Telepraca / homeoffice vs regulacje i standardy

Jak to się stało?

Wraz z wprowadzeniem łącz szerokopasmowych i rozwojem sieci komórkowych pojawił się nowy sposób świadczenia pracy przez pracowników.

Telepraca (praca zdalna) – forma organizacji pracy polegająca na świadczeniu pracy poza jednostką organizacyjną pracodawcy za pomocą środków komunikacji elektronicznej.

https://pl.wikipedia.org/wiki/Telepraca

Początkowo nieśmiało (łącza były drogie, a dostępność do infrastruktury IT ograniczona (np. do dobierania emaili) jednak z biegiem czasu model telepracy rozwijał się coraz bardziej dynamicznie (ogólnie dostępna sieć szerokopasmowa, LTE/HSDPA/HSPA, pojawienie się komunikatorów, przekazu głosowego) aż osiągnął możliwości na równi z modelem „zwykłego pracownika” (przekaz audio/video, dostęp do scentralizowanej infrastruktury IT u pracodawcy lub w chmurze).

Co na to Kodeks Pracy….

Podstawą prawną są zapisy rozdziału IIb – zatrudnianie pracowników w formie telepracy (art.67 ust 5 do art.67 ust 17) . Zgodnie z tymi zapisami telepraca to rodzaj pracy regularnie wykonywane poza zakładem pracy wykorzystaniem środków komunikacji elektronicznej w rozumieniu przepisów o świadczeniu usług drogą elektroniczną.

Warunki stosowania telepracy przez pracodawcę wymagają porozumienia z funkcjonującymi w zakładach związkami zawodowymi, lub w przypadku ich braku z przedstawicielami pracowników a następnie ujęcia ich w regulaminie.

Oczywiście z formalnego punktu widzenia uzgodnienia co do telepracy wymagają potwierdzenia w zapisach umowy o pracę (przy zawieraniu umowy o pracę lub w trakcie zatrudnienia).

Kodeks pracy stawia szereg wymagań w stosunku do pracodawcy i telepracownika. Z punktu widzenia bezpieczeństwa informacji warto wspomnieć iż:

Pracodawca:

  • zobowiązany jest do dostarczenia sprzętu niezbędnego do wykonywania telepracy
  • ubezpiecza ww sprzęt
  • zapewnia pomoc techniczną i szkolenia w zakresie obsługi sprzętu
  • może (w ramach odrębnej umowy) określić zasady wykorzystania sprzętu stanowiącego własność telepracownika (#BYOD)
  • może (w ramach odrębnej umowy) określić zasady kontroli miejsca pracy telepracownika
  • określa zasady ochrony danych przekazywanych telepracownikowi (np. w formie szkolenia)
  • ma prawo do przeprowadzania kontroli w miejscu wykonywani pracy

Telepracownik:

  • potwierdza na piśmie zapoznaniem się z zasadami ochrony danych przekazanych przez pracodawcę
  • zobowiązany jest do stosowania zasad ochrony danych i korzystania ze sprzętu zgodnie z zatwierdzonym regulaminem

…, a co na to standard ISO 27001?

Jednym z zabezpieczeń wskazanych w normie #ISO27001 jest punkt  z Aneksu A (A.6.2.2 Telepraca) mówiący o wdrożeniu polityki i zabezpieczeń wspierających ją w celu ochrony informacji przetwarzanych w miejscach telepracy (przetwarzanie ujmuje pobieranie, przesyłanie, przechowywanie).

Jak widać, nie stoi to w sprzeczności z zapisami Kodeksu Pracy, co więcej wypracowany regulamin telepracy i zapisy wymowy mogą spełnić wymagania punktu A6.2.2.
Norma #ISO27001 nie wskazuje sposobu implementacji tego zabezpieczenia, jedynie określa wymaganie.

Więcej wskazówek ujęto w standardzie #ISO27002 „Praktyczne zasady bezpieczeństwa informacji”(pkt 6.2.2 Telepraca). #ISO27002 zaleca rozważenie m.in.:

  • zapewnienie sprzętu do stosowania telepracy lub korzystanie z prywatnego sprzętu pod nadzorem organizacji (#BYOD)
  • określenie zasad klasyfikacji informacji czy systemów do których telepracownik będzie miał dostęp
  • zapewnienie sprzętu do telekomunikacji praz metod zabezpieczenia dostępu zdalnego
  • bezpieczeństwo fizyczne
  • zasady i wytyczne dotyczące dostępu osób trzecich do urządzeń i informacji
  • zapewnienie pomocy technicznej
  • zapewnienie ubezpieczenia
  • stosowanie procedur dot. kopii zapasowych i ciągłości działania
  • prowadzenie audytów i monitorowanie bezpieczeństwa środowiska telepracy
  • odbierania uprawnień i praw dostępu oraz zwrot sprzętu przy zakończeniu telepracy

Trzeba jednak pamiętać że standard #ISO27002 nie stanowi wymagań, tylko poradnik wdrożenia możliwych zabezpieczeń.

Czym się różni telepraca od home office?

W odróżnieniu od telepracy, home office inicjowany jest przez pracownika (wniosek o home office) umożliwiając mu świadczenie pracy w trybie zdalnym, w dogodnym miejscu i czasie. Home office ma nieregularny charakter pracy Pracodawca może (nie musi) zgodzić się na taki tryb pracy.

Ponieważ ta forma pracy nie jest doprecyzowana przez Kodeks Pracy – pozostaje to w gestii uregulowań pracodawcy.  Warto tu skorzystać z wypracowanych rozwiązań w ramach KP czy wskazówek #ISO27002 (np. regulamin pracy w trybie home office, wniosek/umowa o home-office wraz z zasadami bezpiecznego przetwarzania danych).

Telepracownik, czy podwykonawca?

Jak już wspomniano telepraca i telepracownik to pojęcia ujęte w Kodeksie Pracy. Zastosowanie więc ma w przypadku zawarcia umowy o pracę pomiędzy pracodawcą i pracownikiem. A co jeśli mamy do czynienia z osobami prowadzącymi działalność gospodarczą?

Nie będą tu miały zastosowania zapisy Kodeksu Pracy, lecz zapisy umowy pomiędzy stronami – umowa o świadczenie usług, umowa o zachowaniu poufności czy umowa o powierzeniu danych osobowych do przetworzenia.

Warto też wspomnieć że z punktu wymagań normy #ISO27001  zastosowanie tu będą miały punkty z obszaru A.15 Relacje z dostawcami (m.in. polityki bezpieczeństwa w relacjach z dostawcami, uwzględnianie bezpieczeństwa w porozumieniach z dostawcami, monitorowanie i przegląd usług świadczonych przez dostawców, itd).

Ale to … już całkiem inna historia.

About the author: admin