Ochrona danych osobowych: tożsamość na celowniku

Przeczytaj także: Sharenting, czyli jak narażasz swoje dziecko na kradzież tożsamości

BYOD

Zidentyfikowane zagrożenia:

• 79% ankietowanych specjalistów IT przyznało, że w ciągu zeszłego roku ich firma doświadczyła incydentów bezpieczeństwa w związku z mobilnymi danymi, 42% z nich przyznało, że straty z nimi związane wyniosły ponad 100 000 dolarów, a 16% oszacowało je na ponad 500 000 dolarów (raport Check Point Mobile Security Survey 2013)
• 42% (150% w Polsce) wzrosła liczba osób gotowych złamać korporacyjne zasady korzystania z własnych urządzeń w miejscu pracy, w porównaniu do zeszłorocznych badań (raport Fortinet 2013)
• 70% przedstawicieli małych firm nie wierzy lub nie wie, że naruszenie bezpieczeństwa danych spowoduje skutki finansowe lub negatywnie wpłynie na wiarygodność ich biznesu (na podstwie badań Deloitte w 2013 r.)

Mobilność w biznesie – produktywność kosztem prywatności?

Współczesne trendy technologiczne sprzyjają naszej produktywności i generują duże zyski, jednak ich wdrażanie w życie firmy wymaga dostosowania do wymogów istniejących przepisów prawnych. BYOD (ang. Bring Your Own Device) to coraz powszechniejszy trend wykorzystywany w procesach biznesowych, który umożliwia pracownikowi firmy korzystanie z prywatnych urządzeń mobilnych do celów zawodowych. BYOD nie stoi w sprzeczności z obecnymi przepisami prawnymi - korzystanie z prywatnych narzędzi pracy zostało dopuszczone orzecznictwem Sądu Najwyższego w połowie minionego wieku. Problem pojawia się w momencie, kiedy tego rodzaju urządzenie staje się nośnikiem wrażliwych informacji. Tak jest w przypadku wykorzystywanych do celów zawodowych prywatnych tabletów, smartfów czy notebooków. Przez urządzenia mobilne przepływa duża ilość poufnych danych, powiązanych nie tylko z procesami biznesowymi, ale również prywatnym życiem ich użytkowników. Firma korzystająca z możliwości, jakie daje BYOD musi z jednej strony zapewnić bezpieczeństwo poufnych danych firmowych, z drugiej zaś uszanować prawo do prywatności pracownika.

Polityka BYOD – kompromis w ochronie prywatności?

Wprowadzenie rozwiązania BYOD podnosi efektywność pracy i zapewnia firmie oszczędności, jednak wymaga podjęcia stosownych kroków - sporządzenia aneksów bądź odpowiednich klauzul w umowie o pracę oraz wprowadzenia zmian nie tylko w regulaminie pracowniczym, ale również polityce przetwarzania informacji o danych osobowych w firmie. Korzystne jest wdrożenie polityki BYOD, która może stanowić załącznik do regulaminu pracownika. Pełna kontrola nad urządzeniem przez dział IT nie jest możliwa do wprowadzenia, ponieważ pracownik ma prawo do zachowania prywatności swoich osobistych danych. Jasno określona polityka BYOD, która z jednej strony szanuje prawo pracownika do prywatności, z drugiej zaś przejrzyście reguluje zasady przetwarzania służbowych danych, w tym sposobu dostępu czy, w razie konieczności, usuwania ich przez pracodawcę, może zapobiec nieprawidłowościom. Za zgodne z prawem przetwarzanie danych powinien odpowiadać Administrator Danych, który ustala m. in. gdzie dane są przechowywane i na jakich zasadach przenoszone są na prywatne urządzenie, wyznacza procedurę postępowania w przypadku kradzieży lub zagubienia urządzenia oraz kroki, jakie należy podjąć, gdy pracownik odchodzi z pracy.

BYOD – to już nie jest wybór

Ważnym aspektem BYOD w kontekście ustawy o ochronie danych osobowych jest dobrowolność – możliwość korzystania z prywatnych urządzeń mobilnych do celów zawodowych jest wynikiem porozumienia pracownika i pracodawcy. Obie strony muszą zgodzić się na wprowadzenie takiego trybu pracy. Jednak samo zobowiązanie do podążania za wytycznymi regulaminu czy polityki BYOD nie gwarantuje bezpieczeństwa danych. Zagrożenia mogą mieć charakter celowych ataków i prób infiltracji bądź przychodzić z wewnątrz - wynikać z zaniechania lub niewiedzy, dlatego ustalenie w ramach polityki BYOD sposobu monitorowania prywatnego urządzenia pracownika oraz podnoszenie jego świadomości poprzez ustawiczne szkolenia pozwoli w pełni korzystać z możliwości BYOD, minimalizując ryzyko zagrożeń. Z ostatnich raportów wynika, że w infrastrukturze systemów informatycznych firmy to użytkownicy właśnie są najsłabszym ogniwem w łańcuchu zabezpieczeń.