Praca zdalna – co z bezpieczeństwem danych
Przede wszystkim należy określić warunki techniczne urządzeń, z których pracownicy będą korzystali w domu.
Swoboda administratora
Co oczywiste, RODO nie odnosi się bezpośrednio do problemu zabezpieczenia danych osobowych przetwarzanych przez pracownika w ramach pracy zdalnej a już zwłaszcza w przypadku epidemii. Co za tym idzie, zastosowanie znajdują ogólne reguły RODO dotyczące zabezpieczania danych osobowych.
To czy i jakie środki zabezpieczające przetwarzanie danych powinien wdrożyć administrator danych, reguluje art. 24 RODO. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Konieczna aktualizacja dokumentacji ODO
To administrator powinien zatem samodzielnie ocenić czy i jakie środki bezpieczeństwa należy wdrożyć. Przede wszystkim należy dostosować do takiej sytuacji wewnętrzną dokumentację ODO.
Administrator powinien zmodyfikować określenie miejsca przechowywania danych osobowych, tj. dopisanie mieszkań pracowników do polityki bezpieczeństwa czy innego dokumentu opisującego przetwarzanie danych osobowych w organizacji.
Szczególne rozwiązania w związku z pracą zdalną
W związku z pracą zdalną możliwe jest:
- dopuszczenie do przetwarzania danych osobowych urządzeń innych podmiotów (w tym prywatnych urządzeń pracowników),
- dopuszczenie do przetwarzania danych osobowych poza siedzibą administratora (w mieszkaniu pracownika).
Konieczne określenie warunków technicznych urządzeń
Dopuszczenie do korzystania z takich urządzeń musi być połączone z określeniem warunków technicznych jakim te urządzenia powinny odpowiadać.
- Należy rozważyć wprowadzenie szyfrowania przesyłanych danych lub przedsięwzięcia innych, adekwatnych zabezpieczeń.
- Można też dopuścić okresowy audyt urządzeń nienależących do administratora.
- Warto rozważyć zakaz zapisywania danych logowania na tych urządzeniach (aby pracownik za każdym razem musiał te dane wpisywać „z pamięci”).
- Udostępnienie danych osobowych na żądanie zagranicznego sądu z innego kraju Unii Europejskiej
- Kontrola RODO w jednostce – czy może ją prowadzić Centrum Usług Wspólnych
- Zaświadczenie z Krajowego Rejestru Karnego i weryfikacja w Rejestrze Sprawców Przestępstw na Tle Seksualnym – czy konieczne w przypadku styczności z małoletnimi
- Zgoda marketingowa – w jakim zakresie i jak długo obowiązuje
- Udostępnienie danych osobowych na żądanie zakładu ubezpieczeń – w jakich przypadkach
- Weryfikacja niekaralności w Krajowym Rejestrze Karnym i Rejestrze Sprawców Przestępstw na Tle Seksualnym – czy dotyczy także niepełnoletnich
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
