LexDigital

Urządzenia mobilne pracowników a RODO

Mobilne urządzenia wielu pracowników - telefony i laptopy - zawierają bazy danych kontrahentów firmy, historię wszystkich kontaktów oraz dane osobowe klientów i współpracowników. Z tego powodu niezbędne jest należyte ich zabezpieczenie przed naruszeniami ochrony danych osobowych.

Urządzenia mobilne pracowników a RODO

Ochrona danych osobowych

Na gruncie RODO obowiązkiem każdego administratora jest zapewnienie należytej ochrony danych przed naruszeniami, przez co rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. RODO nie wprowadza obowiązku stosowania konkretnych rozwiązań, mających na celu zabezpieczenie przetwarzanych danych, pozostawiając to do oceny samemu administratorowi.

RODO, dane wrażliwe, przetwarzanie danych osobowych

Urządzenia służbowe

Przepisy RODO nie zawierają jakichkolwiek przeciwwskazań, aby dane osobowe były przetwarzane przez przedstawicieli danej organizacji za pomocą urządzeń mobilnych. Wskazują jedynie aby w takim przypadku zastosować odpowiednie techniczne i organizacyjne środki zabezpieczeń danych osobowych. Jednym z najistotniejszych rodzajów zabezpieczeń, jakie powinien wprowadzić pracodawca, jest należyta polityka w zakresie postępowania z telefonami i innymi urządzeniami mobilnymi takimi jak np. tablet. W tym przypadku istnieje bowiem bardzo duże ryzyko utracenia przechowywanych tam danych, w wyniku zgubienia urządzenia czy jego kradzieży. Dlatego też niezbędne wydaje się zaszyfrowanie urządzeń i zarządzanie nimi w taki sposób, aby móc w każdej chwili je zablokować czy usunąć znajdujące się na nich dane, w szczególności w sposób zdalny w przypadku utraty urządzenia.

Ponadto urządzenia mobilne powinny być zabezpieczone odpowiednimi środkami uwierzytelniania, takimi jak nr PIN, wpisywany przy każdym odblokowaniu telefonu. Konieczne jest również zainstalowanie na urządzeniach mobilnych odpowiedniego oprogramowania antywirusowego, tak aby zmniejszyć ryzyko zainfekowania takiego urządzenia złośliwym oprogramowaniem.

Niezwykle istotną kwestią jest przyjęcie w ramach organizacji polityki wykorzystywania urządzeń mobilnych w celach służbowych. Może ona stanowić element stosowanej w przedsiębiorstwie polityki bezpieczeństwa. Powinna wskazywać, że pracownicy mogą wykorzystywać w celu realizowania swoich obowiązków pracowniczych, związanych z koniecznością przetwarzania danych osobowych wyłącznie urządzenia udostępnione przez pracodawcę, posiadające odpowiednie zabezpieczenia i oprogramowanie antywirusowe. Zasadne jest także ustanowienie zasad postępowania z takimi urządzeniami – zakaz wykorzystywania ich w prywatnych celach, udostępniania osobom trzecim (także członkom rodziny pracownika) czy też instalowania aplikacji, które nie są niezbędne do wykonywania obowiązków danego pracownika. Ponadto szczegółowe regulacje powinny obejmować ewentualne ograniczenia dotyczące wykorzystywania publicznych sieci wifi lub pozostawiania urządzenia bez nadzoru pracownika, w szczególności w miejscach dostępnych dla szerokiego grona osób trzecich.

Chmura danych a urządzenia mobilne

Wielu przedsiębiorców w swojej działalności wykorzystuje rozmaite usługi chmurowe, które umożliwiają dostęp do jednego zbioru danych przez kilka osób. Może się to odbywać w tym samym czasie, a poszczególne osoby są uprawnione np. do modyfikowania dokumentu pracując z dowolnego miejsca na świecie. W rzeczywistości dane przechowywane są na serwerze podmiotu oferującego usługę chmurową, który odpowiada za dostępność do danych i ewentualne zabezpieczenie serwera.

