LexDigital

Urządzenia mobilne pracowników a RODO

Mobilne urządzenia wielu pracowników - telefony i laptopy - zawierają bazy danych kontrahentów firmy, historię wszystkich kontaktów oraz dane osobowe klientów i współpracowników. Z tego powodu niezbędne jest należyte ich zabezpieczenie przed naruszeniami ochrony danych osobowych.

Urządzenia mobilne pracowników a RODO

Ochrona danych osobowych

Na gruncie RODO obowiązkiem każdego administratora jest zapewnienie należytej ochrony danych przed naruszeniami, przez co rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. RODO nie wprowadza obowiązku stosowania konkretnych rozwiązań, mających na celu zabezpieczenie przetwarzanych danych, pozostawiając to do oceny samemu administratorowi.

Urządzenia służbowe

Przepisy RODO nie zawierają jakichkolwiek przeciwwskazań, aby dane osobowe były przetwarzane przez przedstawicieli danej organizacji za pomocą urządzeń mobilnych. Wskazują jedynie aby w takim przypadku zastosować odpowiednie techniczne i organizacyjne środki zabezpieczeń danych osobowych. Jednym z najistotniejszych rodzajów zabezpieczeń, jakie powinien wprowadzić pracodawca, jest należyta polityka w zakresie postępowania z telefonami i innymi urządzeniami mobilnymi takimi jak np. tablet. W tym przypadku istnieje bowiem bardzo duże ryzyko utracenia przechowywanych tam danych, w wyniku zgubienia urządzenia czy jego kradzieży. Dlatego też niezbędne wydaje się zaszyfrowanie urządzeń i zarządzanie nimi w taki sposób, aby móc w każdej chwili je zablokować czy usunąć znajdujące się na nich dane, w szczególności w sposób zdalny w przypadku utraty urządzenia.

Ponadto urządzenia mobilne powinny być zabezpieczone odpowiednimi środkami uwierzytelniania, takimi jak nr PIN, wpisywany przy każdym odblokowaniu telefonu. Konieczne jest również zainstalowanie na urządzeniach mobilnych odpowiedniego oprogramowania antywirusowego, tak aby zmniejszyć ryzyko zainfekowania takiego urządzenia złośliwym oprogramowaniem.

Niezwykle istotną kwestią jest przyjęcie w ramach organizacji polityki wykorzystywania urządzeń mobilnych w celach służbowych. Może ona stanowić element stosowanej w przedsiębiorstwie polityki bezpieczeństwa. Powinna wskazywać, że pracownicy mogą wykorzystywać w celu realizowania swoich obowiązków pracowniczych, związanych z koniecznością przetwarzania danych osobowych wyłącznie urządzenia udostępnione przez pracodawcę, posiadające odpowiednie zabezpieczenia i oprogramowanie antywirusowe. Zasadne jest także ustanowienie zasad postępowania z takimi urządzeniami – zakaz wykorzystywania ich w prywatnych celach, udostępniania osobom trzecim (także członkom rodziny pracownika) czy też instalowania aplikacji, które nie są niezbędne do wykonywania obowiązków danego pracownika. Ponadto szczegółowe regulacje powinny obejmować ewentualne ograniczenia dotyczące wykorzystywania publicznych sieci wifi lub pozostawiania urządzenia bez nadzoru pracownika, w szczególności w miejscach dostępnych dla szerokiego grona osób trzecich.

Chmura danych a urządzenia mobilne

Wielu przedsiębiorców w swojej działalności wykorzystuje rozmaite usługi chmurowe, które umożliwiają dostęp do jednego zbioru danych przez kilka osób. Może się to odbywać w tym samym czasie, a poszczególne osoby są uprawnione np. do modyfikowania dokumentu pracując z dowolnego miejsca na świecie. W rzeczywistości dane przechowywane są na serwerze podmiotu oferującego usługę chmurową, który odpowiada za dostępność do danych i ewentualne zabezpieczenie serwera.

