1. Strona główna
  2. Podatki, Rachunkowość, Kadry, ZUS, BHP, AML, Finanse i Ubezpieczenia, Dotacje, Sygnaliści
  3. Zatrudnienie i Ubezpieczenia Społeczne
  4. Prawo pracy
  5. Praca zdalna
  6. Konsekwencje pracy zdalnej dla przetwarzania danych osobowych
Wyszukiwanie...
Data publikacji: 20.11.2025

Konsekwencje pracy zdalnej dla przetwarzania danych osobowych

Spis treści

Wielu przedsiębiorców nie zdaje sobie sprawy, że zdalny model pracy wymusza przetwarzanie dodatkowych kategorii danych – w tym danych wrażliwych – oraz może wiązać się z koniecznością wdrożenia specjalnych procedur bezpieczeństwa, systemów lokalizacji i monitoringu. W tym poradniku wyjaśniam, jakie obowiązki i uprawnienia w zakresie RODO oraz Kodeksu pracy wynikają z organizowania pracy zdalnej, a także jak zabezpieczyć się przed ryzykiem prawnym i finansowym.

1. Miejsce pracy zdalnej jako dana osobowa

Zgodnie z definicją zawartą w art. 67¹⁸ Kodeksu pracy, praca zdalna to praca wykonywana całkowicie lub częściowo poza siedzibą pracodawcy, z miejsca wskazanego przez pracownika i uzgodnionego z pracodawcą. Pracodawca ma więc ustawowe prawo do wiedzy o tym miejscu, a pracownik obowiązek uzgodnienia go z pracodawcą przed rozpoczęciem świadczenia pracy.

Co istotne, miejsce pracy zdalnej nie musi pokrywać się z miejscem zamieszkania. Może być to np. domek letniskowy, coworking czy mieszkanie znajomych – pod warunkiem, że miejsce to zostanie uprzednio uzgodnione z pracodawcą.

Ponieważ informacja o miejscu wykonywania pracy zdalnej pozwala zidentyfikować pracownika, należy uznać ją za daną osobową w rozumieniu RODO. W takim przypadku pojawia się pytanie: czy przetwarzanie tej informacji wymaga zgody pracownika?

Czy pracodawca musi mieć zgodę pracownika?

Nie. Zgoda nie jest wymagana, ponieważ przetwarzanie tych danych odbywa się na podstawie przepisów prawa pracy. Zgodnie z art. 6 ust. 1 lit. c RODO, podstawą przetwarzania jest wypełnienie obowiązku prawnego ciążącego na administratorze, czyli na pracodawcy.

Przyjęcie zgody jako podstawy byłoby błędne, ponieważ zgodnie z art. 22¹a § 2 Kodeksu pracy:

„Brak zgody lub jej wycofanie nie może być podstawą niekorzystnego traktowania pracownika”.

Tymczasem wskazanie miejsca pracy zdalnej jest konieczne – bez tego nie można zgodnie z prawem wykonywać pracy zdalnej.

2. Dane szczególne a uprawnienie do pracy zdalnej

Niektóre grupy pracowników mają szczególne uprawnienie do wykonywania pracy zdalnej – ich wniosek jest dla pracodawcy wiążący. Chodzi o sytuacje opisane w art. 67¹⁹ § 6 Kodeksu pracy, czyli m.in.:

  • pracownice w ciąży,
  • pracowników wychowujących dziecko do 4. roku życia,
  • osoby opiekujące się członkiem rodziny z niepełnosprawnością,
  • rodziców dzieci z orzeczeniem o niepełnosprawności.

W takich przypadkach pracodawca może (i powinien) zażądać udokumentowania uprawnienia – np. poprzez przedstawienie orzeczenia o niepełnosprawności czy zaświadczenia lekarskiego. Może to oznaczać konieczność przetwarzania danych wrażliwych, w tym danych o zdrowiu.

Czy przetwarzanie danych wrażliwych jest zgodne z prawem?

Tak, pod warunkiem spełnienia jednej z przesłanek z art. 9 ust. 2 RODO. W praktyce najczęściej będą to:

  • Zgoda pracownika (art. 9 ust. 2 lit. a RODO), udzielona w sposób dobrowolny, świadomy i jednoznaczny,
  • Wypełnienie obowiązków z zakresu prawa pracy (art. 9 ust. 2 lit. b RODO), czyli sytuacja, w której przetwarzanie danych jest konieczne do wykonania uprawnień i obowiązków wynikających z Kodeksu pracy.

Warto, aby pracodawca dokumentował, na jakiej podstawie przetwarza takie dane, oraz by stosował ograniczenie dostępu – tak, aby informacje były dostępne tylko dla osób upoważnionych.

3. Lokalizacja pracownika zdalnego a monitoring

Niektórzy pracodawcy chcą wiedzieć, gdzie faktycznie znajduje się pracownik w czasie pracy zdalnej. W tym celu korzystają z usług lokalizacji urządzeń służbowych – np. poprzez GPS w laptopach lub narzędzia typu MDM (Mobile Device Management).

To podejście różni się zasadniczo od zwykłego uzgadniania miejsca pracy – ponieważ:

  • dane lokalizacyjne są zbierane automatycznie, bez udziału pracownika,
  • pozwalają one śledzić rzeczywiste miejsce świadczenia pracy w czasie rzeczywistym.

Z prawnego punktu widzenia jest to forma monitoringu, o której mowa w art. 223 § 4 Kodeksu pracy. Pracodawca może ją stosować wyłącznie wtedy, gdy:

„jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy”.

