Zgubienie sprzętu z danymi osobowymi – jak zareagować

Praca zdalna nie musi być wykonywana tylko w domu pracownika. Może się zdarzyć, że podwładny będzie ją wykonywał w miejscu publicznym, np. w parku. Co w sytuacji, gdy zgubi urządzenie, na którym istnieje dostęp do bazy danych osobowych przechowywanych przez pracodawcę?

Samo pozostawienie sprzętu z danymi osobowymi w miejscu publicznym nie jest jeszcze równoznaczne z naruszeniem ochrony danych. Jeżeli sprzęt zostanie odzyskany, wówczas należy, skorzystawszy z dostępnych możliwości technicznych, przede wszystkim ustalić, czy osoby nieuprawnione uzyskały dostęp do danych osobowych.

W tym celu powinniśmy rozważyć, czy konieczne jest dokonanie analizy ryzyka i oceny skutków przetwarzania dla ochrony danych. Ogólna analiza ryzyka to obligatoryjny dla wszystkich administratorów osobowych wymóg oceny tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, to ten sam administrator musi dokonywać okresowej ogólnej analizy ryzyk zagrażających temu przetwarzaniu.

Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, aby tylko pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to może stanowić przedmiot zainteresowania organu nadzorczego w toku ewentualnej kontroli. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.

Z kolei ocena skutków przetwarzania dla ochrony danych (DPIA) powinna być przeprowadzona, jeżelidany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 RODO).

Jeżeli dane nie zostały utracone, wówczas nie powstaje wysokie ryzyko naruszenia praw i wolności osób fizycznych. Dlatego nie ma konieczności przeprowadzania DPIA. Natomiast konieczne jest ogólne przeanalizowanie ryzyka. Innymi słowy, administrator powinien zastanowić się m.in. nad tym, czy i jakie prawa i wolności były zagrożone naruszeniem i czy doszło do naruszenia.

Sama czasowa utrata dostępu do sprzętu komputerowego nie jest jeszcze równoznaczna z naruszeniem ochrony danych. Jeżeli jednak dojdzie do nieuprawnionego dostępu do danych, to oczywiście należy zawiadomić o naruszeniu Prezesa UODO. Natomiast w przypadku gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – także te osoby.