Praca zdalna a ochrona danych: czy pracodawca może narzucić VPN lub antywirus?

Pracodawcy muszą jednocześnie dbać o efektywność pracy i bezpieczeństwo wrażliwych informacji, szanując prywatność pracowników. Centralne pytanie dotyczy uprawnienia pracodawcy do narzucenia narzędzi bezpieczeństwa, takich jak wirtualne sieci prywatne (VPN) czy oprogramowanie antywirusowe.

Odpowiedź wymaga analizy prawa pracy, RODO oraz regulacji cyberbezpieczeństwa, w tym dyrektywy NIS 2. Analiza wskazuje, że pracodawca dysponuje narzędziami do egzekwowania wymogów bezpieczeństwa, ale ich stosowanie musi być proporcjonalne, przejrzyste i uwzględniać prawo pracownika do prywatności.

Ramy prawne pracy zdalnej i ochrony danych w prawie polskim

Nowelizacja Kodeksu pracy z 7 kwietnia 2023 r. ugruntowała pracę zdalną, zastępując wcześniejsze przepisy o telepracy. Praca zdalna to wykonywanie pracy całkowicie lub częściowo w miejscu wskazanym przez pracownika i uzgodnionym z pracodawcą (w tym w domu), co obejmuje również model hybrydowy.

Kodeks pracy nakłada na pracodawcę obowiązek zapewnienia pracownikowi materiałów i narzędzi pracy, w tym urządzeń technicznych, niezbędnych do wykonywania pracy zdalnej. Obejmuje to m.in. sprzęt komputerowy, dostęp do internetu i oprogramowanie potrzebne do realizacji obowiązków.

Przepisy dopuszczają korzystanie z prywatnych urządzeń pracownika, ale na ściśle określonych zasadach. Strony mogą ustalić zasady użycia prywatnego sprzętu, jeśli spełnia on wymogi BHP, a pracownik otrzymuje ekwiwalent lub ryczałt odpowiadający ponoszonym kosztom. Używanie prywatnego sprzętu jest dobrowolne i może zostać w każdej chwili odwołane bez negatywnych konsekwencji.

Ochronę danych osobowych podczas pracy zdalnej reguluje RODO oraz przepisy Kodeksu pracy. Artykuł 32 RODO wymaga wdrożenia adekwatnych środków technicznych i organizacyjnych, a art. 5 RODO – przetwarzania danych z zachowaniem integralności i poufności. To pracodawca jako administrator danych odpowiada za właściwe zabezpieczenie danych, niezależnie od rodzaju sprzętu.

Artykuł 6726 Kodeksu pracy nakłada na pracodawcę obowiązek określenia procedur ochrony danych, instruktażu i szkoleń oraz uzyskania od pracownika potwierdzenia zapoznania się z nimi. Artykuł 6720 wymaga, aby regulamin pracy zdalnej lub porozumienie precyzowały zasady kontroli wykonywania pracy, BHP oraz kontroli wymogów bezpieczeństwa i ochrony informacji. Te przepisy stanowią podstawę do wprowadzenia wymogów bezpieczeństwa, które muszą być jasne, zrozumiałe i uzasadnione.

Obowiązki pracodawcy jako administratora danych osobowych i bezpieczeństwa informacji

Pracodawca, jako administrator, odpowiada za bezpieczeństwo danych bez względu na miejsce i narzędzia ich przetwarzania. Powinien dobrać środki ochrony proporcjonalne do ryzyka, mając na uwadze rodzaj i skalę przetwarzania.

Obowiązkiem pracodawcy jest przeprowadzenie analizy ryzyka dla pracy zdalnej i wdrożenie środków ograniczających ryzyko naruszeń. Poniżej przykładowe zabezpieczenia, które należy rozważyć:

• korzystanie wyłącznie ze służbowego sprzętu i nośników danych,
• zabezpieczanie ekranu i stanowiska pracy przed wglądem osób postronnych,
• minimalizowanie przechowywania dokumentacji papierowej poza biurem,
• używanie bezpiecznego połączenia sieciowego (np. VPN),
• fizyczne zabezpieczanie sprzętu i procedury na wypadek kradzieży lub utraty,
• szyfrowanie korespondencji i plików zawierających dane wrażliwe.
• stosowanie silnych haseł i uwierzytelniania wieloskładnikowego.

