Urządzenia mobilne pracowników a RODO
Mobilne urządzenia wielu pracowników - telefony i laptopy - zawierają bazy danych kontrahentów firmy, historię wszystkich kontaktów oraz dane osobowe klientów i współpracowników. Z tego powodu niezbędne jest należyte ich zabezpieczenie przed naruszeniami ochrony danych osobowych.
Ochrona danych osobowych
Na gruncie RODO obowiązkiem każdego administratora jest zapewnienie należytej ochrony danych przed naruszeniami, przez co rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. RODO nie wprowadza obowiązku stosowania konkretnych rozwiązań, mających na celu zabezpieczenie przetwarzanych danych, pozostawiając to do oceny samemu administratorowi.
Urządzenia służbowe
Przepisy RODO nie zawierają jakichkolwiek przeciwwskazań, aby dane osobowe były przetwarzane przez przedstawicieli danej organizacji za pomocą urządzeń mobilnych. Wskazują jedynie aby w takim przypadku zastosować odpowiednie techniczne i organizacyjne środki zabezpieczeń danych osobowych. Jednym z najistotniejszych rodzajów zabezpieczeń, jakie powinien wprowadzić pracodawca, jest należyta polityka w zakresie postępowania z telefonami i innymi urządzeniami mobilnymi takimi jak np. tablet. W tym przypadku istnieje bowiem bardzo duże ryzyko utracenia przechowywanych tam danych, w wyniku zgubienia urządzenia czy jego kradzieży. Dlatego też niezbędne wydaje się zaszyfrowanie urządzeń i zarządzanie nimi w taki sposób, aby móc w każdej chwili je zablokować czy usunąć znajdujące się na nich dane, w szczególności w sposób zdalny w przypadku utraty urządzenia.
Ponadto urządzenia mobilne powinny być zabezpieczone odpowiednimi środkami uwierzytelniania, takimi jak nr PIN, wpisywany przy każdym odblokowaniu telefonu. Konieczne jest również zainstalowanie na urządzeniach mobilnych odpowiedniego oprogramowania antywirusowego, tak aby zmniejszyć ryzyko zainfekowania takiego urządzenia złośliwym oprogramowaniem.
Niezwykle istotną kwestią jest przyjęcie w ramach organizacji polityki wykorzystywania urządzeń mobilnych w celach służbowych. Może ona stanowić element stosowanej w przedsiębiorstwie polityki bezpieczeństwa. Powinna wskazywać, że pracownicy mogą wykorzystywać w celu realizowania swoich obowiązków pracowniczych, związanych z koniecznością przetwarzania danych osobowych wyłącznie urządzenia udostępnione przez pracodawcę, posiadające odpowiednie zabezpieczenia i oprogramowanie antywirusowe. Zasadne jest także ustanowienie zasad postępowania z takimi urządzeniami – zakaz wykorzystywania ich w prywatnych celach, udostępniania osobom trzecim (także członkom rodziny pracownika) czy też instalowania aplikacji, które nie są niezbędne do wykonywania obowiązków danego pracownika. Ponadto szczegółowe regulacje powinny obejmować ewentualne ograniczenia dotyczące wykorzystywania publicznych sieci wifi lub pozostawiania urządzenia bez nadzoru pracownika, w szczególności w miejscach dostępnych dla szerokiego grona osób trzecich.
Chmura danych a urządzenia mobilne
Wielu przedsiębiorców w swojej działalności wykorzystuje rozmaite usługi chmurowe, które umożliwiają dostęp do jednego zbioru danych przez kilka osób. Może się to odbywać w tym samym czasie, a poszczególne osoby są uprawnione np. do modyfikowania dokumentu pracując z dowolnego miejsca na świecie. W rzeczywistości dane przechowywane są na serwerze podmiotu oferującego usługę chmurową, który odpowiada za dostępność do danych i ewentualne zabezpieczenie serwera.
