W kontekście najnowszych przepisów unijnych dotyczących ochrony danych osobowych nikt nie może spać spokojnie. Ochroną danych klientów, kontrahentów oraz innych osób trzecich przejmować muszą się nie tylko przeszkoleni do tego pracownicy, a w szczególności administratorzy danych, lecz również ci, którzy nigdy z owymi przepisami nie mieli nic wspólnego – i raczej mieć nie będą. Problem z ochroną danych pojawia się już nawet u szeregowych pracowników, którzy otrzymali od pracodawcy telefon służbowy – każdy numer telefonu znajdujący się w książce kontaktów, podpisany imieniem i nazwiskiem czy też stanowiskiem klienta bądź kontrahenta, jest pod szczególną ochroną RODO.
Znamienne jest przy tym przekonanie przedsiębiorców, że jeżeli pracownicy nie zabierają komputerów służbowych do domu, dane osobowe są całkowicie bezpieczne przed ich wyciekiem. Błąd! Jeżeli pracownicy korzystają ze smartfonów, w których są w stanie odczytać służbową pocztę, oznacza to, że wraz z telefonami wynoszą poza obszar firmy dane osobowe współpracowników, klientów i kontrahentów, które są szczególnie chronione przez RODO, a które w łatwy sposób mogą ulec utraceniu.
RODO dotyka zarówno przedsiębiorców, jak i ich pracowników. Każda osoba, która w jakikolwiek sposób posiada dane osobowe w swoich smartfonach w ramach swojej pracy, musi dbać o to, aby zgromadzone informacje nie dostały się w ręce osób trzecich. Może okazać się to dużym kłopotem, gdyż telefon jest jedną z tych rzeczy, które są najczęściej kradzione czy też gubione. Takie przypadki obligują – zarówno posiadacza smartfonu, jak i administratora danych w danej firmie – do podjęcia odpowiednich kroków ku zabezpieczeniu utraconych danych. Jaką odpowiedzialność ponoszą posiadacze służbowych telefonów? Co robić w razie ich utraty? Jak się zabezpieczyć na ewentualność kradzieży bądź zgubienia smartfonu? Na te pytania odpowiemy w niniejszym artykule.
Jakie dane osobowe podlegają ochronie?
Z całą pewnością pod przepisy RODO podlegają wszelkie urządzenia mobilne, takie jak telefon, tablet czy laptop, których przedsiębiorcy czy też pracownicy używają, bądź które otrzymali właśnie w celu wypełniania swoich obowiązków zawodowych. Jeżeli jednak pracodawca nie zapewnił urządzeń firmowych i pracownicy korzystają z prywatnych telefonów również do wykonywania zadań służbowych? Tutaj sprawa również nie jest nazbyt skomplikowana. Jeżeli na telefonie znajdują się dane osobowe osób trzecich, takie urządzenie musi zostać zabezpieczone zgodnie z przepisami unijnymi.
Aby dane informacje zostały uznane za dane osobowe, nie potrzeba wiele. Już w trakcie odczytywania i pisania służbowych e-maili, SMS-ów czy też wiadomości na portalach społecznościowych pracownicy stykają się z danymi, które zgodnie z RODO podlegają szczególnej ochronie.
Czym więc dokładnie są ochronione dane osobowe? RODO nie wprowadziło zamkniętego katalogu danych osobowych – w przepisie art. 4 ust. 1 rozporządzenia wskazuje jedynie, że dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Z kolei możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio rozpoznać, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny (m.in. PESEL czy NIP), dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Oznacza to, że katalog ten jest otwarty i za daną osobową należy uznać każdą informację o kliencie czy kontrahencie, na podstawie której jesteśmy w stanie zidentyfikować konkretną osobę fizyczną. Daną osobową będzie zatem z pewnością numer telefonu powiązany z nazwiskiem, adres e-mail z nazwiskiem w nazwie czy też zdjęcie dokumentu, na którym widoczne są dane klienta lub kontrahenta. Mając to na uwadze, daną osobową nie będzie adres e-mail, który zawiera np. pseudonim właściciela. Doktryna i judykatura stoją na stanowisku, że chronione są również dane, dzięki którym możliwa jest identyfikacja pośrednia konkretnej osoby. Przy czym nie można uznać za dane osobowe numeru IP, gdyż identyfikacji takiej osoby mogłyby dokonać jedynie wykwalifikowane jednostki.
W jaki sposób chronić dane osobowe znajdujące się na urządzeniu mobilnym?
Na wstępie należy wskazać, że przepisy RODO nie zawierają jakichkolwiek przeciwwskazań, aby dane osobowe osób trzecich były przetwarzane przez pracowników danego przedsiębiorstwa za pomocą urządzeń mobilnych. Wskazują natomiast, że w takiej sytuacji firma ma obowiązek zastosować odpowiednie techniczne i organizacyjne środki zabezpieczeń danych osobowych.
Najprościej rzecz ujmując, zarówno posiadacz telefonu czy tabletu służbowego, jak i administrator danych są zobowiązani do dbania o to, aby nikt niepowołany nie miał możliwości odczytania danych z urządzenia i zidentyfikowania osób, których one dotyczą. Chodzi tu o sytuację bezpośredniego wglądu do urządzenia, np. przy kradzieży, zdalnego włamania do telefonu służbowego, jak również uzyskania dostępu do baz danych za pośrednictwem takiego urządzenia.
