„Bring Your Own Device”, czyli praktyka przynoszenia do pracy prywatnych urządzeń staje się coraz bardziej powszechna, zwłaszcza w małych i średnich przedsiębiorstwach. Czasami z taką inicjatywą wychodzą sami pracownicy, którzy chcą korzystać z własnych telefonów, czy laptopów, niekiedy zaś decyzję podejmuje pracodawca, który jednak zobowiązany jest do świadczenia ekwiwalentu pieniężnego za używane przez pracowników przy wykonywaniu pracy narzędzia, materiały lub sprzęt, stanowiące ich własność. Ma to swoje konsekwencje podatkowe, ale nie tylko. Coraz częściej pojawia się pytanie – czy korzystanie z prywatnych telefonów w pracy jest zgodne z RODO?
W pierwszej kolejności należy podkreślić, że każdy przedsiębiorca ma obowiązek zastosować odpowiednie techniczne i organizacyjne środki zabezpieczeń danych osobowych. Co istotne, powierzenie danych osobie trzeciej, czyli pracownikowi, nie zwalnia go od odpowiedzialności za ich utratę, wręcz przeciwnie – to administrator danych odpowiada przed Prezesem Urzędu Ochrony Danych Osobowych za uchybienia w zakresie bezpieczeństwa danych osobowych w organizacji, podczas gdy pracownik ponosi konsekwencje co najwyżej dyscyplinarne. Polityka, zgodnie z którą pracownicy mogą wykorzystywać swoje prywatne urządzenia mobilne w celach służbowych rodzi zwiększone ryzyko ewentualnego wycieku danych. Jeżeli korzystają oni z prywatnych telefonów z wykorzystaniem kart służbowych, a w konsekwencji są w stanie odczytać służbowe informacje, oznacza to, że wraz z telefonami wynoszą poza obszar przedsiębiorstwa dane osobowe współpracowników, klientów i kontrahentów. W związku z tym, czy aby na pewno korzystanie z prywatnych urządzeń przez pracowników w celach służbowych, jest dopuszczalne?
Przepisy RODO nie zawierają wyraźnych przeciwwskazań, aby dane osobowe były przetwarzane przez przedstawicieli danego przedsiębiorstwa za pomocą prywatnych urządzeń mobilnych, na przykład z wykorzystaniem kart służbowych. Konieczne jest jednak spełnienie określonych wymogów dotyczących zabezpieczania takich urządzeń oraz przestrzeganie reguł narzuconych przez administratora danych. RODO nie wprowadza obowiązku stosowania konkretnych rozwiązań, mających na celu zabezpieczenie przetwarzanych danych, pozostawiając to do oceny samemu administratorowi. Do najczęściej wdrażanych standardów zaradczych należą: obowiązek zainstalowania programu antywirusowego i jego regularnej aktualizacji, zakaz udostępniania urządzenia osobom trzecim, w tym członkom rodziny, wprowadzenie skutecznej blokady urządzenia, ograniczenie możliwości instalowania innych aplikacji czy zakaz korzystania z niezabezpieczonych hotspotów. Oprócz tego pracodawca powinien określić listę urządzeń uznanych za „dopuszczone do użytku”, która jednak, z uwagi na szybki postęp technologiczny, musi być jak najczęściej aktualizowana. Innym narzędziem jest korzystanie z aplikacji służących do lokalizowania urządzenia, co z jednej strony ułatwi działanie w przypadku jego kradzieży, zdalnego włamania, czy też przypadkowej utraty, ale z drugiej budzi wątpliwości w kontekście ochrony prywatności pracownika. Pracodawca ma obowiązek zapewnić spójne standardy bezpieczeństwa – przykładowo, jeżeli wszystkie telefony w firmie wyposażone są w czytniki linii papilarnych, to tego samego standardu należy oczekiwać od telefonów przynoszonych do pracy przez pracowników i wykorzystywanych przez nich przy użyciu kart służbowych.
Pomocnym rozwiązaniem może okazać się gromadzenie wszystkich danych zbieranych przez przedsiębiorstwo w jednym miejscu, w tzw. chmurach danych. Pracownicy przesyłają dane bezpośrednio na serwer, do którego dostęp do mają jedynie osoby upoważnione – w konsekwencji ryzyko ich wycieku w przypadku utraty urządzenia mobilnego jest znikome. Z drugiej strony, już samo odczytywanie służbowych e – maili, czy SMSów na prywatnym telefonie wymaga zachowania szczególnej ostrożności, dlatego każdy przypadek zastosowania „Bring Your Own Device” powinno poprzedzać opracowanie procedur w tym zakresie.
Przyjęcie w ramach przedsiębiorstwa polityki wykorzystywania prywatnych urządzeń mobilnych w celach służbowych stanowi element polityki bezpieczeństwa. Jej przygotowanie jest niezwykle ważne z punktu widzenia ochrony danych osobowych. W naszej Kancelarii zajmujemy się kompleksowym opracowywaniem procedur w zakresie korzystania ze sprzętu zarówno prywatnego, jak i służbowego – jeśli obawiasz się, że w Twojej firmie dochodzi do nieprawidłowości związanych z jego użytkowaniem, zapraszamy do kontaktu.
Autorzy: |
Marta Rabe-Kozłowska
Radca Prawny
Email: biznesprawnik@turcza.com.pl
Telefon: +48 61 666 37 60
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz Legal English.