Jeszcze niedawno wydawało się, że księgowa zazwyczaj pracuje stacjonarnie. Jednak przez pandemię w niektórych jednostkach zdalny model pracy stał się powszechną praktyką. I nawet po rozluźnieniu restrykcji nadal jest stosowany.
Dział księgowości to komórka organizacyjna, której pracownicy z powodzeniem mogą wykonywać obowiązki poza siedzibą firmy. Pandemia spowodowała, że również niektóre biura rachunkowe, szczególnie te duże, przeszły na pracę zdalną. Ten model pracy księgowości w wielu przypadkach się sprawdził. A teraz będzie mógł być kontynuowany, gdyż przy okazji nowelizacji ustawy o delegowaniu pracowników w ramach świadczenia usług oraz niektórych innych ustaw zdecydowano się na przedłużenie okresu stosowania home office. I tak zgodnie z nowymi regulacjami praca zdalna może być świadczona w okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii (ogłoszonego z powodu COVID-19) oraz w okresie trzech miesięcy po ich odwołaniu. Nie zdecydowano się jednak na wprowadzenie stosownych rozwiązań w prawie pracy. Oznacza to, że praca zdalna nie może być zlecana pracownikom bezterminowo. To jednak może się jeszcze zmienić, bo ustawodawca planuje wprowadzić tę formę wykonywania zadań przez pracowników do kodeksu pracy. A skoro praca zdalna może być nadal kontynuowana, to warto zastanowić się nad odpowiednimi rozwiązaniami.

Narzędzia informatyczne i tradycyjne

Z pewnością ułatwieniem w tym zakresie jest postępująca cyfryzacja księgowości. Coraz więcej podmiotów korzysta bowiem z elektronicznego obiegu dokumentów, takich jak e-faktury, zamówienia, umowy czy dokumenty bankowe. Pracę z domu w dużej mierze ułatwia również podpis elektroniczny i możliwość przechowywania dokumentacji w tzw. chmurze. Jednak korzystając z tych rozwiązań, trzeba używać tylko zaufanego dostępu do sieci lub chmury oraz przestrzegać wszelkich zasad i procedur organizacyjnych dotyczących logowania i udostępniania danych. Natomiast jeżeli praca nie jest wykonywana w chmurze lub pracownik nie ma dostępu do sieci, to trzeba zadbać, aby przechowywane dane były odpowiednio archiwizowane. Jeśli jednostka zdecyduje się przechowywać je np. na urządzeniach przenośnych (np. pamięć USB), to muszą być one bezwzględnie szyfrowane i chronione hasłem, by zapewnić odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
Kolejnym ułatwieniem jest możliwość używania programu, który korzysta z tzw. zdalnego pulpitu. Dzięki temu pracując z domu, dana osoba ma dostęp do wszystkich programów i plików, jakie są na komputerze służbowym stojącym w firmie. Coraz częściej producenci programów oferują też opcję programów księgowych online. Trzeba wtedy zweryfikować, czy dane osobowe są bezpieczne. Przykładowo jedną z metod stosowanych w tych programach jest znana z bankowości internetowej funkcja dwuetapowego logowania. Wtedy nawet przy utracie hasła jest dodatkowe zabezpieczenie przed utratą danych. Kolejną istotną kwestią jest tworzenie i utrzymywanie kopii zapasowych. Dobry program księgowy ma to w standardzie i zadba o to dostawca oprogramowania. Warto też zwrócić uwagę, czy w programie księgowym jest szyfrowana transmisja danych, czyli czy stosuje protokoły SSL w oparciu o algorytmy stosowane przez banki. Połączenie jest bezpieczne, gdy w pasku przeglądarki pokazuje się „https” zamiast „http”.

