Coraz częściej pracownicy i współpracownicy korzystają z własnych laptopów, telefonów i tabletów podczas wykonywania obowiązków służbowych. Zjawisko to znane jest jako BYOD (z ang. Bring Your Own Device, o czym więcej informacji można znaleźć w Komunikacie IOD-y). Rodzi ono szereg pytań dotyczących zgodności z RODO, szczególnie w zakresie bezpieczeństwa danych oraz zapewnienia właściwej kontroli nad ich przetwarzaniem.
SPOSOBY KORZYSTANIA Z PRYWATNYCH URZĄDZEŃ W CELACH SŁUŻBOWYCH
W praktyce zdarzają się sytuacje, w których pracownik korzysta z prywatnego laptopa lub telefonu wyłącznie po to, aby zalogować się na służbowe konto Google bądź Microsoft 365, sprawdzić pocztę przy użyciu przeglądarki internetowej, wyświetlić dokument online w usłudze chmurowej albo edytować go bez pobierania na urządzenie. W takim modelu pracy pliki pozostają w środowisku administratora i nie są zapisywane na dysku twardym. Wówczas komputer pełni rolę terminala i nie są na nim przechowywane w sposób trwały żadne dane.
Oznacza to, że organizacja wciąż zachowuje pełną kontrolę, ponieważ dane są przechowywane infrastrukturze administratora. W związku z tym korzystanie z prywatnego sprzętu wyłącznie do dostępu online nie wymaga dodatkowych zgód, umów ani szczególnych procedur, o ile dane nie są pobierane i zapisywane na urządzeniu.
POBIERANIE DANYCH NA PRYWATNY SPRZĘT
Sytuacja ulega zasadniczej zmianie wówczas, gdy pracownik zaczyna zapisywać dane osobowe na urządzeniu przenośnym. Jeśli jest to służbowy laptop, należy upewnić się, że ma on zaszyfrowany dysk twardy. Ale nawet w przypadku prawidłowego zabezpieczenia urządzenia, jego utratę należy zgłosić jako incydent.
Natomiast jeśli pracownik (lub osoba zatrudniona na innej podstawie) zapisuje na prywatnym komputerze załączniki z danymi pobrane z poczty, „ściąga” pocztę do Outlooka (lub innego programu pocztowego) zainstalowanego na komputerze lub przechowuje pliki Word, Excel, PDF czy skany – dane trafiają do pamięci urządzenia. W takich sytuacjach konieczne jest wdrożenie dodatkowych zabezpieczeń organizacyjnych.
W opisach wyżej przypadkach dane osobowe trafiają do środowiska, nad którym organizacja nie ma żadnej technicznej kontroli. W szczególności administrator nie ma możliwości usunięcia danych po zakończeniu współpracy z pracownikiem ani wdrożenia zasad bezpieczeństwa takich jak funkcjonujące na urządzeniach organizacji (np. oprogramowanie antywirusowe czy szyfrowanie dysku). Tego rodzaju przetwarzanie przypomina działania podmiotu przetwarzającego, co uzasadnia konieczność wprowadzenia dodatkowych regulacji umownych analogicznych do powierzenia przetwarzania.
Zapisywanie danych osobowych na dyskach prywatnych (komputera, laptopa, telefonu czy pendrive’a) jest traktowane jako sytuacja szczególna. Co do zasady dane te powinny być przechowywane w środowisku chmurowym udostępnionym przez organizację (np. Google Workspace). Natomiast każdy przypadek lokalnego zapisu danych na prywatnym urządzeniu powinien zostać zgłoszony do IOD lub IT.
W sytuacjach incydentalnych, gdy plik jest potrzebny jedynie chwilowo, jednorazowe zapisanie go na prywatnym urządzeniu może być dopuszczalne, pod warunkiem, że zostanie następnie trwale usunięty. Zwykłe skasowanie pliku nie jest wystarczające, dlatego należy używać narzędzi umożliwiających jego skuteczne usunięcie (przez nadpisanie przestrzeni pamięci), takich jak np. Eraser.
Jeżeli dane są spseudonimizowane (np. prace studentów oznaczone wyłącznie numerem indeksu, który bez skorzystania z dodatkowych zestawień nie pozwala na identyfikację konkretnej osoby), zapisywanie ich na prywatnym urządzeniu może być uznane za działanie bezpieczne i nie wymaga co do zasady zawierania umowy powierzenia przetwarzania. Jednakże należy mieć przy tym na uwadze stanowisko TSUE (wyrok z 4 września 2025 r., C-413/23 P). Wynika z niego, że ocena, czy spseudonimizowane informacje stanowią dane osobowe, zależy od realnej możliwości identyfikacji po stronie przetwarzającego je podmiotu. W praktyce oznacza to konieczność indywidualnej oceny czy osoba korzystająca z prywatnego urządzenia ma w momencie przetwarzania danych możliwość ponownej identyfikacji osób, których one dotyczą.
Przenoszenie papierowych dokumentów w postaci nieuporządkowanych zestawów nie wymaga zawierania umowy powierzenia przetwarzania, choć materiały te powinny być zabezpieczone przed dostępem osób nieuprawnionych. Jeżeli natomiast nie zawierają one danych osobowych (np. dokumenty ze skutecznie zamaskowanymi fragmentami), ich pobieranie i przetwarzanie nie podlega przepisom RODO, co wyłącza obowiązek stosowania opisanych tutaj zasad.
PRZED ZAPISANIEM DANYCH OSOBOWYCH NA PRYWATNYM SPRZĘCIE
W praktyce zaleca się, aby każdy pracownik, który pobiera służbowe dokumenty na prywatny sprzęt – albo przewiduje, że taka potrzeba może pojawić się w przyszłości – wystąpił o formalne uregulowanie zasad przetwarzania danych w tym środowisku. W takiej sytuacji należy złożyć wniosek o zgodę na przetwarzanie danych osobowych na prywatnym urządzeniu, a następnie zawrzeć z pracodawcą umowę powierzenia przetwarzania, która określi szczegółowe zasady i zakres odpowiedzialności.
Zapisywanie danych na sprzęcie służbowym nie wymaga zawierania dodatkowej umowy, jednak można go używać poza organizacją wyłącznie wówczas, gdy zostało właściwie zabezpieczone.
PODSUMOWANIE
Umowa powierzenia przetwarzania danych nie jest potrzebna w sytuacji, gdy pracownik korzysta z prywatnego urządzenia wyłącznie w celu zalogowania się do środowisk chmurowych, takich jak Google czy Microsoft (pracuje jedynie online), nie pobierając żadnych dokumentów na swój sprzęt. Natomiast gdy dane osobowe są pobierane na prywatny sprzęt, konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych.