Tak, pracownicy mogą przetwarzać dane osobowe na prywatnych komputerach, jednak aby było to możliwe, trzeba spełnić kilka warunków.
Pracodawca powinien udzielić pracownikowi, który będzie przetwarzał dane osobowe na prywatnym komputerze, upoważnienia do przetwarzania danych osobowych. Taki obowiązek wynikał wprost z ustawy o ochronie danych osobowych z 1997 roku. Można go także wywieść z art. 5 ust. 1 lit. f RODO (zasada integralności i poufności) i art. 32 ust. 1 RODO (administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych). RODO nie wymaga natomiast prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Nie trzeba zawierać z pracownikiem umowy powierzenia przetwarzania danych osobowych, ponieważ osoba zatrudniona pracowniczo u administratora danych osobowych pozostaje w strukturach tego administratora, wystarczy więc samo upoważnienie do przetwarzania danych. W upoważnieniu należy wskazać, jakie dane pracownik może przetwarzać.
Istotną sprawą jest dostosowanie dokumentacji ochrony danych osobowych. Należy wskazać w niej lokalizacje, w jakich mogą być przetwarzane dane osobowe w związku z możliwością ich przetwarzania na prywatnych komputerach pracowników. Należy więc określić, że są to miejsca zamieszkania pracowników lub – w przypadku urządzeń mobilnych – każde miejsce, gdzie aktualnie znajdzie się laptop pracownika. Można naturalnie te lokalizacje ograniczyć w dowolny sposób (np. wyliczając miasta, poza które laptop nie może „wyjechać”). Kolejna kwestia to sprecyzowanie w dokumentacji, jakiego rodzaju zabezpieczenia są stosowane na komputerach prywatnych.
Należy rozważyć także sprecyzowanie nowych zadań inspektora ochrony danych (ABI) związanych z tym, że dane osobowe będą się znajdowały także na komputerach prywatnych (np. okresowy audyt, możliwość zdalnej administracji laptopem). Pamiętajmy też o nowym obowiązku wynikającym z RODO – prowadzenie rejestru czynności przetwarzania danych osobowych, który także powinien wskazywać na przetwarzanie danych osobowych poza siedzibą ADO, na komputerach prywatnych pracowników.
Warto rozważyć zobowiązanie pracowników do niezwłocznego powiadamiania inspektora ochrony danych (ABI) o wszelkich przypadkach naruszenia ochrony danych osobowych tak, aby ten mógł wypełnić obowiązek z RODO zgłaszania takich naruszeń do organu nadzorczego. Wreszcie, jeżeli dane osobowe na prywatnych komputerach pracowników oznaczają wprowadzenie nowego rodzaju przetwarzania danych osobowych, to nie obejdzie się bez przeprowadzenia oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych (art. 35 RODO). Także wykonanie prawa do bycia zapomnianym, polegające na usunięciu danych osobowych także z prywatnego komputera pracownika, będzie musiało zostać zapewnione w dokumentacji ochrony danych osobowych u danego ADO.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
