Każda organizacja przetwarza dane osobowe, a właściwie dane osobowe w ramach organizacji przetwarzają jej poszczególni pracownicy czy współpracownicy. Praca zdalna spowodowała, że w obecnych czasach znaczna część danych osobowych przetwarzana jest w zupełnie nowych miejscach (poza biurem), w inny sposób niż dotychczas i przy wykorzystaniu nowych narzędzi.
Jak stosować RODO w pracy zdalnej?
Praca zdalna zmieniła uwarunkowania związane z przetwarzaniem danych osobowych, a tym samym spowodowała konieczność dostosowania dotychczas ustalonych reguł do nowych okoliczności.
Praca zdalna zmieniła uwarunkowania związane z przetwarzaniem danych osobowych, a tym samym spowodowała konieczność dostosowania dotychczas ustalonych reguł do nowych okoliczności. Przetwarzanie danych osobowych w ramach pracy zdalnej wymaga odpowiedniego ich zabezpieczenia. Jedną z głównych zasad wynikających z art. 5 RODO jest konieczność przetwarzania danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności danych osobowych).
O bezpieczeństwo danych osobowych powinni dbać wszyscy zatrudnieni w organizacji, z nią współpracujący czy wspierający ją w innej formie, np. wolontariusze. Jednocześnie to nie na tych osobach bezpośrednio spoczywa obowiązek ustalenia reguł związanych z bezpiecznym przetwarzaniami danych osobowych.
Praca zdalna – z czego może wynikać konieczność ponownego przeanalizowania zabezpieczeń.
Jak wskazuje art. 24 ust. 1 RODO to administrator (czyli organizacja pozarządowa) wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO, a także żeby móc to wykazać zgodnie z tzw. zasadą rozliczalności. Ustalając wspomniane środki administrator bierze pod uwagę charakter, zakres, kontekst oraz cele przetwarzania danych osobowych. Administrator bierze również pod uwagę ryzyko naruszenia praw lub wolności osób fizycznych, do którego może dojść w wyniku przetwarzania danych osobowych. Dobrane środki w razie potrzeby administrator zobowiązany jest poddawać przeglądom i uaktualnieniom.
Jak postępować przy pracy zdalnej, żeby zapewnić bezpieczeństwo danych osobowych?
Warto korzystać z wydanych wskazówek Urzędu Ochrony Danych Osobowych dotyczących m.in. sposobu korzystania z urządzeń służących do przetwarzania danych osobowych, wysyłania maili czy dostępu do sieci. Wspomniane wskazówki zostały skierowane co prawda do pracownika, jednak mogą okazać się również pomocne dla całej organizacji – jako administratora danych osobowych. W szczególności nie ma wątpliwości, że w sytuacji, w której pracownik korzysta ze służbowego sprzętu, powinien stosować się do reguł określonych przez pracodawcę. Nie powinien instalować na komputerze służbowym dodatkowych aplikacji czy oprogramowania, w tym w szczególności z niesprawdzonych i nieznanych źródeł. Urządzenia powinny mieć niezbędne aktualizacje systemu operacyjnego oraz powinny mieć zainstalowane aktualne oprogramowanie antywirusowe. Maile powinny być wysyłane w sposób świadomy. W temacie maila nie powinno się umieszczać danych osobowych. Należy dbać o właściwe zaadresowanie maila i korzystać z opcji „kopii ukrytych”. Nie należy otwierać wiadomości od nieznanych nadawców. Sieć powinna być zabezpieczona. Za wysoce ryzykowane uznaje się korzystanie z otwartych sieci publicznych, natomiast sieć VPN będzie najprawdopodobniej lepiej zabezpieczona niż sieć WI-FI używana przez pracownika w jego domu. Należy pamiętać, że to organizacja jako administrator odpowiada za bezpieczne przetwarzanie danych osobowych i odpowiedzialność ta nie powinna być przerzucana na pracowników lub też współpracowników tej organizacji.Przy ustalania zasad związanych z przetwarzaniem danych osobowych, przy dostosowywaniu polityk dotyczących przetwarzania danych osobowych, w tym polityk bezpieczeństwa, oprócz przywołanych wyżej wskazówek UODO, należy brać pod uwagę różnego rodzaju okoliczności związane z tych polityk realizacją. Ustalane reguły nie mogą być nierealne i niemożliwe do spełnienia dla pracownika czy współpracownika organizacji. Ze wskazówek opublikowanych przez UODO wynika, że zanim pracownik przystąpi do pracy powinien wydzielić sobie odpowiednią przestrzeń, aby ewentualne osoby postronne nie miały dostępu do dokumentów, nad którymi pracuje.