Prywatny sprzęt

Przypomnijmy, że wykonywanie pracy zdalnej może zostać polecone, jeżeli pracownik ma umiejętności i możliwości techniczne oraz lokalowe do wykonywania takiej pracy i pozwala na to rodzaj pracy. Co do zasady w myśl art. 3 ust. 4 ustawy o COVID-19 narzędzia i materiały potrzebne do wykonywania pracy zdalnej oraz jej obsługę logistyczną zapewnia pracodawca. Nie wyklucza to jednak tego, że przy wykonywaniu pracy zdalnej pracownik może używać prywatnego komputera czy telefonu komórkowego, o ile spełni określone warunki. I tak korzystanie przez podwładnego z prywatnych urządzeń musi umożliwić poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Tak więc osoba pracująca na własnym komputerze powinna sprawdzić, czy:
  • ma on aktualny system operacyjny;
  • używane są na nim programy, w szczególności antywirusowe, oraz
  • dokonane są niezbędne aktualizacje, na bieżąco aktualizowane są zainstalowane programy antymalware i antyspyware.
Pracownik musi rozważnie instalować na swoich urządzeniach oprogramowanie i pobierać je tylko z wiarygodnych źródeł (ze stron producentów). Ponadto przechowując dane na sprzęcie używanym przez wiele osób, powinien mieć odrębne konto, a także używać mocnego hasła dostępu. Musi też być uruchomiona blokada, gdy komputer przez jakiś czas stoi bezczynnie.
Z kolei korespondencję e-mail należy prowadzić ze służbowej skrzynki pocztowej. Jeżeli pracodawca jej nie zapewnił, to osoba wykorzystująca do celów służbowych prywatną pocztę, musi korzystać z niej w sposób rozważny i bezpieczny. Szczególną uwagę trzeba także zwrócić na zabezpieczenie danych osobowych udostępnianych w przesyłanym e-mailu. Przed wysłaniem wiadomości zawsze warto się upewnić, czy umieszczenie w niej danych osobowych faktycznie jest uzasadnione, oraz sprawdzić, czy wpisany został poprawny adres (np. czy w nazwie adresu e-mail adresata nie ma np. przestawionych lub pominiętych znaków). Podczas wysyłania korespondencji zbiorczej powinno się korzystać z opcji „UDW”, dzięki której odbiorcy wiadomości nie będą widzieć wzajemnie swoich adresów e-mail.
Przy wyborze aplikacji lub innych narzędzi wykorzystywanych w pracy trzeba się zastanowić, czy jest niezbędne, aby przetwarzały one dane osobowe, a jeżeli tak, to czy można zminimalizować ich zakres. Warto także sprawdzić zasady świadczenia usługi i zasady przetwarzania danych przez usługodawcę (politykę prywatności). Zaś podczas korzystania z programów lub aplikacji mobilnych należy korzystać z możliwych do zastosowania w nich mechanizmów ochrony prywatności użytkowników. Jeśli użycie jakiegoś programu wymaga logowania, warto zadbać o silne hasło dostępu, a dodatkowo chronić je przed utratą czy dostępem osób nieuprawnionych.

