Możliwe jest umożliwienie przetwarzania danych osobowych za pomocą urządzeń prywatnych pracowników zarówno w siedzibie administratora, jak i poza nią. Wymaga to jednak wdrożenia odpowiednich środków technicznych i organizacyjnych.
Zarówno ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych oraz akty wykonawcze do niej, jak i rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) nie zabraniają administratorowi danych, aby w procesie przetwarzania danych osobowych dopuszczał ich przetwarzanie z wykorzystaniem prywatnego sprzętu IT (komputery, telefony).
To, czy i jakie środki zabezpieczające przetwarzanie danych powinien wdrożyć administrator danych, reguluje art. 24 RODO. Zgodnie z tym przepisem „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. Oznacza to, że administrator danych powinien samodzielnie ocenić, m.in. czy:
RODO nie zakazuje przetwarzania danych osobowych poza miejscem wykonywania działalności przez administratora. Należy jednak dostosować do takiej sytuacji wewnętrzną dokumentację. Chodzi przede wszystkim o określenie miejsc przetwarzania danych osobowych, np. przez dopuszczenie przetwarzania danych osobowych na urządzeniach mobilnych, w tym urządzeniach prywatnych pracowników. Dopuszczenie do korzystania z takich urządzeń musi być połączone z określeniem warunków technicznych, jakim te urządzenia powinny odpowiadać. Należy rozważyć wprowadzenie szyfrowania przesyłanych danych lub zastosowanie innych, adekwatnych zabezpieczeń. Można dopuścić okresowy audyt urządzeń prywatnych. Warto rozważyć zakaz zapisywania danych logowania na urządzeniach prywatnych (tak aby pracownik za każdym razem musiał te dane wpisywać).
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
