Przetwarzanie danych osobowych w urządzeniach mobilnych – jakie niesie ryzyko

Michał Nosowski

Autor: Michał Nosowski

Dodano: 23 grudnia 2020
Bezpieczeństwo danych w urządzeniach mobilnych

W obecnych realiach podczas wykonywania czynności służbowych przez personel danej placówki powszechnie wykorzystuje się urządzenia mobilne takie jak smartfony. Służbowa poczta elektroniczna, wiadomości SMS, zdjęcia dokumentów, wideokonferencje – to najczęściej wykorzystywane rozwiązania. Wszystkie z nich mogą wiązać się z przetwarzaniem danych osobowych. Dlatego tak istotne jest zapewnienie odpowiedniego poziomu bezpieczeństwa takiego przetwarzania.

Przetwarzanie danych osobowych w urządzeniach mobilnych – jakie niesie ryzyko

PROBLEM

W naszej placówce personel często korzysta z telefonów zarówno służbowych, jak i prywatnych, ale używanych do celów służbowych. O czym powinniśmy pamiętać w zakresie ochrony danych w takich przypadkach?

ROZWIĄZANIE

Zagrożenia związane z przetwarzaniem danych osobowych za pośrednictwem urządzeń mobilnych są ewidentne. Przykładowo, jeżeli dostęp do telefonu służbowego otrzyma osoba nieuprawniona, wówczas może ona uzyskać wiele informacji o działalności organizacji, jak również dużą część danych osobowych przetwarzanych przez taką organizację (w poczcie elektronicznej, komunikatorach, oprogramowaniu do zarządzania projektami, wystawiania faktur, kontaktów z klientami, pacjentami itp.).

Urządzenia służbowe – czy konieczne

Żaden przepis prawa nie nakłada na organizację przydzielenia swojemu personelowi urządzeń służbowych. Mogą być to więc także urządzenia prywatne. Zaletą korzystania z urządzeń prywatnych jest oczywiście redukcja kosztów. Ponadto za korzystaniem z urządzeń służbowych przemawiają kwestie związane z bezpieczeństwem danych osobowych. Administrator ma wówczas większą kontrolę nad tym, w jaki sposób dana osoba będzie wykorzystywała urządzenie mobilne w celach służbowych. Pozwala mu to na szczegółowe uregulowanie tego, jak pracownik może wykorzystywać takie urządzenie bezpośrednio w treści polityk lub procedur dotyczących ochrony danych. Dlatego w kontekście ochrony danych osobowych zdecydowanie lepiej jest przydzielić pracownikom służbowe urządzenia mobilne.

Korzystanie z prywatnego urządzenia

Jakie rozwiązania zastosować w przypadku prywatnych urządzeń mobilnych. Warto skorzystać z propozycji z tabeli. Często wdrożenie tych zabezpieczeń następuje w ramach specjalnej, odrębnej procedury. Pracownicy, którzy zgłaszają wolę pracy za pomocą prywatnego urządzenia, muszą podpisywać odrębne deklaracje. Zdarza się, że pracownicy, którzy mają zadeklarować przestrzeganie tych reguł, rezygnują z korzystania z prywatnego telefonu i wolą otrzymać od pracodawcy osobne, służbowe urządzenie. Używanie prywatnych urządzeń w celach służbowych jest jak najbardziej dopuszczalne, ale kwestie związane z zapewnieniem bezpieczeństwa danych powodują powstanie tak licznych obowiązków i ograniczeń, że wiele osób przestaje być zainteresowanych tym rozwiązaniem.

1.

Obowiązek zastosowania w ramach urządzenia mobilnego określonych przez administratora zabezpieczeń, np. szyfrowanie urządzenia, konieczność każdorazowego odblokowywania go za pomocą kodu PIN.

2.

Obowiązek zainstalowania na urządzeniu wskazanego przez administratora oprogramowania antywirusowego lub innego oprogramowania służącego do zwiększenia poziomu bezpieczeństwa urządzenia mobilnego, w tym np. do zdalnego usunięcia danych zapisanych w ramach tego urządzenia, w sytuacji jego zgubienia lub kradzieży.

3.

Skonfigurowanie urządzenia przez pracownika odpowiedzialnego za bezpieczeństwo IT.

4.

Obowiązek umożliwienia dostępu do urządzenia mobilnego przez pracownika, np. przyniesienia go i umożliwienia dokonania weryfikacji poziomu zabezpieczeń przez osobę odpowiedzialną za bezpieczeństwo informatyczne w organizacji.

5.

Zainstalowanie oprogramowania umożliwiającego zdalny dostęp pracodawcy do urządzenia mobilnego pracownika.

6.

Ograniczenie uprawnień administratora w ramach danego urządzenia, konieczność uzyskiwania każdorazowej zgody na zainstalowanie nowego oprogramowania.

