LexDigital

Urządzenia mobilne pracowników a RODO

Mobilne urządzenia wielu pracowników - telefony i laptopy - zawierają bazy danych kontrahentów firmy, historię wszystkich kontaktów oraz dane osobowe klientów i współpracowników. Z tego powodu niezbędne jest należyte ich zabezpieczenie przed naruszeniami ochrony danych osobowych.

Urządzenia mobilne pracowników a RODO

Ochrona danych osobowych

Na gruncie RODO obowiązkiem każdego administratora jest zapewnienie należytej ochrony danych przed naruszeniami, przez co rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. RODO nie wprowadza obowiązku stosowania konkretnych rozwiązań, mających na celu zabezpieczenie przetwarzanych danych, pozostawiając to do oceny samemu administratorowi.

Urządzenia służbowe

Przepisy RODO nie zawierają jakichkolwiek przeciwwskazań, aby dane osobowe były przetwarzane przez przedstawicieli danej organizacji za pomocą urządzeń mobilnych. Wskazują jedynie aby w takim przypadku zastosować odpowiednie techniczne i organizacyjne środki zabezpieczeń danych osobowych. Jednym z najistotniejszych rodzajów zabezpieczeń, jakie powinien wprowadzić pracodawca, jest należyta polityka w zakresie postępowania z telefonami i innymi urządzeniami mobilnymi takimi jak np. tablet. W tym przypadku istnieje bowiem bardzo duże ryzyko utracenia przechowywanych tam danych, w wyniku zgubienia urządzenia czy jego kradzieży. Dlatego też niezbędne wydaje się zaszyfrowanie urządzeń i zarządzanie nimi w taki sposób, aby móc w każdej chwili je zablokować czy usunąć znajdujące się na nich dane, w szczególności w sposób zdalny w przypadku utraty urządzenia.

Ponadto urządzenia mobilne powinny być zabezpieczone odpowiednimi środkami uwierzytelniania, takimi jak nr PIN, wpisywany przy każdym odblokowaniu telefonu. Konieczne jest również zainstalowanie na urządzeniach mobilnych odpowiedniego oprogramowania antywirusowego, tak aby zmniejszyć ryzyko zainfekowania takiego urządzenia złośliwym oprogramowaniem.

Niezwykle istotną kwestią jest przyjęcie w ramach organizacji polityki wykorzystywania urządzeń mobilnych w celach służbowych. Może ona stanowić element stosowanej w przedsiębiorstwie polityki bezpieczeństwa. Powinna wskazywać, że pracownicy mogą wykorzystywać w celu realizowania swoich obowiązków pracowniczych, związanych z koniecznością przetwarzania danych osobowych wyłącznie urządzenia udostępnione przez pracodawcę, posiadające odpowiednie zabezpieczenia i oprogramowanie antywirusowe. Zasadne jest także ustanowienie zasad postępowania z takimi urządzeniami – zakaz wykorzystywania ich w prywatnych celach, udostępniania osobom trzecim (także członkom rodziny pracownika) czy też instalowania aplikacji, które nie są niezbędne do wykonywania obowiązków danego pracownika. Ponadto szczegółowe regulacje powinny obejmować ewentualne ograniczenia dotyczące wykorzystywania publicznych sieci wifi lub pozostawiania urządzenia bez nadzoru pracownika, w szczególności w miejscach dostępnych dla szerokiego grona osób trzecich.

Chmura danych a urządzenia mobilne

Wielu przedsiębiorców w swojej działalności wykorzystuje rozmaite usługi chmurowe, które umożliwiają dostęp do jednego zbioru danych przez kilka osób. Może się to odbywać w tym samym czasie, a poszczególne osoby są uprawnione np. do modyfikowania dokumentu pracując z dowolnego miejsca na świecie. W rzeczywistości dane przechowywane są na serwerze podmiotu oferującego usługę chmurową, który odpowiada za dostępność do danych i ewentualne zabezpieczenie serwera.

