Opracowują więc zasady pracy zdalnej, organizują szkolenia dla pracowników i odbierają od nich potwierdzenia zapoznania się z nowymi procedurami oraz zobowiązania do ich przestrzegania. Bywa jednak, że wybierane środki bezpieczeństwa podejmowane są w sposób mechaniczny, bez uprzedniego przeprowadzenia stosownej analizy ryzyka.

Taki zarzut postawił Prezes UODO pracodawcy, który umożliwił swojemu pracownikowi pracę z wykorzystaniem komputera prywatnego. Jak wynika z komunikatu Prezesa UODO (https://uodo.gov.pl/pl/138/2925), doszło do naruszenia ochrony danych osobowych będącego wynikiem kradzieży tego komputera. Na urządzeniu przechowywane były natomiast dane osobowe, które pracownik przetwarzał w ramach wykonywania obowiązków pracowniczych na rzecz administratora danych.

W powyższej sprawie organ uznał, że pracodawca pozostaje administratorem danych osobowych i jest za nie odpowiedzialny, pomimo że stosunek pracy z danym pracownikiem ustał, a do kradzieży doszło już po rozwiązaniu umowy o pracę. W szczególności jednak zarzucił administratorowi, że nie przeprowadził właściwej analizy ryzyka w związku z pracą zdalną pracowników i korzystaniem przez nich zarówno z prywatnych, jak i służbowych komputerów. W konsekwencji zaś nie zastosował odpowiednich środków bezpieczeństwa, w tym nie upewnił się, czy pracownik - po zakończeniu pracy - skutecznie i trwale usunął dane osobowe ze swojego komputera. Ponadto, pomimo iż pracownik był zobowiązany do łączenia się przez VPN, korzystania z odpowiednich programów do szyfrowania plików oraz stosowania haseł do logowania i ich okresowej zmiany, to z przedstawionych dokumentów nie wynikało, aby szyfrowaniu podlegał także dysk twardy, a ten został skradziony.

W komunikacie Prezesa UODO podkreślono natomiast, że ciężar dowodowy w tym przypadku leży po stronie administratora i to on powinien być w stanie wykazać, że prywatny laptop pracownika został odpowiednio zabezpieczony przed potencjalnym nieuprawnionym dostępem do danych osobowych, które się na nim znajdowały.

Powyższe stanowisko Prezesa UODO jest już kolejnym dotyczącym kwestii zarządzania ryzykiem jako fundamentu działań związanych z ochroną danych osobowych. Potwierdza ono, że stosowane przez administratora rozwiązania powinny być adekwatne do poziomu ryzyka oszacowanego w ramach analizy, przeprowadzonej w sposób rzetelny, praktyczny, z uwzględnieniem okoliczności wpływających na ten poziom w konkretnej sprawie. Jeśli analiza jest przeprowadzona w sposób niekompletny, to i środki zastosowane w jej wyniku mogą okazać się niewystarczające.

Jeśli zatem pracodawca decyduje się na umożliwienie pracownikom pracy na ich prywatnym sprzęcie, powinien przeanalizować wszystkie związane z tym ryzyka, które mogą być odmienne niż w przypadku pracy  na sprzęcie należącym do pracodawcy, który na koniec współpracy pracownik musi oddać. Konieczne mogą się okazać nie tylko zabezpieczenia techniczne analogiczne jak na komputerach służbowych, ale również wprowadzenie polityk zobowiązujących pracownika do udostępnienia komputera w celu weryfikacji zabezpieczeń czy usunięcia danych należących do pracodawcy po rozwiązaniu stosunku pracy.

W przypadku, kiedy ryzyko się zmaterializuje i dojdzie do naruszenia, w interesie administratora leży wykazanie, że analiza ryzyka przeprowadzona została z zachowaniem należytej staranności, a zastosowane procedury i środki bezpieczeństwa są optymalne dla oszacowanego ryzyka. Wszystkie przeprowadzone analizy oraz podjęte w związku z tym decyzje i czynności powinny być zatem odpowiednio udokumentowane zgodnie z zasadą rozliczalności.