Dostęp do danych zapisanych w chmurze możliwy jest również za pomocą urządzeń mobilnych. Co do zasady nie stoi to w sprzeczności z zasadami wynikającymi z RODO, podobnie jednak jak w przypadku przetwarzania danych za pomocą innych środków, również w odniesieniu do danych zapisanych w chmurze na administratorze ciąży obowiązek ich odpowiedniego zabezpieczenia. Stąd też, jeżeli pracownik może uzyskać dostęp do dużej ilości danych zapisanych w chmurze za pomocą swojego urządzenia mobilnego, konieczność odpowiedniego zabezpieczenia telefonu czy tabletu staje się jeszcze bardziej istotna. Możliwe jest wprowadzenie np. szyfrowanych kanałów komunikacji w celu łączenia się z chmurą, tak aby utrudnić ewentualne przechwycenie przesyłanych komunikatów

Ponadto należy pamiętać o zawarciu stosownej umowy powierzenia przetwarzania danych z dostawcą usług chmurowych. Dostawca ten powinien spełniać wymogi dotyczące zabezpieczania danych osobowych, a obowiązek wyboru takiego podmiotu, który daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, spoczywa na administratorze.

Prywatne urządzenia mobilne a dane osobowe

W niektórych firmach obowiązuje polityka, zgodnie z którą pracownicy mogą wykorzystywać swoje prywatne urządzenia mobilne w celach służbowych. Praktyka taka pojawia się z reguły z uwagi na preferencje samych użytkowników, którzy nie chcą posiadać dwóch telefonów komórkowych – jednego służbowego i jednego prywatnego i wolą skupić wszystkie kanały komunikacji na swoim prywatnym telefonie. Rodzi to zwiększone ryzyko ewentualnego wycieku danych, jako że pracodawca ma ograniczone możliwości dostępu i kontroli prywatnego urządzenia mobilnego należącego do pracownika. Stąd też pojawiają się wątpliwości czy możliwe jest przetwarzanie danych osobowych na prywatnych urządzeniach pracowników.

Odpowiedź na to pytanie nie jest oczywista. W teorii bowiem, możliwe jest zezwolenie pracownikom na przetwarzanie danych osobowych na swoich prywatnych urządzeniach mobilnych także w celach służbowych. Konieczne jest jednak spełnienie określonych wymogów dot. zabezpieczania takiego urządzenia oraz przestrzeganie reguł narzuconych przez administratora danych, mających na celu np. zwiększenie bezpieczeństwa przechowywanych danych. Konsekwencją jest np. konieczność zainstalowania programu antywirusowego, wybranego przez pracodawcę, ograniczenie możliwości instalowania innych aplikacji, niezwiązanych z pracą, czy też zakaz udostępnienia telefonu np. dziecku do zabawy. Niejednokrotnie przetwarzanie służbowych danych osobowych na prywatnym urządzeniu łaczy się również z koniecznością okresowego udostępniania go pracodawcy w celu kontroli stosowanych zabezpieczeń, co ma na celu zapobieganie wyciekom danych. Prowadzi to do kontrowersji w zakresie ewentualnego naruszenia prawa do prywatności pracownika, który może nie chcieć udostępniać danych zawartych w jego urządzeniu mobilnym swojemu pracodawcy, np. z uwagi na chęć ochrony tajemnicy swojej prywatnej korespondencji. W konsekwencji należy wskazać, że przetwarzanie danych na prywatnych urządzeniach pracowników, choć w teorii możliwe, uwarunkowane jest licznymi ograniczeniami, co znacząco zniechęca pracowników do udostępniania swoich prywatnych urządzeń w celach służbowych.

Nowoczesne technologie a stosowanie ich zgodnie z RODO

Należy wskazać, że Rozporządzenie ogólne o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych jest neutralne technologicznie i nie narzuca żadnych konkretnych rozwiązań związanych z zabezpieczaniem danych osobowych. Umożliwia to dostosowywanie urządzeń wykorzystywanych do przetwarzania danych osobowych do postępującego rozwoju technologicznego i preferencji poszczególnych użytkowników. Zawsze jednak należy pamiętać o ocenie potencjalnego ryzyka związanego z przetwarzaniem danych osobowych za pomocą tych urządzeń. Na tej podstawie możliwe jest dopiero wprowadzenie odpowiednich zabezpieczeń, zarówno technicznych jak i organizacyjnych. RODO nie ma na celu niszczenie nowinek technologicznych w zarodku. Zwraca jednak szczególną uwagę na bezpieczeństwo danych osobowych i prawo do ochrony prywatności osób fizycznych, przyznając mu priorytet nad postępem technologicznym.


Sprawdź również:


Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.