Korzystanie z dokumentów

Należy zaznaczyć, że praca zdalna nie wymusza wykonywania pracy tylko za pomocą narzędzi informatycznych. Zgodnie bowiem z art. 3 ust. 4 specustawy o COVID-19 w szczególności praca zdalna może być wykonywana przy wykorzystaniu środków bezpośredniego porozumiewania się na odległość lub dotyczyć wykonywania części wytwórczych lub usług materialnych. Regulacja ta oznacza m.in. to, że efekty pracy nie muszą być przekazywane tylko przy wykorzystaniu środków bezpośredniego porozumiewania się na odległość. Pracownik może je dostarczać pracodawcy w formie papierowej – dokumenty można przekazać do biura za pomocą kuriera, poczty lub osobiście. Pracownicy księgowości mogą – a czasami nawet muszą – mieć przecież dostęp do papierowej formy dokumentów. Przy czym, jak zwrócił uwagę prezes Urzędu Ochrony Danych Osobowych, pracodawca, decydując się na umożliwienie pracownikom korzystania z dokumentacji papierowej podczas pracy zdalnej, musi podjąć działania mające na celu ograniczenie ryzyka związanego z utratą dostępności, integralności oraz poufności danych. W tym celu musi ocenić niezbędność wykorzystywania dokumentacji papierowej podczas pracy zdalnej, biorąc pod uwagę charakter danych, cele, dla których są przetwarzane, oraz dostępne środki. Należy przede wszystkim ocenić, czy do wykonania danej pracy niezbędny jest dostęp do danych osobowych, czy też jest możliwe skorzystanie z dokumentów zanonimizowanych. Zdaniem prezesa UODO praca na dokumentach papierowych nie będzie uzasadniona, jeżeli pracodawca:
  • wdrożył elektroniczny obieg dokumentów, a pracownik ma bezpieczny dostęp do niezbędnych do pracy danych osobowych przy pomocy środków komunikacji elektronicznej;
  • ma możliwość szybkiego, sprawnego i bezpiecznego wdrożenia elektronicznego obiegu dokumentacji;
  • może udostępnić pracownikowi odpowiednio zabezpieczone (m.in. zaszyfrowane) elektroniczne kopie niezbędnych dokumentów.
Jeżeli nie jest możliwe zastosowanie żadnego z ww. rozwiązań, warto zastanowić się nad pracą na kopiach niezbędnych dokumentów. Minimalizuje to ryzyko naruszenia integralności danych oraz utraty ich dostępności. Pracownik musi jednak chronić dane osobowe zawarte w kopiach dokumentów, tak samo jak w dokumentacji oryginalnej [ramka].
Zasady postępowania z dokumentami papierowymi
Pracodawca, decydując o możliwości wykorzystywania przez pracowników dokumentacji papierowej podczas pracy zdalnej, musi:
• zapewnić ewidencjonowanie wydanych pracownikom dokumentów zawierających dane osobowe;
• zapewnić, że udostępnione dokumenty będą przechowywane przez pracownika przez okres niezbędny do wykonania określonego zadania podczas pracy zdalnej (ograniczenie przechowywania);
• ograniczyć liczbę dokumentów wynoszonych z siedziby administratora do tego, co jest niezbędne w stosunku do celu przetwarzania danych osobowych przez pracownika w ramach pracy zdalnej;
• zobowiązać pracownika do odpowiedniego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji (np. wynoszenie dokumentów w zabezpieczonej aktówce, przenoszenie dokumentów np. w taki sposób, aby były niewidocznie dla osób trzecich);
• zobowiązać pracownika do odpowiedniego zabezpieczenia danych w miejscu wykonywania pracy zdalnej (np. przechowywanie dokumentów w zamykanych na klucz szufladach biurka lub szafach, przestrzeganie zasady czystego biurka, zabezpieczenie dokumentów przed wglądem nieuprawnionych osób trzecich, m.in. członków rodziny);
• zapewnić, że pracownik będzie wykorzystywał pozyskane dane osobowe wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy;
• określić procedurę związaną z niszczeniem dokumentów (zakaz wyrzucania dokumentów do kosza w domu. Jeżeli pracownik nie posiada w domu niszczarki, dokumenty należy przechowywać w bezpieczny sposób, a po zakończeniu pracy zdalnej zniszczyć je w biurze);
• zapewnić, że pracownik będzie zgłaszał pracodawcy każdy incydent bezpieczeństwa zgodnie z procedurą postępowania w sprawie naruszeń ochrony danych, tak aby administrator mógł się wywiązać z obowiązku nałożonego na mocy art. 33 ust. 1 RODO.
Podstawa prawna
• art. 3 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020 r. poz. 374; ost.zm. Dz.U. z 2020 r. poz. 1478)
• art. 4 pkt 1 ustawy z 24 lipca 2020 r. o zmianie ustawy o delegowaniu pracowników w ramach świadczenia usług oraz niektórych innych ustaw (Dz.U. z 2020 r. poz. 1723)