушения (съгласно чл. 25и от ЗЗЛД);

• осигуряване на качествени антивирусни програми на компютрите, на които служителите работят;

• внедряване на решения, генериращи еднократни пароли при включване на компютър (вкл. т.нар. password managers);

• прилагане на многофакторна идентификация и други методи за контрол на достъпа;

• осигуряване на мрежа с отдалечен достъп до VPN;

• при достъп до общ служебен сървър – достъпването му само с парола;

• осигуряване на back-up на данните, достъпни за работещите от вкъщи служители;

• използване на надежден интернет доставчик;

• други мерки, съобразно добрите практики в областта.

Ефективен метод би бил осигуряване на посещение от IT специалист в домовете на работещите от вкъщи служители, който да анализира мерките на защита и при пропуски да даде конкретни препоръки, които да изпълните. Това е съвместимо и със задължението на работодателя за техническа профилактика и поддържане на устройствата и защита на данните (чл. 107и от КТ).

2. Вътрешни актове във връзка със защитата на лични данни

Като администратор на лични данни, Вие сте длъжен да утвърдите вътрешни процедури и правила във връзка със защитата на лични данни (независимо дали служителите Ви работят от вкъщи или не).

За да отговорите на законовите изисквания обаче, при работа от вкъщи следва това да бъде надлежно отчетено и съобразено в съдържанието им. Препоръчително е:

• Приемане на политика за сигурност при работа с мобилни устройства;

• Посочване на задължение да не се сместват служебни и лични регистри с данни – това е особено важно при работа от лични устройства на служителите и е в изпълнение на изискването на ЗЗЛД за въвеждане на ограничения в използване на вътрешнофирмени ресурси. За по-голяма сигурност е препоръчително предоставяне на служебни устройства (с вече инсталирани и предприети мерки за защита на тях). Отбелязваме, че това дали служителят ще работи на лично устройство или такова ще му бъде предоставено от работодателя следва да бъде изрично уредено между тях;

• Посочване на задължение обработваните лични данни да не стават достояние до семейството на служителя и други лица, намиращи се в дома му;

• Забрана за работа от чужд wi-fi (на заведения и други обществени места);

• Посочване изрично, че служителят следва да осигури достъп до работното си помещение (намиращо се в дома му) на Инспекция по труда, Комисия за защита на личните данни и други органи, извършващи проверка на работодателя;

• Наред с това, отдалечената работа (при обработка на лични данни) може да бъде отчетена като риск в Оценка на въздействието или друг анализ, в случай че имате законово задължение да извършите такъв.

Работата от вкъщи може да се засегне в други относими вътрешни документи във връзка със защита на личните данни и трудовата дисциплина. Препоръчително е при въвеждане на възможността за отдалечена работа да се ревизират всички вътрешни правила и процедури и да се нанесат съответни добавки и редакции, отчитащи спецификите на работенето от вкъщи.

3. Провеждане на обучение на служителите

Това задължение също следва да бъде изпълнено от Вас, независимо дали служителите работят от вкъщи или не. Законът обаче Ви задължава при отдалечена работа обучението да е съобразено с това и да обхване изброените в Раздел I задължения.

Следва предварително да осигурите и писмена информация на служителя за отговорността и санкциите при неспазване на установените правила и изисквания, в т.ч. за защита на служебните данни - неразделна част от индивидуалния трудов договор (чл. 107и от КТ). Препоръчително е тази материя също да бъде включена в обучението.

Имайте предвид и че за да ангажирате дисциплинарна отговорност на служителите за нарушение, свързано със сигурността на личните данни, съгласно съдебната практика:

• същите следва да са преминали обучение за обработка на лични данни;

• задълженията за обработка на лични данни да са им изрично вменени – в длъжностната характеристика, Правилника за вътрешен трудов ред или друг акт, с който са запознати (писмената информация по чл. 107и от КТ);

• разбира се, нарушението не следва да бъде допуснато вследствие (единствено) на пропуски на работодателя да осигури необходимите технически и организационни мерки за защита на личните данни.

Работодателят може да осъществи мониторинг на действията на служителите, работещи отдалечено (вкл. по отношение на спазване на изискванията за защита на личните данни). Как този мониторинг да бъде извършван законосъобразно ще бъде предмет на следваща статия.

Този материал е изготвен с цел да информира, не претендира за изчерпателност и не представлява правен съвет.

Работим върху сборник, съдържащ детайлен поглед над отговорността на работодателите и служителите във връзка със защитата на лични данни. Ако конкретен аспект на темата представлява особен интерес за Вас, то можете да ни пишете на office@kdbmlaw.com и ще се постараем да го включим.