Pracownik przetwarza dane osobowe na prywatnym komputerze – co na to przepisy
Tak, pracownicy mogą przetwarzać dane osobowe na prywatnych komputerach, jednak aby było to możliwe, trzeba spełnić kilka warunków.
Pracodawca powinien udzielić pracownikowi, który będzie przetwarzał dane osobowe na prywatnym komputerze, upoważnienia do przetwarzania danych osobowych. Taki obowiązek wynikał wprost z ustawy o ochronie danych osobowych z 1997 roku. Można go także wywieść z art. 5 ust. 1 lit. f RODO (zasada integralności i poufności) i art. 32 ust. 1 RODO (administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych). RODO nie wymaga natomiast prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Nie trzeba zawierać z pracownikiem umowy powierzenia przetwarzania danych osobowych, ponieważ osoba zatrudniona pracowniczo u administratora danych osobowych pozostaje w strukturach tego administratora, wystarczy więc samo upoważnienie do przetwarzania danych. W upoważnieniu należy wskazać, jakie dane pracownik może przetwarzać.
Jakie zmiany wprowadzić w dokumentacji
Istotną sprawą jest dostosowanie dokumentacji ochrony danych osobowych. Należy wskazać w niej lokalizacje, w jakich mogą być przetwarzane dane osobowe w związku z możliwością ich przetwarzania na prywatnych komputerach pracowników. Należy więc określić, że są to miejsca zamieszkania pracowników lub – w przypadku urządzeń mobilnych – każde miejsce, gdzie aktualnie znajdzie się laptop pracownika. Można naturalnie te lokalizacje ograniczyć w dowolny sposób (np. wyliczając miasta, poza które laptop nie może „wyjechać”). Kolejna kwestia to sprecyzowanie w dokumentacji, jakiego rodzaju zabezpieczenia są stosowane na komputerach prywatnych.
Należy rozważyć także sprecyzowanie nowych zadań inspektora ochrony danych (ABI) związanych z tym, że dane osobowe będą się znajdowały także na komputerach prywatnych (np. okresowy audyt, możliwość zdalnej administracji laptopem). Pamiętajmy też o nowym obowiązku wynikającym z RODO – prowadzenie rejestru czynności przetwarzania danych osobowych, który także powinien wskazywać na przetwarzanie danych osobowych poza siedzibą ADO, na komputerach prywatnych pracowników.
O czym jeszcze trzeba pamiętać
Warto rozważyć zobowiązanie pracowników do niezwłocznego powiadamiania inspektora ochrony danych (ABI) o wszelkich przypadkach naruszenia ochrony danych osobowych tak, aby ten mógł wypełnić obowiązek z RODO zgłaszania takich naruszeń do organu nadzorczego. Wreszcie, jeżeli dane osobowe na prywatnych komputerach pracowników oznaczają wprowadzenie nowego rodzaju przetwarzania danych osobowych, to nie obejdzie się bez przeprowadzenia oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych (art. 35 RODO). Także wykonanie prawa do bycia zapomnianym, polegające na usunięciu danych osobowych także z prywatnego komputera pracownika, będzie musiało zostać zapewnione w dokumentacji ochrony danych osobowych u danego ADO.
- Udostępnienie danych osobowych właścicieli lokali – kiedy spółdzielnia musi to zrobić
- Transmisja obrad rady gminy – czy konieczna umowa powierzenia przetwarzania
- Wycofanie zgody na przetwarzanie danych – okres przechowywania oświadczenia
- Wyszukiwanie danych osobowych w darknecie na zlecenie – czy konieczna umowa powierzenia przetwarzania danych
- Umowa podpowierzenia przetwarzania danych w związku z realizacją projektu unijnego
- Dostęp do służbowego e-maila po zwolnieniu pracownika z pracy
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
