Regulacje ogólnego rozporządzenia o ochronie danych osobowych (dalej: RODO) obejmują nie tylko dane zgromadzone na służbowych komputerach pracowników, ale także informacje, które są przechowywane na pozostałych urządzeniach mobilnych wykorzystywanych w związku z prowadzoną działalnością. Mając to na uwadze, przedsiębiorcy są zobligowani do wdrożenia procedur gwarantujących ochronę danych przechowywanych na prywatnych smartfonach czy komputerach, z których korzystają pracownicy. Do zakresu przedmiotowych danych można dla przykładu zaliczyć numery telefonów w książce adresowej, informacje czy zdjęcia zawarte w wiadomościach mailowych lub dane w bazach CRM. W tym miejscu należy wskazać, że polityka ochrony danych obowiązująca w przedsiębiorstwie musi obejmować nie tylko sprzęt stanowiący własność firmy, ale także urządzenia prywatne pracowników, które są wykorzystywane do realizacji obowiązków służbowych.
Jak wygląda ochrona danych osobowych przechowywanych na urządzeniach prywatnych pracowników? Co w wypadku kradzieży bądź utraty urządzenia prywatnego, na którym zgromadzone były dane podlegające ochronie na podstawie RODO? Niniejszy artykuł przedstawi odpowiedzi na te pytania.
W jaki sposób zabezpieczyć urządzenia prywatne, które wykorzystywane są również do celów służbowych?
Dodatkowo, zgodnie z art. 32 RODO, przedsiębiorca musi powziąć działania umożliwiające przywrócenie dostępności danych na wypadek incydentu fizycznego lub technicznego. Takie rozwiązanie gwarantuje skorzystanie choćby z tzw. chmury. Przy tym warto zwrócić uwagę na to, czy dostawca usług chmurowych spełnia wymagania w zakresie gwarancji ochrony danych osobowych. Ponadto pracownik korzystający z prywatnego urządzenia do celów służbowych nie powinien zapisywać danych wrażliwych na niezabezpieczonej karcie pamięci.
Jakie kroki należy podjąć w przypadku utraty bądź kradzieży smartfona?
Utrata lub kradzież smartfona wywołuje konieczność określonych działań – należy mianowicie takie zdarzenie zgłosić organowi nadzorczemu, a następnie poinformować inne osoby.
Zgłoszenie zdarzenia
W pierwszej kolejności wskazać należy, że zgodnie z obowiązującymi regulacjami w każdym przypadku, w którym doszło do naruszenia poufności, integralności, bądź dostępności danych osobowych, konieczne jest odnotowanie takiego incydentu w rejestrze naruszeń oraz dokonanie oceny, czy utrata danych może spowodować naruszenia praw i wolności osoby fizycznej, której dane dotyczą. Jeżeli na skutek takiej analizy dojdziemy do wniosku, że ryzyko istnieje takie ryzyko, należy poinformować o zaistniałym naruszeniu organ nadzorczy, tj. Prezesa Urzędu Ochrony Danych Osobowych. Zgłoszenia należy dokonać w ciągu 72 godzin po stwierdzeniu naruszenia.
Poinformowanie osób, których dane dotyczą
Drugim krokiem, jaki musi podjąć przedsiębiorca, jest rozważenie konieczności poinformowania osób, których dane dotyczą, o możliwości uzyskania danych przez podmiot nieuprawniony. Dokonując oceny ryzyka ujawnienia danych osobowych, przedsiębiorca powinien kierować się w szczególności postanowieniami wskazanymi w treści art. 34 RODO. Podmiot danych, tj. osobę, której dane dotyczą, należy poinformować o zaistniałym naruszeniu i jego przewidywanych skutkach, jeżeli istnieje wysokie ryzyko naruszenia praw i wolności tej osoby.
Natomiast zgodnie z art. 34 ust. 3 RODO przedsiębiorca nie jest zobowiązany do informowania podmiotu danych o ich możliwym ujawnieniu w przypadku, gdy:
-
zostały wdrożone odpowiednie techniczne oraz organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie. W szczególności możemy w tym przypadku mówić o szyfrowaniu, które uniemożliwia odczyt danych przez osoby nieuprawnione;
-
zastosowano środki, które mają za zadanie eliminację prawdopodobieństwa wysokiego naruszenia praw bądź wolności osoby, której dane dotyczą;
-
działania podjęte przez przedsiębiorcę wymagałyby niewspółmiernie dużego wysiłku. W takim przypadku administrator danych wydaje publiczny komunikat o zaistniałej sytuacji, informując przy tym osoby, których dane dotyczą.
