Akt prawny
obowiązujący
Wersja aktualna od 2023-04-07
Wersja aktualna od 2023-04-07
obowiązujący
ZARZĄDZENIE
PREZESA URZĘDU OCHRONY KONKURENCJI I KONSUMENTÓW
z dnia 6 kwietnia 2023 r.
w sprawie procedur ochrony danych osobowych na potrzeby pracy zdalnej
Na podstawie § 1 ust. 2 statutu Urzędu Ochrony Konkurencji i Konsumentów, stanowiącego załącznik do zarządzenia nr 272 Prezesa Rady Ministrów z dnia 20 grudnia 2019 r. w sprawie nadania statutu Urzędowi Ochrony Konkurencji i Konsumentów (M.P. z 2023 r. poz. 271) w związku z art. 24 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.1)) oraz art. 6726 ust. 1 ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy (Dz. U. z 2022 r. poz. 1510, 1700 i 2140 oraz z 2023 r. poz. 240 i 641) zarządza się, co następuje:
§ 1. 1. Zarządzenie określa procedury ochrony danych osobowych na potrzeby pracy zdalnej w Urzędzie Ochrony Konkurencji i Konsumentów, zwanym dalej „Urzędem".
2. Przepisy zarządzenia stosuje się do pracowników Urzędu zatrudnionych na podstawie umowy o pracę, powołania i mianowania, zwanych dalej „pracownikami", wykonujących pracę zdalną, o której mowa w art. 6718 ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy oraz art. 4h i art. 4ha ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2021 r. poz. 2095, z późn. zm.2)).
§ 2. 1. Do ochrony danych osobowych w pracy zdalnej stosuje się zasady określone w zarządzeniu nr 19/2017 Prezesa Urzędu Ochrony Konkurencji i Konsumentów z dnia 1 sierpnia 2017 r. w sprawie Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Urzędzie Ochrony Konkurencji i Konsumentów, zmienionym zarządzeniem nr 14/2018 z dnia 24 maja 2018 r., zarządzeniem nr 9/2019 z dnia 12 marca 2019 r. oraz zarządzeniem Prezesa Urzędu Ochrony Konkurencji i Konsumentów z dnia 9 września 2022 r. (Dz. Urz. UOKiK poz. 6), zwanym dalej „Polityką bezpieczeństwa przetwarzania danych osobowych", ze zmianami wynikającymi z niniejszego zarządzenia.
2. W sprawach nieuregulowanych w przepisach, o których mowa w ust. 1, do ochrony danych osobowych w pracy zdalnej stosuje się przepisy:
1) zarządzenia Prezesa Urzędu Ochrony Konkurencji i Konsumentów z dnia 7 września 2021 r. w sprawie podstawowych zasad bezpieczeństwa informacji w Urzędzie Ochrony Konkurencji i Konsumentów (Polityka Bezpieczeństwa Informacji) (Dz. Urz. UOKiK poz. 3);
2) zarządzenia nr 38/2022 Dyrektora Generalnego Urzędu Ochrony Konkurencji i Konsumentów z dnia 13 września 2022 r. w sprawie wprowadzenia zasad i procedur bezpieczeństwa informacji w systemie teleinformatycznym Urzędu Ochrony Konkurencji i Konsumentów, z późn. zm.
§ 3. 1. Pracownik wykonujący pracę zdalną jest obowiązany do:
1) potwierdzenia zapoznania się z obowiązującymi w Urzędzie procedurami ochrony danych osobowych określonymi na potrzeby wykonywania pracy zdalnej oraz zobowiązania się do ich przestrzegania; zasady składania oświadczeń w tym zakresie określają przepisy zarządzenia Dyrektora Generalnego Urzędu Ochrony Konkurencji i Konsumentów w sprawie regulaminu pracy zdalnej;
2) udziału w szkoleniu lub instruktażu w zakresie procedur ochrony danych osobowych na potrzeby pracy zdalnej, nie później niż w terminie miesiąca od rozpoczęcia pracy zdalnej; przepisu nie stosuje się do pracowników wykonujących pracę zdalną okazjonalnie.
2. Szkolenia i instruktaże organizuje i przeprowadza Inspektor Ochrony Danych we współpracy z Biurem Kadr, Szkolenia i Organizacji.
3. Pracownicy wykonujący pracę zdalną okazjonalnie mogą uczestniczyć w szkoleniach i instruktażach dotyczących procedur ochrony danych osobowych stosowanych na potrzeby pracy zdalnej.
4. Dyrektor komórki organizacyjnej może wystąpić do Inspektora Ochrony Danych w sprawie zorganizowania szkolenia dla pracowników danej komórki organizacyjnej, dotyczącego procedur ochrony danych osobowych stosowanych dla celów pracy zdalnej.
5. Pracownik może zgłosić do Inspektora Ochrony Danych potrzebę instruktażu dotyczącego procedur ochrony danych osobowych stosowanych na potrzeby pracy zdalnej.
§ 4. Do zgłoszeń dotyczących naruszenia ochrony danych osobowych stosuje się zasady określone w części 6 Polityki bezpieczeństwa przetwarzania danych osobowych pt. „Instrukcja postępowania w sytuacjach naruszenia ochrony danych osobowych".
