Z całą pewnością konieczna jest aktualizacja analizy ryzyka w organizacji. Niewykluczone może być także przeprowadzenie oceny skutków przetwarzania co do ochrony danych.
Analiza ryzyka a praca zdalna
W sytuacji gdy pracodawca:
- kieruje pracowników do nietypowej dotychczas dla nich pracy zdalnej lub
- pomimo praktykowania dotychczas pracy zdalnej zmieniły się okoliczności przetwarzania danych osobowych,
powinien on przeanalizować ryzyko związane z działalnością w trybie pracy zdalnej. Wskutek wprowadzenia w organizacji pracy zdalnej zmieniają się bowiem okoliczności przetwarzania danych osobowych, a w konsekwencji niektóre dane osobowe mogą wymagać większej ochrony niż dotychczas (zobacz przykłady 1−3).
Pracownik skierowany do pracy zdalnej wykonuje obowiązki służbowe za pomocą laptopa, na którym jest stały dostęp do bazy danych klientów. Dostęp do tej bazy ma także kierownictwo zakładu pracy, ale jedynie raz na tydzień, kiedy to pracownik przesyła kopię zapasową bazy na komputery kierownictwa. Wystarczy, że pracownik będzie niezdolny do pracy, np. trafi do szpitala, a wówczas organizacja traci bieżący dostęp do danych osobowych klientów. Z tego względu ogólna analiza ryzyka powinna uwzględniać niebezpieczeństwo nagłej utraty dostępu do danych osobowych.
Pracownicy, którzy będą wykonywać pracę zdalną, otrzymali dane osobowe na firmowych dyskach USB. Dyski te wydano pracownikom do domu. Rodzi się wówczas ryzyko zgubienia dysków, w związku z czym należy to uwzględnić w ogólnej analizie ryzyka.
Dotychczas w firmie dane osobowe były gromadzone w systemie, który sprawdzał się w pracy stacjonarnej. System ten nie jest jednak dostosowany do pracy zdalnej, w związku z czym organizacja opracowuje i wdraża nowy system. Przejście na ten system może rodzić nowe rodzaje ryzyka, np. kradzieży danych. Zmiana systemu wymaga aktualizacji ogólnej analizy ryzyka.
Praca zdalna może wiązać się z koniecznością oceny skutków
Nie jest wykluczone, że przeprowadzona w związku z wprowadzeniem pracy zdalnej ogólna analiza ryzyka wykaże, iż określone działania wygenerują wzrost poziomu ryzyka naruszenia praw lub wolności osób fizycznych (np. ze średniego na wysoki). W takiej sytuacji konieczne będzie też przeprowadzenie oceny skutków przetwarzania co do ochrony danych. Poza tym może okazać się, że administrator uprzednio sporządził ocenę skutków w odniesieniu do danego rodzaju przetwarzania, jednak okoliczności (np. przestarzała technologia) na tyle się zmieniły, że ocenę skutków należy przeprowadzić ponownie (zobacz przykład 4).
Administrator w związku z zamiarem wprowadzenia pracy zdalnej musi zaktualizować system IT, który służy do przetwarzania danych w organizacji. Dotychczasowy system jest przestarzały, odsłonięty na ataki i przez to zupełnie nie służy do zadań pracy zdalnej (generowałoby to wysokie ryzyko naruszenia praw i wolności podmiotów danych). Aby ustalić, jakie ulepszenia są konieczne, administrator powinien dokonać oceny skutków przetwarzania co do ochrony danych.