Dostęp do danych zapisanych w chmurze możliwy jest również za pomocą urządzeń mobilnych. Co do zasady nie stoi to w sprzeczności z zasadami wynikającymi z RODO, podobnie jednak jak w przypadku przetwarzania danych za pomocą innych środków, również w odniesieniu do danych zapisanych w chmurze na administratorze ciąży obowiązek ich odpowiedniego zabezpieczenia. Stąd też, jeżeli pracownik może uzyskać dostęp do dużej ilości danych zapisanych w chmurze za pomocą swojego urządzenia mobilnego, konieczność odpowiedniego zabezpieczenia telefonu czy tabletu staje się jeszcze bardziej istotna. Możliwe jest wprowadzenie np. szyfrowanych kanałów komunikacji w celu łączenia się z chmurą, tak aby utrudnić ewentualne przechwycenie przesyłanych komunikatów

Ponadto należy pamiętać o zawarciu stosownej umowy powierzenia przetwarzania danych z dostawcą usług chmurowych. Dostawca ten powinien spełniać wymogi dotyczące zabezpieczania danych osobowych, a obowiązek wyboru takiego podmiotu, który daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, spoczywa na administratorze.

Prywatne urządzenia mobilne a dane osobowe

W niektórych firmach obowiązuje polityka, zgodnie z którą pracownicy mogą wykorzystywać swoje prywatne urządzenia mobilne w celach służbowych. Praktyka taka pojawia się z reguły z uwagi na preferencje samych użytkowników, którzy nie chcą posiadać dwóch telefonów komórkowych – jednego służbowego i jednego prywatnego i wolą skupić wszystkie kanały komunikacji na swoim prywatnym telefonie. Rodzi to zwiększone ryzyko ewentualnego wycieku danych, jako że pracodawca ma ograniczone możliwości dostępu i kontroli prywatnego urządzenia mobilnego należącego do pracownika. Stąd też pojawiają się wątpliwości czy możliwe jest przetwarzanie danych osobowych na prywatnych urządzeniach pracowników.

Odpowiedź na to pytanie nie jest oczywista. W teorii bowiem, możliwe jest zezwolenie pracownikom na przetwarzanie danych osobowych na swoich prywatnych urządzeniach mobilnych także w celach służbowych. Konieczne jest jednak spełnienie określonych wymogów dot. zabezpieczania takiego urządzenia oraz przestrzeganie reguł narzuconych przez administratora danych, mających na celu np. zwiększenie bezpieczeństwa przechowywanych danych. Konsekwencją jest np. konieczność zainstalowania programu antywirusowego, wybranego przez pracodawcę, ograniczenie możliwości instalowania innych aplikacji, niezwiązanych z pracą, czy też zakaz udostępnienia telefonu np. dziecku do zabawy. Niejednokrotnie przetwarzanie służbowych danych osobowych na prywatnym urządzeniu łaczy się również z koniecznością okresowego udostępniania go pracodawcy w celu kontroli stosowanych zabezpieczeń, co ma na celu zapobieganie wyciekom danych. Prowadzi to do kontrowersji w zakresie ewentualnego naruszenia prawa do prywatności pracownika, który może nie chcieć udostępniać danych zawartych w jego urządzeniu mobilnym swojemu pracodawcy, np. z uwagi na chęć ochrony tajemnicy swojej prywatnej korespondencji. W konsekwencji należy wskazać, że przetwarzanie danych na prywatnych urządzeniach pracowników, choć w teorii możliwe, uwarunkowane jest licznymi ograniczeniami, co znacząco zniechęca pracowników do udostępniania swoich prywatnych urządzeń w celach służbowych.

Nowoczesne technologie a stosowanie ich zgodnie z RODO

Należy wskazać, że Rozporządzenie ogólne o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych jest neutralne technologicznie i nie narzuca żadnych konkretnych rozwiązań związanych z zabezpieczaniem danych osobowych. Umożliwia to dostosowywanie urządzeń wykorzystywanych do przetwarzania danych osobowych do postępującego rozwoju technologicznego i preferencji poszczególnych użytkowników. Zawsze jednak należy pamiętać o ocenie potencjalnego ryzyka związanego z przetwarzaniem danych osobowych za pomocą tych urządzeń. Na tej podstawie możliwe jest dopiero wprowadzenie odpowiednich zabezpieczeń, zarówno technicznych jak i organizacyjnych. RODO nie ma na celu niszczenie nowinek technologicznych w zarodku. Zwraca jednak szczególną uwagę na bezpieczeństwo danych osobowych i prawo do ochrony prywatności osób fizycznych, przyznając mu priorytet nad postępem technologicznym.

Poszukujesz wsparcia w obszarach ochrony danych osobowych? Sprawdź nasze główne usługi:

Sprawdź również:


Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk