Jeśli państwa wchodzące w skład EOG nie wydają się zachęcające, to przy wyborze wymarzonej destynacji do wykonywania pracy zdalnej, można rozważyć państwa, wobec których Komisja Europejska stwierdziła, że zapewniają odpowiedni stopień ochrony, czyli wydała tzw. decyzję o adekwatności. Obecnie decyzje o adekwatności zostały wydane dla Andory, Argentyny, Wysp Owczych, Guernsey, Izraela, Wyspy Man, Japonii, Jersey, Nowej Zelandii, Korei Południowej (właśc. Republiki Korei), Szwajcarii, Wielkiej Brytanii, Urugwaju oraz Kanady. Warto jednak zwrócić uwagę, że lista państw adekwatnych jest na bieżąco aktualizowana.
Co na to RODO
Czy to wyliczenie państw wskazuje, że na gruncie RODO zabronione jest przetwarzanie danych osobowych poza terytorium UE/EOG oraz państw, wobec których została wydana tzw. decyzja o adekwatności (dla uproszczenia przyjmijmy: w państwach trzecich), jest zabronione? Nie, ale w takim przypadku (np. Kenii, Brazylii czy Indii) sytuacja jest bardziej skomplikowana. Transfer danych z EOG do państw trzecich wymaga bowiem spełnienia dodatkowych warunków (np. zawarcia umów zawierających standardowe klauzule ochrony danych, czyli postanowienia nakładające na podmiot trzeci wymagania dotyczące ochrony danych osobowych). Pracownik zatrudniony na podstawie umowy o pracę działa w ramach wewnętrznej organizacji pracodawcy i tym samym nie jest odbiorcą danych osobowych przekazywanych mu do przetwarzania (nie jest ani administratorem, ani procesorem w nomenklaturze RODO). Zatem sam fakt obecności pracownika w państwie trzecim nie powoduje konieczności zawarcia z nim dodatkowych umów dotyczących transferów danych, np. zawierających standardowe klauzule ochrony danych. Takie umowy są zawierane pomiędzy administratorami i procesorami.
Nie zmienia to jednak faktu, że w przypadku świadczenia przez pracownika pracy na odległość w państwie trzecim dojdzie raczej do transferu danych pracodawcy do państwa trzeciego, ale nie względu na samą jego obecność, lecz działania. Każde uzyskane połączenie z lokalną siecią, każdy wykonany telefon przy użyciu sygnału lokalnego operatora czy choćby użycie lokalnej wersji aplikacji, która jest powszechnie dostępna na terenie UE/EOG może wiązać się z uzyskaniem dostępu do przetwarzanych przez pracownika danych osobowych przez podmiot czy organizację państwa trzeciego. Skoro nie z pracownikiem, z kim zatem należałoby zawrzeć stosowne umowy?
Korzystanie z usług lokalnych dostawców
Łatwo sobie uświadomić, że do świadczenia pracy zdalnej konieczne jest połączenie z internetem. Nawet jeśli zdecydowalibyśmy się korzystać z internetu pochodzącego z wykupionego w Polsce pakietu danych komórkowych (chociaż w przypadku roamingu korzystanie z danych komórkowych w państwie trzecim może być bardzo kosztowne), to i tak zostalibyśmy zmuszeni do korzystania z usług lokalnego dostawcy usług telekomunikacyjnych, który zastępowałby naszą rodzimą sieć.
W celu ograniczenia kosztów większość skorzystałaby jednak z usług lokalnych dostawców internetu. I tutaj pojawia się główny problem. Nie można wykluczyć sytuacji, że dostawca usług internetowych (który właściwie jest pośrednikiem w dostępie do łącza) może mieć dostęp do przetwarzanych przez pracownika danych osobowych na sprzęcie służbowym. Mogą to być dane samego pracownika, dotyczące jego poruszania się w internecie (metadane), jak również dane osobowe osób trzecich, dla których przetwarzania niezbędne jest połączenie z siecią internet. Nie licząc przypadków nieuprawnionego pobierania danych, czasem prawo danego kraju może nakładać na dostawcę internetu obowiązek gromadzenia różnego rodzaju danych. Ten sam problem może pojawić się w przypadku usług telekomunikacyjnych, gdy dostawca takich usług, będzie nagrywał prowadzone przez nas rozmowy czy zapisywał wysyłane wiadomości. Z tego też względu, mimo że dane przekazywane pracownikowi będącemu na terytorium państwa trzeciego nie będą stanowić przekazywania danych osobowych do państwa trzeciego, to samo przetwarzanie danych osobowych przez pracownika na tym terytorium będzie przekazywaniem danych osobowych do państwa trzeciego, z uwagi na możliwość ich uzyskania przez dostawców usług łączności. W tej sytuacji pracodawca jako administrator danych osobowych byłby zmuszony do zawarcia z dostawcami tych usług odpowiednich umów powierzenia przetwarzania lub udostępniania danych osobowych zawierających standardowe klauzule umowne, co w większości przypadków może się okazać niemożliwe lub utrudnione, z uwagi na niechęć dostawców do zawierania takich umów, ich niewiedzę w tym zakresie, trudności komunikacyjne z dostawcami czy brak chęci nakładania na siebie dodatkowych obowiązków zarówno po stronie tych dostawców, jak i pracodawcy.
Czy VPN rozwiązuje problem
Osoby, które już pakują walizki z myślą o workation, pewnie po bardzo krótkim researchu stwierdzą, że przecież to żaden problem, skoro można stosować VPN (ang. Virtual Private Network). Sprawa nie jest jednak tak prosta, jak się wydaje. Niektóre kraje mocno ograniczają możliwość korzystania z VPN (jak np. Indie, Wenezuela, Egipt, Chiny i Rosja), a niektóre nawet go zakazują (jak Białoruś, Irak, Oman czy Korea Północna). Druga kwestia jest taka, że VPN VPN-owi nie jest równy. Usługi VPN polegają głownie na szyfrowaniu danych internetowych, tak aby dostawca internetu nie mógł ich odczytać. Bardziej zaawansowane usługi VPN pozwalają na tzw. maskowanie, które sprawia, że wysyłane dane wyglądają normalnie, a nie jak zaszyfrowane, dzięki czemu trudniej jest stwierdzić, że ktoś używa VPN. Trzeba przy tym pamiętać, że darmowe czy podejrzanie tanie usługi VPN mogą nieść za sobą bardzo duże ryzyko w postaci bardzo łatwego do odczytania szyfrowania czy zbierania i sprzedaży teoretycznie zaszyfrowanych danych przez dostawcę VPN, a nawet instalowania złośliwego oprogramowania. VPN spełniający odpowiednie wymagania dla bezpieczeństwa ochrony danych osobowych może się okazać dość sporym kosztem, którego pracodawca może nie chcieć pokrywać.
