Dowiedz się, czy pracownik może wykorzystywać prywatne urządzenie do przetwarzania danych
Możliwe jest umożliwienie przetwarzania danych osobowych za pomocą urządzeń prywatnych pracowników zarówno w siedzibie administratora, jak i poza nią. Wymaga to jednak wdrożenia odpowiednich środków technicznych i organizacyjnych.
Zarówno ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych oraz akty wykonawcze do niej, jak i rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) nie zabraniają administratorowi danych, aby w procesie przetwarzania danych osobowych dopuszczał ich przetwarzanie z wykorzystaniem prywatnego sprzętu IT (komputery, telefony).
Pracownicy przetwarzają dane na swoim sprzęcie – jakie zabezpieczenia wdrożyć
To, czy i jakie środki zabezpieczające przetwarzanie danych powinien wdrożyć administrator danych, reguluje art. 24 RODO. Zgodnie z tym przepisem „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. Oznacza to, że administrator danych powinien samodzielnie ocenić, m.in. czy:
- dopuścić prywatny sprzęt IT do przetwarzania danych osobowych,
- w związku z powyższym – dopuścić do przetwarzania danych osobowych poza swoją siedzibą.
RODO nie zakazuje przetwarzania danych osobowych poza miejscem wykonywania działalności przez administratora. Należy jednak dostosować do takiej sytuacji wewnętrzną dokumentację. Chodzi przede wszystkim o określenie miejsc przetwarzania danych osobowych, np. przez dopuszczenie przetwarzania danych osobowych na urządzeniach mobilnych, w tym urządzeniach prywatnych pracowników. Dopuszczenie do korzystania z takich urządzeń musi być połączone z określeniem warunków technicznych, jakim te urządzenia powinny odpowiadać. Należy rozważyć wprowadzenie szyfrowania przesyłanych danych lub zastosowanie innych, adekwatnych zabezpieczeń. Można dopuścić okresowy audyt urządzeń prywatnych. Warto rozważyć zakaz zapisywania danych logowania na urządzeniach prywatnych (tak aby pracownik za każdym razem musiał te dane wpisywać).
- Udostępnienie danych osobowych na żądanie zakładu ubezpieczeń – w jakich przypadkach
- Weryfikacja niekaralności w Krajowym Rejestrze Karnym i Rejestrze Sprawców Przestępstw na Tle Seksualnym – czy dotyczy także niepełnoletnich
- Udostępnienie danych osobowych właścicieli lokali – kiedy spółdzielnia musi to zrobić
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Dostęp do danych osobowych dla pełnomocnika
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