Pracodawca ma obowiązek regularnie testować skuteczność zabezpieczeń (audyty, testy penetracyjne, przeglądy procedur) i wykazywać zgodność z zasadami przetwarzania danych zgodnie z art. 5 ust. 2 RODO.

Znaczenie obowiązków wzmocniła dyrektywa NIS 2, zwłaszcza dla podmiotów z sektorów kluczowych lub ważnych. Wymaga ona m.in. polityk bezpieczeństwa, procedur reagowania na incydenty oraz szkoleń pracowników. W praktyce organizacje powinny wdrożyć następujące elementy:

• zarządzanie ryzykiem i regularne przeglądy zagrożeń,
• plany ciągłości działania i odtwarzania po awarii,
• procedury zgłaszania i obsługi incydentów,
• szkolenia i podnoszenie świadomości personelu,
• monitorowanie bezpieczeństwa i raportowanie zgodności.

Uprawnienia pracodawcy do narzucania wymogów bezpieczeństwa

Pracodawca może wprowadzać wymogi bezpieczeństwa, ale tylko jeśli są one uzasadnione i proporcjonalne do ryzyka. Art. 100 Kodeksu pracy obliguje pracownika do dbania o dobro zakładu pracy i zachowania tajemnicy.

Wymogi (np. VPN, antywirus) należy ująć w regulaminie lub porozumieniu i komunikować z wyprzedzeniem. Artykuł 222 ust. 7 Kodeksu pracy podkreśla konieczność jasnej informacji o monitoringu – tę samą zasadę transparentności warto stosować do polityk bezpieczeństwa.

Na sprzęcie służbowym pracodawca może szerzej kształtować obowiązki (instalacje, zapory, aktualizacje). Odmowa stosowania się do wymogów może skutkować sankcjami porządkowymi.

Pracodawca może wprowadzić szczegółowe polityki bezpieczeństwa, procedury dostępu do sieci i instrukcje pracy z danymi, a także prowadzić instruktaż i szkolenia (art. 6726 Kodeksu pracy).

Ograniczenia wynikają z prawa do prywatności i RODO. Pracodawca nie może żądać dostępu do prywatnych danych na urządzeniu pracownika ani stosować narzędzi śledzących poza sferą zawodową. Artykuł 6728 ust. 2 wymaga, by kontrola nie naruszała prywatności i była dostosowana do rodzaju pracy.

Prawo pracownika do prywatności i ograniczenia uprawnień pracodawcy

Prawo do prywatności pracownika chronią Konstytucja RP i umowy międzynarodowe. Artykuł 31 ust. 2 Konstytucji RP zakazuje zmuszania do czynności nieprzewidzianych prawem – dotyczy to również relacji pracodawca–pracownik.

Pracownik ma prawo do ochrony danych prywatnych na swoich urządzeniach, nawet jeśli wykorzystuje je służbowo. Pracodawca może wymagać zabezpieczeń dla danych służbowych (np. szyfrowanie, silne hasła, separacja), ale nie może monitorować całego urządzenia. Zaleca się techniczne oddzielenie sfery służbowej od prywatnej.

Pracownik może odmówić używania prywatnego sprzętu do celów zawodowych. Artykuł 6725 Kodeksu pracy wymaga pisemnej, dobrowolnej i odwoływalnej zgody na instalację służbowego oprogramowania na prywatnym urządzeniu. W razie korzystania z własnego sprzętu przysługuje ekwiwalent lub ryczałt.

Pracownik ma prawo do informacji o narzędziach monitorowania i okresie retencji. Zasada przejrzystości (art. 5 RODO) wymaga jasnego określenia celu, zakresu i okresu przechowywania danych oraz praw pracownika.