Nie wystarczy więc ogólne stwierdzenie, że „chcemy wiedzieć, gdzie ktoś jest”. Potrzebne jest:

  • uzasadnienie potrzeby monitoringu (np. ochrona danych firmy),
  • wprowadzenie odpowiednich zapisów w regulaminie pracy lub obwieszczeniu,
  • poinformowanie pracownika z 2-tygodniowym wyprzedzeniem,
  • przeprowadzenie testu równowagi interesów (zgodnie z art. 6 ust. 1 lit. f RODO), który pozwala ocenić, czy interes pracodawcy przeważa nad prawami pracownika.

🔐 Co więcej – monitorowanie lokalizacji może wiązać się z ryzykiem naruszenia prywatności, dlatego pracodawca powinien ustalić jasne granice (np. brak lokalizacji poza godzinami pracy).

4. Procedury ochrony danych przy pracy zdalnej – obowiązki pracodawcy

Zdalny model pracy wymaga od pracodawcy nie tylko przetwarzania nowych kategorii danych, ale również dostosowania całego systemu ochrony danych osobowych do nowej rzeczywistości organizacyjnej. Kluczowe znaczenie ma tutaj analiza ryzyka oraz określenie adekwatnych środków ochronnych.

Podejście oparte na ryzyku (risk-based approach)

RODO wprowadza zasadę, zgodnie z którą zakres i sposób przetwarzania danych osobowych powinny być uzależnione od ryzyka naruszenia praw i wolności osób, których dane dotyczą. Oznacza to, że pracodawca nie może korzystać z uniwersalnych, „gotowych” procedur, lecz powinien:

  • zidentyfikować konkretne zagrożenia (np. praca przez otwarte sieci Wi-Fi, przechowywanie danych na prywatnym komputerze),
  • ocenić ich wpływ na bezpieczeństwo danych,
  • wdrożyć środki adekwatne do poziomu ryzyka (techniczne i organizacyjne).

Obowiązek wdrożenia procedur

Zgodnie z art. 67²⁶ § 1 Kodeksu pracy, na potrzeby pracy zdalnej:

„Pracodawca określa procedury ochrony danych osobowych oraz przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie”.

Z kolei § 2 nakłada na pracownika obowiązek:

„potwierdzenia zapoznania się z procedurami w postaci papierowej lub elektronicznej oraz ich przestrzegania”.

Oznacza to, że pracodawca:

  • nie może dopuścić pracownika do pracy zdalnej, jeśli ten nie potwierdzi zapoznania się z zasadami ochrony danych,
  • powinien prowadzić dokumentację potwierdzającą spełnienie tego obowiązku,
  • musi zapewnić jasne, zrozumiałe i przystosowane do zdalnego środowiska procedury.

Co powinny zawierać procedury ochrony danych?

Choć przepisy nie określają szczegółowego katalogu elementów, zaleca się, aby procedury zawierały:

  • zasady korzystania z urządzeń służbowych (i ewentualnie prywatnych),
  • sposób zabezpieczania połączenia internetowego,
  • wymagania dotyczące haseł, aktualizacji systemów, antywirusów,
  • politykę korzystania z nośników zewnętrznych,
  • reguły przechowywania i niszczenia dokumentów papierowych,
  • wskazanie osób odpowiedzialnych za wsparcie w przypadku naruszenia ochrony danych.

Dobrą praktyką jest także przygotowanie checklisty dla pracownika zdalnego oraz zorganizowanie krótkiego szkolenia online z ochrony danych osobowych.

5. Podsumowanie

Praca zdalna, choć wygodna i elastyczna, znacząco rozszerza zakres przetwarzanych danych osobowych – zarówno po stronie pracodawcy, jak i pracownika. Dla wielu firm oznacza to konieczność przedefiniowania dotychczasowych praktyk z zakresu ochrony danych.

🟢 Najważniejsze wnioski z poradnika:

✔ Miejsce pracy zdalnej to dana osobowa – przetwarzana na podstawie przepisów prawa, nie zgody.
✔ Pracodawca może przetwarzać dane szczególne, ale tylko w zakresie uzasadnionym przepisami prawa pracy lub za zgodą pracownika.
✔ Monitoring lokalizacyjny to forma nadzoru – wymaga spełnienia surowych warunków z Kodeksu pracy oraz przeprowadzenia testu równowagi.
✔ Praca zdalna wiąże się z ryzykiem naruszeń – pracodawca musi opracować procedury ochrony danych, przeszkolić pracowników i potwierdzić ich zapoznanie się z nimi.

Dostosowanie organizacji do tych wymagań nie tylko zwiększa zgodność z prawem, ale także ogranicza ryzyko sankcji administracyjnych i reputacyjnych – co ma szczególne znaczenie w czasach rosnącej świadomości w zakresie ochrony danych.

6. Podstawa prawna

  • art. 67¹⁸, art. 67¹⁹ § 6, art. 67²⁶ § 1–2, art. 22¹a § 2, art. 223 § 1 i § 4, art. 222 § 6 – Kodeks pracy
  • art. 6 ust. 1 lit. c, lit. f; art. 9 ust. 1 i ust. 2 lit. a–b; art. 24 ust. 1; art. 32; art. 5 ust. 1 lit. f i ust. 2 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
  • motyw 76 – RODO

7. Tematy porad zawartych w poradniku

  • praca zdalna a RODO
  • monitoring pracownika zdalnego
  • dane wrażliwe przy pracy zdalnej
  • obowiązki pracodawcy przy pracy zdalnej
  • bezpieczeństwo danych osobowych 2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: