Czy przy pracy zdalnej pracowników administrator danych ma obowiązek aktualizować rejestr czynności przetwarzania?

PYTANIE SZCZEGÓŁOWE

Chciałabym zapytać o aktualizacje rejestru czynności przetwarzania dotyczącą pracy zdalnej. Nasi pracownicy pracują zdalnie, aczkolwiek polega to tylko na odbieraniu bądź wysyłaniu e-maili. Czy aktualizując rejestr powinno się dokonać zmian tylko w zakresie konkretnego zbioru danych oraz form zabezpieczenia? Czy należy pracę zdalną ująć jako oddzielną czynność przetwarzania i w związku tym uwzględnić wszelkie pozycje wymagane przez art. 30 ust. 1 RODO?

ODPOWIEDŹ

Sposób aktualizacji zależy od tego, jak obecnie jest skonstruowany rejestr. Standardowo rejestr czynności przetwarzania jest dzielony na procesy (rekrutacja, zatrudnienie, marketing, klienci itd.) W ramach pracy zdalnej tak naprawdę nie dochodzi do nowej czynności przetwarzania (nowego procesu), gdyż to samo, co pracownik robi w domu, robił też wcześniej pracując w biurze. Innymi słowy, na danych dokonywane są te same operacje co wcześniej, w ramach „normalnego” trybu pracy.

Jeżeli chodzi o aktualizację stosowanych zabezpieczeń w rejestrze, to istotne jest, czy pracownicy będą pracować na sprzęcie służbowym czy prywatnym. Jeżeli na służbowym, to zabezpieczenia sprzętu w postaci np. VPN, hasła czy programu antywirusowego pozostają niezmienne. Jeżeli na prywatnym, to wówczas warto zobowiązać pracownika do stosowania na swoim sprzęcie określonych zabezpieczeń np. za pomocą regulaminu pracy zdalnej. Taki regulamin będzie określał nie tylko wymagane zabezpieczenia sprzętu (w tym różnych nośników danych), ale także sposób postępowania z danymi osobowymi zapisanymi na papierze.

Podsumowując, będzie potrzeby „dokładania” kolejnych procesów do rejestru czynności przetwarzania, ale zachodzić będzie potrzeba uzupełnienia stosowanych zabezpieczeń w tych procesach, które dotyczą osób, których dane przetwarzane są zdalnie.