Kontrola pracy zdalnej musi być uzgodniona z pracownikiem i prowadzona w jego godzinach pracy, bez naruszania prywatności domowej (art. 6728 ust. 2 Kodeksu pracy).

Analiza VPN jako wymogu pracodawcy – uprawnienia i ograniczenia

VPN to kluczowe narzędzie bezpieczeństwa pracy zdalnej, szyfrujące ruch między pracownikiem a systemami firmy. Powszechnie stosuje się uwierzytelnianie certyfikatami lub tokenami czasowymi.

Wymóg użycia VPN powinien wynikać z analizy ryzyka, być proporcjonalny do rodzaju danych i zapisany w regulaminie lub porozumieniu. Wymóg należy komunikować jasno, wraz z celem, zakresem i konsekwencjami braku stosowania, oraz zapewnić wsparcie techniczne.

Instalacja VPN na prywatnym urządzeniu jest dopuszczalna wyłącznie za dobrowolną, pisemną zgodą (art. 6725 Kodeksu pracy). W razie sprzeciwu pracodawca powinien dostarczyć sprzęt służbowy. Pracodawca pokrywa koszty licencji i niezbędnych modyfikacji.

VPN nie może służyć do monitorowania aktywności prywatnej. Rejestrowany ruch powinien ograniczać się do sfery zawodowej, zgodnie z zasadą minimalizacji danych.

Zalecana jest konfiguracja automatycznego łączenia przy starcie systemu, blokada omijania tunelu i odrzucanie nieprawidłowych certyfikatów. Alternatywą dla tradycyjnego VPN są ZTNA, SASE lub SDP, które wdrażają podejście zero trust.

Źródło: https://topvpn.pl/

Antywirus i inne narzędzia bezpieczeństwa – uprawnienia pracodawcy i obowiązki pracownika

Oprogramowanie antywirusowe jest podstawą bezpieczeństwa IT. Pracodawca może zobowiązać do instalacji i aktualizacji wskazanego rozwiązania na sprzęcie służbowym.

Koszty licencji i narzędzi bezpieczeństwa ponosi pracodawca (w tym także na prywatnym urządzeniu – jeśli pracownik wyrazi zgodę – poprzez licencję lub ekwiwalent/ryczałt). Obowiązek wdrożenia odpowiednich środków potwierdza art. 32 RODO.

Pracodawca może wymagać aktualizacji, ochrony w czasie rzeczywistym i okresowych skanów. Niewykonanie tych zaleceń może stanowić naruszenie obowiązków pracowniczych.

Narzędzia bezpieczeństwa nie powinny znacząco obniżać wydajności. W razie niekompatybilności lub spowolnień pracodawca powinien zaproponować alternatywę lub zapewnić mocniejszy sprzęt.

Możliwe jest wymaganie zapory sieciowej, filtrów ruchu czy narzędzi IAM, o ile są niezbędne do ochrony danych. Na prywatnych urządzeniach – tylko za zgodą i z pełnym wsparciem technicznym.

Instalowanie nielicencjonowanego oprogramowania jest zabronione. Pracodawca, jako właściciel sprzętu, może ponieść odpowiedzialność prawną; pracownik naraża się na konsekwencje dyscyplinarne. W regulacjach wewnętrznych warto wprost zakazać instalacji programów bez zgody IT.

Źródło: https://www.pcguard.pl/antywirusy/

BYOD (bring your own device) – umowa, bezpieczeństwo i prywatność

Model BYOD wymaga połączenia wymogów bezpieczeństwa z poszanowaniem prywatności pracownika. Pracodawca nie może zmusić do używania prywatnego sprzętu, ale za zgodą stron można ustalić zasady bezpiecznego korzystania.

Porozumienie BYOD powinno być pisemne i określać zakres użycia, wymagane narzędzia, sposób zabezpieczenia danych służbowych oraz konsekwencje naruszeń. Warto wydzielić przestrzeń służbową (oddzielne konto, partycja, konteneryzacja aplikacji).