Dostęp do danych zapisanych w chmurze możliwy jest również za pomocą urządzeń mobilnych. Co do zasady nie stoi to w sprzeczności z zasadami wynikającymi z RODO, podobnie jednak jak w przypadku przetwarzania danych za pomocą innych środków, również w odniesieniu do danych zapisanych w chmurze na administratorze ciąży obowiązek ich odpowiedniego zabezpieczenia. Stąd też, jeżeli pracownik może uzyskać dostęp do dużej ilości danych zapisanych w chmurze za pomocą swojego urządzenia mobilnego, konieczność odpowiedniego zabezpieczenia telefonu czy tabletu staje się jeszcze bardziej istotna. Możliwe jest wprowadzenie np. szyfrowanych kanałów komunikacji w celu łączenia się z chmurą, tak aby utrudnić ewentualne przechwycenie przesyłanych komunikatów
Ponadto należy pamiętać o zawarciu stosownej umowy powierzenia przetwarzania danych z dostawcą usług chmurowych. Dostawca ten powinien spełniać wymogi dotyczące zabezpieczania danych osobowych, a obowiązek wyboru takiego podmiotu, który daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, spoczywa na administratorze.
Prywatne urządzenia mobilne a dane osobowe
W niektórych firmach obowiązuje polityka, zgodnie z którą pracownicy mogą wykorzystywać swoje prywatne urządzenia mobilne w celach służbowych. Praktyka taka pojawia się z reguły z uwagi na preferencje samych użytkowników, którzy nie chcą posiadać dwóch telefonów komórkowych – jednego służbowego i jednego prywatnego i wolą skupić wszystkie kanały komunikacji na swoim prywatnym telefonie. Rodzi to zwiększone ryzyko ewentualnego wycieku danych, jako że pracodawca ma ograniczone możliwości dostępu i kontroli prywatnego urządzenia mobilnego należącego do pracownika. Stąd też pojawiają się wątpliwości czy możliwe jest przetwarzanie danych osobowych na prywatnych urządzeniach pracowników.
Odpowiedź na to pytanie nie jest oczywista. W teorii bowiem, możliwe jest zezwolenie pracownikom na przetwarzanie danych osobowych na swoich prywatnych urządzeniach mobilnych także w celach służbowych. Konieczne jest jednak spełnienie określonych wymogów dot. zabezpieczania takiego urządzenia oraz przestrzeganie reguł narzuconych przez administratora danych, mających na celu np. zwiększenie bezpieczeństwa przechowywanych danych. Konsekwencją jest np. konieczność zainstalowania programu antywirusowego, wybranego przez pracodawcę, ograniczenie możliwości instalowania innych aplikacji, niezwiązanych z pracą, czy też zakaz udostępnienia telefonu np. dziecku do zabawy. Niejednokrotnie przetwarzanie służbowych danych osobowych na prywatnym urządzeniu łaczy się również z koniecznością okresowego udostępniania go pracodawcy w celu kontroli stosowanych zabezpieczeń, co ma na celu zapobieganie wyciekom danych. Prowadzi to do kontrowersji w zakresie ewentualnego naruszenia prawa do prywatności pracownika, który może nie chcieć udostępniać danych zawartych w jego urządzeniu mobilnym swojemu pracodawcy, np. z uwagi na chęć ochrony tajemnicy swojej prywatnej korespondencji. W konsekwencji należy wskazać, że przetwarzanie danych na prywatnych urządzeniach pracowników, choć w teorii możliwe, uwarunkowane jest licznymi ograniczeniami, co znacząco zniechęca pracowników do udostępniania swoich prywatnych urządzeń w celach służbowych.
Nowoczesne technologie a stosowanie ich zgodnie z RODO
Należy wskazać, że Rozporządzenie ogólne o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych jest neutralne technologicznie i nie narzuca żadnych konkretnych rozwiązań związanych z zabezpieczaniem danych osobowych. Umożliwia to dostosowywanie urządzeń wykorzystywanych do przetwarzania danych osobowych do postępującego rozwoju technologicznego i preferencji poszczególnych użytkowników. Zawsze jednak należy pamiętać o ocenie potencjalnego ryzyka związanego z przetwarzaniem danych osobowych za pomocą tych urządzeń. Na tej podstawie możliwe jest dopiero wprowadzenie odpowiednich zabezpieczeń, zarówno technicznych jak i organizacyjnych. RODO nie ma na celu niszczenie nowinek technologicznych w zarodku. Zwraca jednak szczególną uwagę na bezpieczeństwo danych osobowych i prawo do ochrony prywatności osób fizycznych, przyznając mu priorytet nad postępem technologicznym.
Poszukujesz wsparcia w obszarach ochrony danych osobowych? Sprawdź nasze główne usługi:
Sprawdź również:
- Klauzula CV – zgoda na przetwarzanie danych w rekrutacji
- Jak Google dostosowuje się do RODO?
- Wymuszenia na RODO – czego nie musisz zrobić?