Ochrona danych osobowych na prywatnym sprzęcie pracownika: 5 pytań po karze prezesa UODO

Dane osobowe wykorzystywane przez pracownika powinny być przetwarzane zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) nie tylko na służbowym, lecz także na prywatnym sprzęcie, na którym wykonuje on swoje obowiązki. Takie stanowisko wyraził Wojewódzki Sąd Administracyjny w wyroku z 5 października 2023 r., podtrzymując karę upomnienia nałożoną przez prezesa Urzędu Ochrony Danych Osobowych (UODO) na rzecznika finansowego. Podstawą do nałożenia kary był brak przeprowadzenia przez rzecznika jako administratora danych analizy ryzyka w związku z pracą zdalną i korzystaniem przez pracowników z prywatnych i służbowych komputerów. Zdaniem organów wykazałaby ona potrzebę wprowadzenia odpowiednich rozwiązań m.in. na wypadek kradzieży prywatnego komputera, do czego doszło w analizowanej sprawie.Od kiedy powszechnie stosujemy pracę zdalną, zagadnienie to stało się bardzo istotne dla wielu pracodawców. Poniżej przedstawiam najczęstsze wątpliwości pracodawców, z jakimi można się spotkać na tle przytoczonej sprawy w kontekście bezpiecznego umożliwienia pracownikom wykorzystywania ich prywatnego sprzętu do pracy na służbowych danych.