Dostęp do danych zapisanych w chmurze możliwy jest również za pomocą urządzeń mobilnych. Co do zasady nie stoi to w sprzeczności z zasadami wynikającymi z RODO, podobnie jednak jak w przypadku przetwarzania danych za pomocą innych środków, również w odniesieniu do danych zapisanych w chmurze na administratorze ciąży obowiązek ich odpowiedniego zabezpieczenia. Stąd też, jeżeli pracownik może uzyskać dostęp do dużej ilości danych zapisanych w chmurze za pomocą swojego urządzenia mobilnego, konieczność odpowiedniego zabezpieczenia telefonu czy tabletu staje się jeszcze bardziej istotna. Możliwe jest wprowadzenie np. szyfrowanych kanałów komunikacji w celu łączenia się z chmurą, tak aby utrudnić ewentualne przechwycenie przesyłanych komunikatów

Ponadto należy pamiętać o zawarciu stosownej umowy powierzenia przetwarzania danych z dostawcą usług chmurowych. Dostawca ten powinien spełniać wymogi dotyczące zabezpieczania danych osobowych, a obowiązek wyboru takiego podmiotu, który daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, spoczywa na administratorze.

Prywatne urządzenia mobilne a dane osobowe

W niektórych firmach obowiązuje polityka, zgodnie z którą pracownicy mogą wykorzystywać swoje prywatne urządzenia mobilne w celach służbowych. Praktyka taka pojawia się z reguły z uwagi na preferencje samych użytkowników, którzy nie chcą posiadać dwóch telefonów komórkowych – jednego służbowego i jednego prywatnego i wolą skupić wszystkie kanały komunikacji na swoim prywatnym telefonie. Rodzi to zwiększone ryzyko ewentualnego wycieku danych, jako że pracodawca ma ograniczone możliwości dostępu i kontroli prywatnego urządzenia mobilnego należącego do pracownika. Stąd też pojawiają się wątpliwości czy możliwe jest przetwarzanie danych osobowych na prywatnych urządzeniach pracowników.

Odpowiedź na to pytanie nie jest oczywista. W teorii bowiem, możliwe jest zezwolenie pracownikom na przetwarzanie danych osobowych na swoich prywatnych urządzeniach mobilnych także w celach służbowych. Konieczne jest jednak spełnienie określonych wymogów dot. zabezpieczania takiego urządzenia oraz przestrzeganie reguł narzuconych przez administratora danych, mających na celu np. zwiększenie bezpieczeństwa przechowywanych danych. Konsekwencją jest np. konieczność zainstalowania programu antywirusowego, wybranego przez pracodawcę, ograniczenie możliwości instalowania innych aplikacji, niezwiązanych z pracą, czy też zakaz udostępnienia telefonu np. dziecku do zabawy. Niejednokrotnie przetwarzanie służbowych danych osobowych na prywatnym urządzeniu łaczy się również z koniecznością okresowego udostępniania go pracodawcy w celu kontroli stosowanych zabezpieczeń, co ma na celu zapobieganie wyciekom danych. Prowadzi to do kontrowersji w zakresie ewentualnego naruszenia prawa do prywatności pracownika, który może nie chcieć udostępniać danych zawartych w jego urządzeniu mobilnym swojemu pracodawcy, np. z uwagi na chęć ochrony tajemnicy swojej prywatnej korespondencji. W konsekwencji należy wskazać, że przetwarzanie danych na prywatnych urządzeniach pracowników, choć w teorii możliwe, uwarunkowane jest licznymi ograniczeniami, co znacząco zniechęca pracowników do udostępniania swoich prywatnych urządzeń w celach służbowych.

Nowoczesne technologie a stosowanie ich zgodnie z RODO

Należy wskazać, że Rozporządzenie ogólne o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych jest neutralne technologicznie i nie narzuca żadnych konkretnych rozwiązań związanych z zabezpieczaniem danych osobowych. Umożliwia to dostosowywanie urządzeń wykorzystywanych do przetwarzania danych osobowych do postępującego rozwoju technologicznego i preferencji poszczególnych użytkowników. Zawsze jednak należy pamiętać o ocenie potencjalnego ryzyka związanego z przetwarzaniem danych osobowych za pomocą tych urządzeń. Na tej podstawie możliwe jest dopiero wprowadzenie odpowiednich zabezpieczeń, zarówno technicznych jak i organizacyjnych. RODO nie ma na celu niszczenie nowinek technologicznych w zarodku. Zwraca jednak szczególną uwagę na bezpieczeństwo danych osobowych i prawo do ochrony prywatności osób fizycznych, przyznając mu priorytet nad postępem technologicznym.


Sprawdź również:


Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.