W BYOD pracodawca może wymagać MDM, szyfrowania dysku czy VPN, ale tylko w zakresie sfery służbowej. MDM nie powinien naruszać prywatności ani obejmować całości urządzenia.

Artykuł 6725 Kodeksu pracy wymaga dobrowolnej, pisemnej i odwoływalnej zgody oraz jasnej informacji o narzędziach, monitoringu, okresie przechowywania danych i procedurach na koniec współpracy. Wycofanie zgody nie może powodować negatywnych konsekwencji – wówczas pracodawca zapewnia sprzęt służbowy.

Kwestie kosztów należy uregulować w umowie. Artykuł 6725 przewiduje ekwiwalent/ryczałt uwzględniający m.in. amortyzację, energię i koszty telekomunikacyjne.

W razie kradzieży lub utraty prywatnego urządzenia z danymi służbowymi pracodawca powinien mieć możliwość zdalnego usunięcia danych oraz stosować procedury offboardingu, w tym potwierdzanie usunięcia danych.

Dla szybkiego porównania kluczowych zasad na sprzęcie służbowym i prywatnym przedstawiamy zestawienie:

Sprzęt służbowy 

• Instalacja narzędzi (VPN, antywirus, MDM): wymagana przez pracodawcę; kompleksowa konfiguracja dozwolona
• Monitoring: dozwolony w zakresie aktywności służbowych, z poszanowaniem prawa
• Koszty licencji: pokrywa pracodawca
• Dostęp do danych: dostęp do danych służbowych zgodnie z politykami
• Wycofanie zgody: nie dotyczy

Sprzęt prywatny (BYOD) 

• • Instalacja narzędzi (VPN, antywirus, MDM): tylko za pisemną, dobrowolną zgodą; wyłącznie w sferze służbowej
• • Monitoring: ograniczony do sfery służbowej; brak dostępu do danych prywatnych
• • Koszty licencji: pokrywa pracodawca (licencja/ekwiwalent/ryczałt)
• • Dostęp do danych: brak dostępu do danych prywatnych; możliwy dostęp do kontenera służbowego
• • Wycofanie zgody: możliwe w każdym czasie; pracodawca zapewnia sprzęt służbowy

Szkolenia, wiedza i edukacja pracowników w zakresie cyberbezpieczeństwa

Pracodawca ma obowiązek prowadzić szkolenia i instruktaż (art. 6726 Kodeksu pracy), z naciskiem na realne zagrożenia i aktualizację wiedzy.

Program szkoleń powinien obejmować co najmniej następujące obszary:

• znaczenie silnych haseł i korzystanie z menedżerów haseł,
• identyfikację ataków phishingowych i socjotechniki,
• bezpieczne korzystanie z publicznych sieci Wi?Fi,
• właściwą obsługę i klasyfikację danych wrażliwych,
• procedury zgłaszania incydentów oraz łańcuch eskalacji,
• konsekwencje naruszeń i dobre praktyki pracy zdalnej.

Realizację szkoleń należy dokumentować i uzyskiwać potwierdzenia zapoznania się z procedurami (art. 6726). Dokumentacja szkoleń ułatwia wykazanie należytej staranności i jest kluczowa przy incydentach.

Edukacja powinna być cyklicznie aktualizowana (np. ransomware, nowe techniki phishingu), a praktyczną wiedzę warto weryfikować przez symulacyjne kampanie phishingowe.

Udział w szkoleniach i stosowanie polityk są obowiązkowe. Ignorowanie wymogów może skutkować karami porządkowymi.

Monitoring i kontrola pracowników – granice prawne i praktyczne

Pracodawca może kontrolować pracę zdalną wyłącznie w granicach prawa i z poszanowaniem prywatności (art. 6728 Kodeksu pracy). Kontrola dotyczy wykonywania pracy, BHP i przestrzegania wymogów bezpieczeństwa – w miejscu pracy zdalnej i w godzinach pracy.

Monitorowanie służbowych narzędzi (komputer, telefon, e?mail) jest dopuszczalne dla bezpieczeństwa danych i kontroli wydajności. Monitoring powinien dotyczyć wyłącznie aktywności zawodowych i nie obejmować sfery prywatnej.

