Jednym z podstawowych elementów jakim musieli stawić czoła pracodawcy w obliczu pandemii było podjęcie decyzji o pracy zdalnej w obliczu pandemii, jako elementu podnoszącego poziom ochrony zdrowia pracowników przy jednoczesnym kontunuowaniu działalności. Dla niektórych środowisk praca zdalna została narzucona przez akty prawne ( np. edukacja). W tej sytuacji warto podjąć się analizy roli Inspektora Ochrony Danych w podmiotach zobowiązanych do stosowania przepisów rozporządzenia ogólnego podczas przetwarzania danych w pracy zdalnej.
Po pierwsze warto zaznaczyć, że musi być to rola aktywna, gdyż obecny stan nie zwalnia podmioty z odpowiedzialności za ochronę danych osobowych, w tym nie zawiesza odpowiedzialności opisanej w rozporządzeniu i ustawie o ochronie danych. Zmienne środowiskowe jakie nastąpiły w związku z ochroną przez COVID – 19 powodują nowe ryzyka naruszenia praw i wolności osób fizycznych a zatem wymagają monitorowania zgodnie z art. 39 rozporządzenia ogólnego. W tym zakresie IOD w sposób szczególny powinien współuczestniczyć w planowaniu ( może bardziej już korygowaniu) pracy zdalnej jako procesu przetwarzania danych, jej realizacji w oparciu o zmienne środowiska, w tym również środowiska informatycznego oraz poddawaniu tych procesów ścisłemu nadzorowi poprzez proponowanie audytów takiego rodzaju działalności. Jest to możliwe tylko w przypadku utrzymywania stałej bliskości IOD z administratorem, również przy użyciu bezpiecznych narzędzi informatycznych oraz wypracowania stałego komunikacji oraz gotowości wspierania działań Administratora. Zatem po drugie – bliskość. Ta bliskość zapisana w Podręczniku IOD opracowanego przez Douwe Korffa to przecież jedna z podstawowych cech działalności inspektorów, w tym w szczególności świadczących usługi w systemie outsourcingowym. Równie ważnym elementem nadzoru nad przetwarzaniem danych jest obecnie korygowanie rejestru czynności przetwarzania lub może inwentaryzacja nowych czynności przetwarzania (art.30). Po trzecie to przygotowanie i realizowaniu audytów, w tym tak popularnych w środowisku list kontrolnych diagnozujących czynności przetwarzania oraz identyfikacja zagrożeń lub analiza incydentów.
W mojej praktyce ogromne zaznaczenie ma element dydaktyczny polegających na opracowywaniu i nagrywaniu krótkich webinariów poświęconych bezpieczeństwu danych kierowanych do kierownictwa lub pracowników przetwarzających dane. Celem takiej działalności jest podniesienie świadomości przetwarzania danych w złożonych środowisku pracy zdalnej. Rezultat tej pracy to znaczna korekta organizacji pracy zdalnej, zwiększenie udziału w jej przebiegu przez piony informatyczne lub informatyków oraz dobry feedback ze strony pracowników, również mających poczucie istotnego wsparcia.
Podsumowując nie ma możliwości właściwej realizacji pracy zdalnej w podmiotach zobowiązanych bez znaczącego udziału w niej Inspektów Ochrony Danych. Gdy wrócimy do stanu sprzed pandemii ocenimy przez pryzmat ilości incydentów psrawdzimy czy nasza koncepcja współpracy z IOD przyniosła określone rezultaty. Po prostu czy spełniła swoje zadanie.