7.

Ograniczenie możliwości instalowania oprogramowania zaakceptowanego przez ADO.

8.

Ograniczenie możliwości wykonywania określonych, związanych z pracą działań, które mogą być realizowane za pomocą prywatnego urządzenia (np. pracownik może dzwonić, lecz nie będzie w stanie wysyłać wiadomości e-mail).

9.

Zakaz łączenia się z innymi sieciami Wi-Fi niż te zaakceptowane przez administratora.

10

Zakaz udostępniania danego urządzenia osobom innym niż upoważniony pracownik, również członkom jego rodziny.

W przypadku korzystania z urządzeń prywatnych przez pracowników pracodawca powinien rzetelnie oszacować związane z tym ryzyko i ocenić negatywne konsekwencje z punktu widzenia bezpieczeństwa danych. Nawet jeśli pracownicy będą posługiwali się prywatnymi urządzeniami, to naruszenie ochrony danych administrowanych przez pracodawcę, a przetwarzanych za pomocą tych urządzeń, obciąża samego pracodawcę.

Urządzenia udostępniane przez pracodawcę

Charakter poszczególnych zabezpieczeń w urządzeniach służbowych będzie zbliżony do tych, które dotyczą urządzeń prywatnych. Warto jednak wyznaczyć w organizacji osobę odpowiedzialną za bezpieczeństwo urządzeń mobilnych i zobligować ją np. do:

  • przekonfigurowania urządzeń,
  • prowadzenia ewidencji urządzeń (wraz z listą osób, którym je przydzielono, oraz numerem IMEI urządzenia).

Ochrona prywatności personelu

Niektóre zabezpieczenia stosowane w urządzeniach mobilnych wiążą się z możliwością zdalnego dostępu do urządzenia, co wywołuje kontrowersje zwłaszcza wtedy, gdy mamy do czynienia z urządzeniem prywatnym. Tego rodzaju rozwiązania muszą być stosowane z dużą ostrożnością i odpowiednio do poziomu ryzyka naruszenia ochrony danych. Zbyt szerokie uregulowanie dostępu do urządzenia prywatnego może bowiem godzić w prywatność osoby korzystającej z tego urządzenia, co z kolei może wiązać się z naruszeniem uprawnienia do prywatności. Na urządzeniach prywatnych mieszczą się również takie dane osobowe pracownika, których pracodawca nie powinien przetwarzać. Teoretycznie więc pracownik mógłby nawet złożyć skargę na pracodawcę do Prezesa Urzędu Ochrony Danych Osobowych.

Dlatego dostęp do urządzenia służbowego powinien być ograniczony do celów związanych z zapewnieniem bezpieczeństwa danych lub weryfikacją, czy pracownik we właściwy sposób wykorzystuje udostępniony mu sprzęt i zainstalowane na nim oprogramowanie. Nie można natomiast wykorzystywać dostępu do realizacji innych celów pracodawcy, np. do weryfikacji, gdzie pracownik się znajduje i za ile minut może być w pracy.

Nie należy stosować rozwiązań umożliwiających śledzenie pracownika po godzinach pracy, np. za pomocą weryfikacji położenia urządzenia z wykorzystaniem technologii GPS.

Wymogi związane z monitorowaniem

Jeśli jednak pracodawca zdecyduje się na zdalny dostęp do urządzeń mobilnych, wówczas będzie miał miejsce proces monitorowania. To zaś wymaga spełnienia obowiązków wynikających z art. 222 – art. 223 Kodeksu pracy.

Aby wprowadzić zdalny dostęp do urządzeń służbowych, pracodawca powinien podjąć następujące kroki.

1. Poinformowanie pracowników o tym, że pracodawca prowadzi taki monitoring urządzeń elektronicznych, co najmniej na dwa tygodnie przed rozpoczęciem monitorowania.

2. Uregulowanie kwestii monitoringu urządzeń w ramach regulaminu pracy, w układzie zbiorowym pracy lub w obwieszczeniu pracodawcy – tego rodzaju regulacja powinna odnosić się co najmniej do celu, zakresu oraz sposobu stosowania takiego monitoringu.

3. Informowanie nowych pracowników przed dopuszczeniem ich do pracy o tym, że urządzenia mobilne są monitorowane, zanim rozpoczną oni korzystanie z takich urządzeń.

4. Spełnienie obowiązku informacyjnego względem pracowników.

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L nr 119, str. 1) – art. 6, art. 24, art. 32.
Autor: Michał Nosowski radca prawny specjalizujący się w prawie nowych technologii i ochronie danych osobowych, prowadzi bloga www.wsroddanych.pl
Michał Nosowski

Autor: Michał Nosowski

radca prawny, specjalizujący się w prawie nowych technologii i ochronie danych osobowych. www.michalnosowski.pl, www.wsroddanych.pl