Artykuł 222 Kodeksu pracy wymaga, by monitoring był uzasadniony, proporcjonalny i przejrzysty. Informacja powinna obejmować co najmniej:

• cel – np. ochrona danych, bezpieczeństwo systemów, organizacja pracy;
• zakres – jakie narzędzia i jakie dane są objęte monitoringiem;
• okres retencji – jak długo i gdzie są przechowywane dane;
• odbiorcy danych – komu informacje mogą być udostępniane;
• prawa pracownika – dostęp, sprzeciw, skarga do UODO.

Monitoring nie powinien obejmować czasu poza pracą ani miejsc nieprzeznaczonych do pracy. Kontrola on?site powinna być wyjątkiem i zawsze uzgodniona z pracownikiem; preferowany jest tryb zdalny.

Narzędzia do monitorowania wydajności (np. ewidencja czasu) muszą być proporcjonalne i nienaruszające godności. Ekstremalne formy, jak rejestrowanie każdego kliknięcia, co do zasady są nieakceptowalne bez wyraźnej podstawy i pełnej transparentności.

Konsekwencje niezastosowania się i egzekwowanie wymogów bezpieczeństwa

Naruszenie wymogów bezpieczeństwa lub polityk może skutkować karami porządkowymi zgodnie z art. 108 Kodeksu pracy.

W praktyce zaleca się gradację sankcji:

1. upomnienie – przy pierwszym naruszeniu o niskiej wadze,
2. nagana – w razie powtórzeń lub istotniejszych uchybień,
3. kara pieniężna – przy naruszeniach o mierzalnych skutkach,
4. rozwiązanie umowy – w przypadku poważnych lub uporczywych naruszeń,
5. rozwiązanie bez wypowiedzenia (art. 52) – przy najcięższych przewinieniach, jak celowe omijanie zabezpieczeń.

Przed nałożeniem kary pracodawca powinien wezwać pracownika do złożenia wyjaśnień, udokumentować naruszenie i umożliwić wgląd w materiały. Naruszenie procedur może skutkować uchyleniem kary przez sąd.

W razie żądania nadmiernie ingerujących narzędzi pracownikowi przysługuje sprzeciw i skarga do GIP lub UODO, a także możliwość kontaktu z RPO.

Praktyczne wytyczne dla pracodawców – jak właściwie implementować wymogi bezpieczeństwa

Aby wdrożenie było skuteczne i zgodne z prawem, zastosuj poniższe kroki:

• analiza ryzyka – zidentyfikuj dane, zagrożenia i wpływ naruszeń, angażując IT, HR i inspektora ochrony danych,
• polityka bezpieczeństwa informacji – określ wymagania (np. VPN, antywirus, silne hasła, procedury reagowania na incydenty) w zrozumiałym języku,
• porozumienie o pracy zdalnej – doprecyzuj zasady, narzędzia, monitoring i konsekwencje naruszeń,
• szkolenia i potwierdzenia – zapewnij cykliczne szkolenia i zbieraj potwierdzenia zapoznania się z procedurami,
• wsparcie techniczne – przygotuj helpdesk do instalacji, konfiguracji i szybkiego reagowania,
• audyty i komunikacja – regularnie sprawdzaj zgodność, edukuj, a w razie uchybień stosuj stopniowanie środków.

Rekomendacje i synteza wniosków

Pracodawca może narzucać wymogi bezpieczeństwa (np. VPN, antywirus), pod warunkiem proporcjonalności, przejrzystości i poszanowania praw pracownika. Wymogi powinny wynikać z analizy ryzyka i być jasno ujęte w dokumentach wewnętrznych.

Na sprzęcie służbowym zakres wymogów może być szerszy. Na sprzęcie prywatnym konieczna jest dobrowolna, pisemna i odwoływalna zgoda oraz adekwatny ekwiwalent/ryczałt. Kluczowe są transparentna komunikacja, szkolenia, wsparcie techniczne oraz poszanowanie prywatności i godności pracownika.