Epidemia koronawirusa obfituje w sytuacje dotąd nieznane i stanowi duże wyzwanie również z perspektywy ochrony danych osobowych.
Jak wygląda praca zdalna a RODO? Na najczęściej zadawane pytania w tym zakresie odpowiada radca prawny, mec. Andrzej Piotr Wilk oraz aplikant radcowski, mec. Katarzyna Świerkot, eksperci ds. ochrony danych osobowych z kancelarii prawnej Chałas i Wspólnicy.
Praca zdalna i RODO: nawet podczas epidemii
„(…) nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych i we wszystkich przypadkach należy przypomnieć, że wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne. Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego.”
(dostęp: https://uodo.gov.pl/pl/138/1463)
Wysłanie pracowników do pracy zdalnej wymaga od pracodawcy przedsięwzięcia nawet większej ilości środków zapobiegawczych i ochronnych niż w sytuacji, gdy wszyscy pracownicy byliby normalnie w biurze – trzeba zadbać o odpowiednie procedury wewnętrzne.
Zasada privacy by design – czym jest?
Przyjmowane rozwiązania pracy zdalnej muszą już w fazie ich projektowania być zgodne z rozporządzeniem RODO – zasada privacy by design (art. 25 rozporządzenia RODO).
Należy pamiętać, że pracownicy mają dostęp do szczególnie istotnych danych, stanowiących nierzadko tajemnicę przedsiębiorstwa. Ich wyciek może narazić firmę na ogromne straty.
W dodatku pracownicy mają dostęp do danych osobowych. Z tego względu należy zapewnić każdemu z pracowników odpowiednie szkolenie z zakresu obowiązującej w firmie procedury bezpieczeństwa oraz zasad korzystania z narzędzi. Jak również zadbać o udokumentowanie tego faktu. Dobrze wdrożyć jest (o ile jeszcze tego nie zrobiono) oświadczenia o zachowaniu poufności oraz upoważnienia do przetwarzania danych osobowych, jak również sam rejestr takich upoważnień.
Praca zdalna a RODO: zasady
Warto wskazać, że to na nich (Administratorach) spoczywa na podstawie art. 5 RODO obowiązek wykazania Urzędowi Ochrony Danych Osobowych, iż przetwarzają dane osobowe zgodnie z RODO i w tym zakresie podjęli wszystkie niezbędne kroki i narzędzia. Zwrócił na to uwagę Prezes UODO w komunikacie z dnia 17.03.2020 r. podkreślając wagę wewnętrznych zasad i procedur organizacyjnych dot. logowania, udostępniania danych i przetwarzania danych (dostęp: https://uodo.gov.pl/pl/138/1459).
Pracodawcy powinni udostępniać pracownikom odpowiedni sprzęt i oprogramowanie. Wprawdzie w komunikacie z dnia 17.03.2020 r. Prezes UODO dopuścił możliwość wysyłki korespondencji służbowej z maila prywatnego, to sytuacja ta powinna występować w drodze wyjątku i mieć charakter awaryjny. Dodatkowo Prezes UODO zwrócił również uwagę na kwestie szyfrowania i przestrzegania zasad przetwarzania danych osobowych w komunikacji mailowej – odpowiednie tytuł wiadomości itp.
Praca zdana a RODO: o czym pamiętać?
Zgodnie z treścią art. 32 rozporządzenia RODO uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, powinno uwzględniać się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Komunikat UODO ww. kontekście przypomina również o kwestiach:
- nie instalowania dodatkowych aplikacji i oprogramowania niezgodnego z wewnętrzną procedurą organizacji, np. dokumentem polityka pracy zdalnej w organizacji;
- ciągłego zapewnienia aktualności oprogramowania, w tym systemu antywirusowego, sytemu operacyjnego;
- zapewnienia bezpiecznej przestrzeni do pracy z danymi osobowymi;
- stosowaniu adekwatnych haseł, wielopoziomowych uwierzytelnień;
- podejmowaniu szczególnych środków ochrony sprzętów na których przetwarzane są dane osobowe;
- nie przesyłaniu mailem informacji zaszyfrowanej razem z hasłem pozwalającym na jej odszyfrowanie;
- odpowiedniej organizacji miejsca pracy w domu tak by zapewnić poufność danych osobowych;
- łączenia się z zaufanymi źródłami dostępu do sieci, oraz stosowania VPN, szyfrowania komunikacji.
Pamiętaj o urządzeniach mobilnych
Pamiętać należy również o urządzeniach przenośnych. Je również powinniśmy aktualizować. Powinny zawierać oprogramowanie antywirusowe i odpowiednią politykę haseł, w tym ich długość i częstotliwość zmiany. Trzeba również pamiętać o sprawdzeniu czy nowe aplikacje i oprogramowanie, które stosujemy nie spowoduje konieczności wprowadzenia zmian w klauzulach informacyjnych czy rejestrze czynności przetwarzania. Może tak być ze względu np. na transfer danych poza obszar Europy. W tym zakresie należy zadbać o kwestia podstawy transferu).
Licencje na oprogramowanie powinny mieć charakter komercyjny, a nie osobisty. W grę wchodzi nie tylko kwestia pozostawania w zgodzie z licencjami, ale również zawierania umów powierzenia przetwarzania danych osobowych. Często takie postanowienia zawarte są w regulaminach usługi. Oprogramowanie do użytku osobistego może nie spełniać kryteriów bezpieczeństwa w zakresie przetwarzania danych osobowych.
Nie można zaniedbywać rejestru czynności przetwarzania czy rejestru kategorii czynności przetwarzania – dokumenty te powinny być stale aktualizowane. Warto zadbać o stworzenie także rejestru obszarów przetwarzania tak by zapanować nad rozproszeniem miejscowym w zakresie przetwarzanych danych osobowych. Najczęstszym i bardzo poważnym błędem są zaniedbania w zakresie obowiązku zapewnienia aktualności danych osobowych (zasada prawidłowości). Również o wykonywaniu odpowiednich kopii, aby nie doszło do ich przypadkowej utraty lub zniszczenia lub uszkodzenia (zasada integralności i poufności).
materiał prasowy