W tym miejscu należy zaznaczyć, że administrator danych powinien gromadzić dowody wskazujące na sposób przeprowadzenia oceny ryzyka naruszenia praw i wolności osób fizycznych w związku z naruszeniem dostępności, integralności bądź poufności danych osobowych, w celu wykazania podjętych działań. Nie można bowiem wykluczyć, że ocena organu nadzoru podczas kontroli będzie odmienna, co może skutkować nałożeniem na administratora danych osobowych administracyjnej kary pieniężnej.
Odpowiedzialność przedsiębiorcy z tytułu wycieku danych
Rozważając kwestię odpowiedzialności z tytułu wycieku danych zawartych na prywatnym urządzeniu wykorzystywanym do celów służbowych, należy wyróżnić jej dwa rodzaje. W pierwszym przypadku możemy mówić o odpowiedzialności przedsiębiorcy przed organem nadzorczym, która wiąże się w szczególności z możliwością nałożenia przez organ kary finansowej sięgającej nawet 20 milionów euro.
Przedsiębiorca musi liczyć się również z odpowiedzialnością cywilną, związaną z potencjalnymi roszczeniami odszkodowawczymi kierowanymi przez osoby, których dane zostały ujawnione. Każdorazowo odpowiedzialność w związku z kradzieżą czy zgubieniem urządzenia zawierającego dane osobowe klientów ponosi administrator, nie zaś pracownik, który korzystał z danego urządzenia.
Odpowiedzialność pracowników z tytułu wycieku danych
W przypadku wycieku danych służbowych zgromadzonych na urządzeniu prywatnym pracodawca może pociągnąć do odpowiedzialności pracownika, któremu określone urządzenie zostało skradzione lub zostało przez niego zgubione. Ten rodzaj odpowiedzialności nie wynika jednak z przepisów RODO, lecz z regulacji zawartych w Kodeksie pracy. W konsekwencji powyższego w zaistniałym przypadku pracodawca może domagać się od pracownika odszkodowania do wysokości równej trzymiesięcznemu wynagrodzeniu, które przysługuje pracownikowi na dzień wyrządzenia szkody.
Nieco odmiennie przedstawia się natomiast sytuacja, w której pracownik wyrządził określoną szkodę w sposób umyślny. W takich okolicznościach ograniczenie odpowiedzialności pracownika do trzykrotnej wysokości wynagrodzenia nie znajduje już zastosowania – pracownik odpowiada więc za szkodę do pełnej kwoty odszkodowania. Wskazać przy tym należy, że w przypadku wyrządzenia szkody osobie trzeciej w pierwszej kolejności odpowiedzialność ponosi przedsiębiorca (jako administrator danych osobowych), a dopiero w dalszej kolejności jest on uprawniony do dochodzenia naprawienia wyrządzonej szkody przez pracownika.
Podsumowanie
W sytuacji, gdy pracodawca wyraża zgodę na korzystanie przez pracowników z urządzeń prywatnych przy realizacji obowiązków służbowych, musi on zapewnić ich odpowiednie zabezpieczenia, tak aby przechowywane na tych urządzeniach dane, w tym dane osobowe, były niezagrożone. Nie ulega wątpliwości, że podstawowym zabezpieczeniem w takim przypadku będzie wprowadzenie szyfrowania, a więc zabezpieczenia danych przy pomocy hasła, które nie może być zapisane w pamięci telefonu czy komputera. Wszelkie kontakty, dokumenty czy wiadomości powinny być ponadto przechowywane w bezpiecznym środowisku oddzielonym od prywatnych danych użytkownika urządzenia. Dodatkową opcją zabezpieczenia danych firmowych jest zadbanie o możliwość ich zdalnego usunięcia. Zaleca się również wprowadzenie i stosowanie regulaminów określających zasady korzystania z prywatnych nośników i urządzeń do celów służbowych.