§ 5. Pracownik jest obowiązany zapewnić w miejscu wykonywania pracy zdalnej bezpieczeństwo danych osobowych, w szczególności wykluczyć możliwość ujawnienia danych osobowych domownikom lub innym osobom postronnym.
§ 6. 1. W przypadku korzystania z wideokonferencji w ramach porozumiewania się w czasie wykonywania pracy zdalnej z pracodawcą i współpracownikami, pracownik:
1) jest obowiązany uruchomić kamerę, jeżeli urządzenie z którego korzysta posiada taką możliwość techniczną;
2) może wyłączyć przekazywanie obrazu pomieszczenia, w którym wykonuje pracę zdalną, z tym że ograniczenie to nie ma zastosowania w przypadku, gdy wideokonferencja odbywa się w ramach prowadzenia przez pracodawcę kontroli dotyczącej przestrzegania przez pracownika zasad wykonywania pracy zdalnej, bezpieczeństwa i higieny pracy lub wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych, o której mowa w art. 6719 § 3 ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy;
3) jest obowiązany zapewnić ochronę wizerunku domowników lub innych osób postronnych obecnych w miejscu wykonywania pracy zdalnej.
2. Pracownik, który wykonując pracę zdalnie w ramach wykonywania obowiązków służbowych uczestniczy w wideokonferencji organizowanej przez podmiot inny niż Urząd:
1) może uruchomić kamerę, jeżeli urządzenie, z którego korzysta, posiada taką możliwość techniczną, zgodnie z zasadami określonymi przez organizatora wideokonferencji;
2) może wyłączyć przekazywanie obrazu pomieszczenia, w którym wykonuje pracę zdalną;
3) jest obowiązany zapewnić ochronę wizerunku domowników lub innych osób postronnych obecnych w miejscu wykonywania pracy zdalnej;
4) jest obowiązany zapewnić bezpieczeństwo danych osobowych przechowywanych w miejscu wykonywania pracy zdalnej, w szczególności wykluczyć ujawnienie danych przez przekazanie ich obrazu.
§ 7. Zawierające dane osobowe dokumenty służbowe, materiały i opracowania, które znajdują się w zasobach informatycznych Urzędu, drukuje się wyłącznie w siedzibie głównej Urzędu oraz w budynkach delegatur Urzędu i laboratoriów.
§ 8. 1. Oryginały dokumentów w postaci papierowej, które zawierają dane osobowe, nie mogą być wynoszone z siedziby głównej Urzędu oraz budynków delegatur Urzędu i laboratoriów w celu wykonywania pracy zdalnej.
2. W szczególnie uzasadnionych przypadkach pracownik może wynieść kopię dokumentów lub wydruki dokumentów elektronicznych, zwane dalej „kopiami", które zawierają dane osobowe, po wcześniejszym uzyskaniu zgody dyrektora komórki organizacyjnej lub zastępcy dyrektora, o ile dostęp do kopii jest niezbędny w celu wykonywania pracy zdalnej, a dokumenty te nie są dostępne w ramach systemu teleinformatycznego Urzędu.
3. Przepisu ust. 2 nie stosuje się do dokumentów zawierających dane osobowe z obszarów szczególnego ryzyka: kadrowych, płacowych, księgowych, zamówień publicznych, spraw socjalnych oraz wypadków przy pracy.
4. Po uzyskaniu zgody na wyniesienie kopii, pracownik jest obowiązany zarejestrować wyniesienie w ewidencji dokumentów zawierających dane osobowe wynoszonych z Urzędu, zwanej dalej „ewidencją", prowadzonej przez sekretariat komórki organizacyjnej.
5. Ewidencja może być prowadzona w postaci elektronicznej lub papierowej oraz zawiera: znak sprawy, rodzaj dokumentów, imię i nazwisko osoby wynoszącej kopie oraz datę wyniesienia i zwrócenia kopii.
6. Pracownik jest obowiązany zapewnić, aby kopie:
1) były przenoszone do miejsca wykonywania pracy zdalnej w sposób bezpieczny, w szczególności minimalizujący możliwość ich utraty i wykluczający ujawnienie danych osobowych osobom postronnym w czasie przenoszenia;
2) były przechowywane w miejscu wykonywania pracy zdalnej w sposób wykluczający możliwość ujawnienia danych osobowych domownikom lub innym osobom postronnym;
3) zostały zwrócone do Urzędu niezwłocznie po ich wykorzystaniu; pracownik jest obowiązany odnotować w ewidencji datę zwrotu kopii.
§ 9. Inspektor Ochrony Danych jest obowiązany zorganizować i przeprowadzić pierwsze szkolenia dotyczące procedur ochrony danych osobowych stosowanych dla celów pracy zdalnej w terminie miesiąca od dnia wejścia w życie zarządzenia.
§ 10. Zarządzenie wchodzi w życie z dniem 7 kwietnia 2023 r.
PREZES URZĘDU OCHRONY
KONKURENCJI I KONSUMENTÓW
Tomasz Chróstny
1) Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 04.03.2021, str. 35.
2) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2021 r. poz. 2120, 2133, 2262, 2269, 2317, 2368 i 2459, z 2022 r. poz. 202, 218, 655, 830, 1301, 1370, 1488, 1561, 1723, 1768, 1783, 2127, 2185, 2640, 2687 i 2705 oraz z 2023 r. poz. 185.