Zgodnie z RODO przedsiębiorca, który wymaga od pracowników telefonów służbowych (oraz kiedy sam takowego używa), musi przygotować odpowiednie procedury postępowania z danymi, opisać je oraz stale analizować i kontrolować, czy dane te są bezpieczne. Na płaszczyźnie zabezpieczenia omawianych danych przedsiębiorca powinien przede wszystkim:
-
utworzyć politykę prywatności w zakresie postępowania z urządzeniami mobilnymi (smartfon, tablet, palmtop, laptop). Polityka ta powinna wskazywać zakres, w jakim pracownicy zobowiązani są wykorzystywać urządzenia mobilne do celów służbowych, np. wskazywać, iż realizacja obowiązków służbowych związanych z koniecznością przetwarzania danych osobowych może być dokonywana wyłącznie przy pomocy telefonów służbowych udostępnionych przez pracodawcę;
-
ustanowić szczegółowe zasady postępowania z urządzeniami służbowymi, m.in. przez zakaz wykorzystywania ich w prywatnych celach, instalowania dodatkowych (niezwiązanych z pracą) aplikacji, udostępniania urządzeń osobom trzecim czy pozostawiania urządzenia bez nadzoru pracownika w miejscach publicznych;
-
ograniczyć wykorzystywanie publicznych sieci wi-fi przez urządzenia służbowe;
-
zlecić zaszyfrowanie urządzeń oraz zainstalować na nich takie oprogramowanie, aby w razie ich utraty móc w każdej chwili je zablokować lub usunąć z nich wszelkie dane;
-
ustawić w urządzeniach służbowych zabezpieczenia w postaci uwierzytelnień przy ich uruchamianiu, np. przy pomocy kodu PIN, który będzie znał jedynie posiadacz urządzenia, czy odcisku palca użytkownika;
-
zainstalowanie na urządzeniach służbowych odpowiedniego oprogramowania antywirusowego, które będzie odpowiedzialne za zmniejszenie ryzyka zainfekowania danego urządzenia złośliwym oprogramowaniem.
Chmura danych pomocna przy ochronie danych osobowych
Wiele dużych i bardziej rozwiniętych technologicznie firm stawia na tzw. chmury danych, dzięki którym wszystkie dane zbierane przez pracowników firmy gromadzone są w jednym miejscu na dedykowanych serwerach. Dzięki takiemu rozwiązaniu ochrona danych jest o wiele prostsza – pracownicy nie zbierają danych osobowych na swoich urządzeniach mobilnych, a przesyłają je bezpośrednio do chmury, więc w razie ich kradzieży czy zgubienia nie ma zagrożenia wycieku danych. Dodatkowo takie serwery są szyfrowane, przez co realny dostęp do danych znajdujących się tam mają wyłącznie pracownicy, którzy zostali do tego upoważnieni.
Takie rozwiązanie jest w zupełności zgodne z przepisami RODO, pod warunkiem spełnienia przez administratora danych pewnych przesłanek, co w skrócie sprowadza się do szczególnego dbania o zabezpieczenie chmury. Bardzo w tym pomocne jest szyfrowanie kanałów komunikacji w celu łączenia się z chmurą tak, aby utrudnić ewentualne przechwycenie przesyłanych komunikatów. Dodatkowo administrator musi pamiętać, aby zawrzeć stosowną umowę powierzenia przetwarzania danych z dostawcą usług hostingowych (chyba że firma posiada własne serwery).
Odpowiedzialność za utracenie danych
Na wstępie należy podkreślić, że zasadniczą odpowiedzialność za utratę przez pracownika danych osobowych klientów i kontrahentów przedsiębiorstwa ponosi administrator danych. Oznacza to, że powierzenie przetwarzania danych osobowych osobie trzeciej, czyli pracownikowi, nie zwalnia go z odpowiedzialności. To administrator odpowiada przed Prezesem Urzędu Ochrony Danych Osobowych (PUODO); pracownik może co najwyżej odpowiadać wewnątrzkorporacyjnie – dyscyplinarnie.
W razie naruszenia przepisów RODO, niezgłoszenia utraty danych albo zgłoszenia zbyt późne przedsiębiorstwo może otrzymać karę finansową w wysokości do 10 milionów euro lub do 2% wartości całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego. W przypadku większych i groźniejszych przewinień PUODO ma prawo nałożyć karę nawet do 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa. Należy pamiętać, że są to kary maksymalne, więc ich wysokość będzie zależała od skali naruszenia przepisów oraz dobrej lub złej woli urzędnika, który takową karę będzie nakładać.
Służbowy telefon a RODO – podsumowanie
Jak można zauważyć, nawet taka drobnostka jak zgubienie telefonu służbowego przez pracownika może narazić całe przedsiębiorstwo na wysokie kary finansowe. Przy czym kary nałożone przez PUODO nie będą największym zmartwieniem firmy w razie wycieku danych. Informacja obiegająca klientów odnośnie nieprawidłowego zabezpieczania ich danych może doprowadzić do utraty reputacji, klientów i kontrahentów, a nawet do szeregu postępowań cywilnych w przedmiocie wypłaty odszkodowań.
Mając powyższe na uwadze, należy zdać sobie sprawę, że ochrona danych w dzisiejszych realiach rynkowych powinna być bardzo ważnym punktem polityki każdej firmy. Jeżeli więc pracodawca decyduje się na przekazanie pracownikom sprzętu służbowego, powinien najpierw zadbać o sporządzenie polityki prywatności, która w sposób szczegółowo nakreśli prawa i obowiązki pracownicze. Dodatkowo powinien przypilnować, aby każde wydane urządzenie było w odpowiedni sposób zabezpieczone, tak aby nawet w przypadku kradzieży czy zgubienia smartfonu czy tabletu „nowy posiadacz” urządzenia nie miał możliwości wejścia w posiadanie baz danych osobowych klientów i kontrahentów firmy.