Dowiedz się, jak postąpić w przypadku czasowej utraty sprzętu z danymi osobowymi.
Praca zdalna nie musi być wykonywana tylko w domu pracownika. Może się zdarzyć, że podwładny będzie ją wykonywał w miejscu publicznym, np. w parku. Co w sytuacji, gdy zgubi urządzenie, na którym istnieje dostęp do bazy danych osobowych przechowywanych przez pracodawcę?
Samo pozostawienie sprzętu z danymi osobowymi w miejscu publicznym nie jest jeszcze równoznaczne z naruszeniem ochrony danych. Jeżeli sprzęt zostanie odzyskany, wówczas należy, skorzystawszy z dostępnych możliwości technicznych, przede wszystkim ustalić, czy osoby nieuprawnione uzyskały dostęp do danych osobowych.
W tym celu powinniśmy rozważyć, czy konieczne jest dokonanie analizy ryzyka i oceny skutków przetwarzania dla ochrony danych. Ogólna analiza ryzyka to obligatoryjny dla wszystkich administratorów osobowych wymóg oceny tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, to ten sam administrator musi dokonywać okresowej ogólnej analizy ryzyk zagrażających temu przetwarzaniu.
Skoro zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów rozporządzenia, to warto analizę ryzyka wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.
Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, aby tylko pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to może stanowić przedmiot zainteresowania organu nadzorczego w toku ewentualnej kontroli. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.
Prezes UODO wyróżnił następujące etapy procesu oceny ryzyka:
Z kolei ocena skutków przetwarzania dla ochrony danych (DPIA) powinna być przeprowadzona, jeżelidany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 RODO).
Jeżeli dane nie zostały utracone, wówczas nie powstaje wysokie ryzyko naruszenia praw i wolności osób fizycznych. Dlatego nie ma konieczności przeprowadzania DPIA. Natomiast konieczne jest ogólne przeanalizowanie ryzyka. Innymi słowy, administrator powinien zastanowić się m.in. nad tym, czy i jakie prawa i wolności były zagrożone naruszeniem i czy doszło do naruszenia.
Pracownik położył laptopa obok siebie w tramwaju i zapomniał go zabrać. Laptop został odnaleziony. Administrator musi ocenić, czy w okresie w stanie pozbawienia dostępu do laptopa mógł wykonywać prawa podmiotów danych (jak rozumiem – pracowników), np. prawo dostępu do danych nie byłoby naruszone, gdy jest zarchiwizowana kopia tych danych.
Sama czasowa utrata dostępu do sprzętu komputerowego nie jest jeszcze równoznaczna z naruszeniem ochrony danych. Jeżeli jednak dojdzie do nieuprawnionego dostępu do danych, to oczywiście należy zawiadomić o naruszeniu Prezesa UODO. Natomiast w przypadku gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – także te osoby.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
