BYOD oczami brytyjskiego rzecznika ochrony informacji

Beata Marek BYOD, Ochrona danych osobowych, Ochrona prywatności, Ochrona tajemnic prawnie chronionych, Prawo Leave a Comment

Z uroków Bring Your Own Devices korzystają na ogół większe korporacje, które mają to do siebie, że działają w różnych krajach. Jak zatem uczynić by polityka BYOD była spójna skoro regulacje poszczególnych państw niekiedy znacznie się od siebie różnią?

Dzisiaj chciałabym przedstawić Tobie spojrzenie brytyjskiego rzecznika ochrony informacji (ang. Information Commissioner) na trend BYOD w świetle brytyjskich przepisów o ochronie danych osobowych i nawiązać do polskich obowiązków.

BYOD – Administrator Danych Osobowych

Pierwszą i zarazem najistotniejszą kwestią jest ustalenie, że Administrator Danych w obu krajach odpowiada za bezpieczeństwo przetwarzania danych stąd nie można przerzucić na pracowników odpowiedzialności za np. niewłaściwe przetwarzanie danych osobowych na ich własnych telefonach. Jeżeli organizacja decyduje się na korzystanie z dobrodziejstw BYOD to powinna zrobić to z głową – czyli mając na uwadze zapewnienie bezpieczeństwa przetwarzania danych.

Zgodnie z zaleceniami brytyjskiego organu Administrator Danych powinien ustalić:

  • Jakiego rodzaju dane będą/są przetwarzane w organizacji?
  • Gdzie dane mogą być przechowywane?
  • W jaki sposób mogą być te dane przenoszone na prywatne urządzenia pracowników?
  • Jakie są ryzyka wycieku danych?
  • Czy, a jeżeli tak to dlaczego, dane prywatne i firmowe mogą się mieszać?
  • Jakie są zdolności zabezpieczające oprogramowania urządzeń mobilnych?
  • Jaka procedura zostanie wdrożona by pracownik nie mógł przetwarzać danych, gdy nie będzie pracował w organizacji?
  • Jakie kroki zostaną podjęte w przypadku kradzieży urządzenia bądź jego utraty?
  • To na Administratorze Danych (w obu państwach, które są dzisiaj przeze mnie omawiane) spoczywa obowiązek zapewnienia środków technicznych i organizacyjnych zapewniających odpowiednią ochronę przetwarzania danych osobowych.

    Polityka BYOD

    Wdrożenie Polityki BYOD jest fakultatywne, ale może okazać się dobrodziejstwem dla organizacji. Prywatne urządzenia mobilne mogą wpłynąć w takim samym stopniu na satysfakcję i zwiększoną efektywność pracowników jak i na niebezpieczne poczucie beztroski i zapomnienia. Zezwolenie pracownikom na korzystanie z własnych urządzeń bez ustalonej i wdrożonej Polityki może skutkować wyciekiem danych korporacyjnych.

    Co więcej. Należy rozdzielić możliwość zarządzania urządzeniem w sferze danych prywatnych i służbowych. Dlaczego? Nie można bowiem przekazać pracownikowi do podpisu np. nowego regulaminu pracy gdzie będą zawarte informacje o niemalże pełnej kontroli działu IT nad prywatnym urządzeniem pracownika. W obu krajach tego typu rozwiązanie zdecydowanie nie przejdzie. Nawet jeżeli pracownik się zgodzi na tego typu warunki to i tak działanie pracodawcy będzie uznane za sprzeczne z prawem przez sąd. Pracodawca tym samym narazi się nie tylko na utratę wizerunku, ale i pieniędzy (masowe odszkodowania).

    Temat monitorowania pracowników wraca jak bumerang. Głównie za sprawą cienkiej granicy, która zezwala na kontrolowanie pracowników w czasie pracy i tym samym ich pracy na urządzeniach służbowych. Sprawa znacznie bardziej się komplikuje w przypadku pracy na prywatnych urządzeniach. Mieszanie się danych firmowych i prywatnych może wpłynąć destrukcyjnie na cały proces BYOD oraz bezpieczeństwo w organizacji.

    Ocena co wolno pracodawcy kontrolować, a co nie powinna być dokonana sumiennie.

    Jakie zalecenia w sferze szkieletu polityki BYOD wydał brytyjski organ?

  • Wdrożenie Polityki BYOD powinno zostać poprzedzone audytem, a następnie należy monitorować proces zgodności Polityki BYOD przez cały cykl życia dokumentu jak i samego procesu BYOD w organizacji. Nadzór jest istotny. W samym zaś dokumencie należy szczegółowo określić:
  • 1. Wdrożenie
    2. Utrzymanie
    3. Wytyczne
    4. Odpowiedzialność
    5. Social Media (opcjonalnie)
    6. Zasady Użytkownika (ang. Acceptable Use Policy, które są tworzone z kierownikami poszczególnych działów)

    Dane przetwarzane w urządzeniu? A może jednak nie?

    Dane nie muszą być fizycznie przetwarzane w urządzeniu. Moim zdaniem zdecydowaniem lepszym jest jednak przetwarzanie ich na serwerze (urządzenie jest wtedy tylko narzędziem służącym do komunikacji, za pośrednictwem którego nie są przetwarzane dane). Oczywiście wybór serwera czy chmury oraz dodatkowych zabezpieczeń powinien być racjonalny (przykładowo https powinien być standardem, ale np. dwuskładnikowe uwierzytelnianie do określonej kategorii danych).

    Powyższe zalecenia mogą mieć zatem wymiar uniwersalny dla organizacji mającej siedzibę czy przedstawicielstwo w Polsce jak i Wielkiej Brytanii, gdyż przepisy w zakresie poruszanym przez przytoczony przeze mnie dokument brytyjskiego rzecznika ochrony informacji są tożsame.

    Autor grafiki promującej wpis: Jan Martin