Pytanie:  Pracownik wykonywał pracę zdalną. Niestety zgubił smartfon, na którym był dostęp m.in. do służbowej poczty elektronicznej. Sprzęt został po pewnym czasie odzyskany. Czy w związku z tym konieczne jest dokonanie analizy ryzyka lub oceny skutków przetwarzania dla ochrony danych?
Odpowiedź: 

W związku z opisanym zdarzeniem należy dokonać ogólnej analizy ryzyka. Nie ma natomiast konieczności przeprowadzenia oceny skutków przetwarzania dla ochrony danych. Przeprowadzenie DPIA byłoby konieczne tylko wówczas, gdyby doszło do utraty danych osobowych (np. ich wycieku).

Nie zawsze dojdzie do wycieku danych

Praca zdalna nie musi być wykonywana tylko w domu pracownika. Może się zdarzyć, że podwładny będzie ją wykonywał w miejscu publicznym. W takiej sytuacji nietrudno np. o zgubienie sprzętu lub jego kradzież.

Samo pozostawienie sprzętu z danymi osobowymi w miejscu nie oznacza jeszcze, że doszło do naruszenia ochrony danych. Niemniej jednak, jeśli sprzęt zostanie odzyskany, wtedy należy, korzystając z dostępnych możliwości technicznych, ustalić, czy nie doszło do wycieku danych osobowych.

Nie obędzie się bez analizy ryzyka

Jak to zrobić? Naturalnym rozwiązaniem wydaje się przeprowadzenie ogólnej analizy ryzyka. Wszak jest to obligatoryjny dla wszystkich administratorów osobowych wymóg oceny tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka, a jeśli tak, to jakie. Na administratorze danych spoczywa bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, dlatego powinien on dokonywać okresowej ogólnej analizy ryzyka. Jej celem jest ustalenie, czy i jakie prawa i wolności były zagrożone w wyniku zdarzenia.

Uwaga

Należy także ustalić, czy w okresie w stanie pozbawienia dostępu do urządzenia administrator mógł wykonywać prawa podmiotów danych. Przykładowo prawo dostępu do danych nie byłoby naruszone, gdyby kopia tych danych była zarchiwizowana.

Jaką metodologię analizy ryzyka należy w tej sytuacji wybrać? Nie ma w tym przypadku żadnej preferowanej. Administrator może wykorzystać dowolną metodologię, która umożliwi prawdziwą i kompletną ocenę ryzyka. Oczywiście jedną z powszechnie stosowanych metodologii jest  SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.

Uwaga

Ogólna analiza ryzyka powinna być odpowiednio udokumentowana. Wszak zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być zdolny do wykazania przestrzegania przepisów RODO. Dlatego warto analizę ryzyka przeprowadzić w formie pisemnej lub elektronicznej.

DPIA nie jest konieczne

Jak wiadomo, ocena skutków przetwarzania dla ochrony danych (DPIA) powinna być przeprowadzona, jeżelidany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 RODO).

W opisywanej sytuacji kluczowe dla stwierdzenia, czy konieczne będzie przeprowadzenie DPIA, jest ustalenie, czy doszło do utracenia danych osobowych. Jeżeli dane nie zostały utracone (nie nastąpił ich wyciek), wówczas nie występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych. Wówczas przeprowadzenie oceny skutków przetwarzania dla ochrony danych nie jest konieczne.