Z uroków Bring Your Own Devices korzystają na ogół większe korporacje, które mają to do siebie, że działają w różnych krajach. Jak zatem uczynić by polityka BYOD była spójna skoro regulacje poszczególnych państw niekiedy znacznie się od siebie różnią?
Dzisiaj chciałabym przedstawić Tobie spojrzenie brytyjskiego rzecznika ochrony informacji (ang. Information Commissioner) na trend BYOD w świetle brytyjskich przepisów o ochronie danych osobowych i nawiązać do polskich obowiązków.
BYOD – Administrator Danych Osobowych
Pierwszą i zarazem najistotniejszą kwestią jest ustalenie, że Administrator Danych w obu krajach odpowiada za bezpieczeństwo przetwarzania danych stąd nie można przerzucić na pracowników odpowiedzialności za np. niewłaściwe przetwarzanie danych osobowych na ich własnych telefonach. Jeżeli organizacja decyduje się na korzystanie z dobrodziejstw BYOD to powinna zrobić to z głową – czyli mając na uwadze zapewnienie bezpieczeństwa przetwarzania danych.
Zgodnie z zaleceniami brytyjskiego organu Administrator Danych powinien ustalić:
To na Administratorze Danych (w obu państwach, które są dzisiaj przeze mnie omawiane) spoczywa obowiązek zapewnienia środków technicznych i organizacyjnych zapewniających odpowiednią ochronę przetwarzania danych osobowych.
Polityka BYOD
Wdrożenie Polityki BYOD jest fakultatywne, ale może okazać się dobrodziejstwem dla organizacji. Prywatne urządzenia mobilne mogą wpłynąć w takim samym stopniu na satysfakcję i zwiększoną efektywność pracowników jak i na niebezpieczne poczucie beztroski i zapomnienia. Zezwolenie pracownikom na korzystanie z własnych urządzeń bez ustalonej i wdrożonej Polityki może skutkować wyciekiem danych korporacyjnych.
Co więcej. Należy rozdzielić możliwość zarządzania urządzeniem w sferze danych prywatnych i służbowych. Dlaczego? Nie można bowiem przekazać pracownikowi do podpisu np. nowego regulaminu pracy gdzie będą zawarte informacje o niemalże pełnej kontroli działu IT nad prywatnym urządzeniem pracownika. W obu krajach tego typu rozwiązanie zdecydowanie nie przejdzie. Nawet jeżeli pracownik się zgodzi na tego typu warunki to i tak działanie pracodawcy będzie uznane za sprzeczne z prawem przez sąd. Pracodawca tym samym narazi się nie tylko na utratę wizerunku, ale i pieniędzy (masowe odszkodowania).
Temat monitorowania pracowników wraca jak bumerang. Głównie za sprawą cienkiej granicy, która zezwala na kontrolowanie pracowników w czasie pracy i tym samym ich pracy na urządzeniach służbowych. Sprawa znacznie bardziej się komplikuje w przypadku pracy na prywatnych urządzeniach. Mieszanie się danych firmowych i prywatnych może wpłynąć destrukcyjnie na cały proces BYOD oraz bezpieczeństwo w organizacji.
Ocena co wolno pracodawcy kontrolować, a co nie powinna być dokonana sumiennie.
Jakie zalecenia w sferze szkieletu polityki BYOD wydał brytyjski organ?
1. Wdrożenie
2. Utrzymanie
3. Wytyczne
4. Odpowiedzialność
5. Social Media (opcjonalnie)
6. Zasady Użytkownika (ang. Acceptable Use Policy, które są tworzone z kierownikami poszczególnych działów)
Dane przetwarzane w urządzeniu? A może jednak nie?
Dane nie muszą być fizycznie przetwarzane w urządzeniu. Moim zdaniem zdecydowaniem lepszym jest jednak przetwarzanie ich na serwerze (urządzenie jest wtedy tylko narzędziem służącym do komunikacji, za pośrednictwem którego nie są przetwarzane dane). Oczywiście wybór serwera czy chmury oraz dodatkowych zabezpieczeń powinien być racjonalny (przykładowo https powinien być standardem, ale np. dwuskładnikowe uwierzytelnianie do określonej kategorii danych).
Powyższe zalecenia mogą mieć zatem wymiar uniwersalny dla organizacji mającej siedzibę czy przedstawicielstwo w Polsce jak i Wielkiej Brytanii, gdyż przepisy w zakresie poruszanym przez przytoczony przeze mnie dokument brytyjskiego rzecznika ochrony informacji są tożsame.
Autor grafiki promującej wpis: Jan Martin