Proste zasady używanie komórki i laptopa, które uchronią cię przed karami z rodo (część I)

W ostatnich dniach głośnym echem przez media przeszła sprawa aplikacji FaceApp pozwalającej na modyfikację wizerunku osoby ze zdjęcia. Niezwykle popularna stała się funkcja pozwalająca zobaczyć, jak osoba ze zdjęcia może wyglądać za 20-30 lat. Odezwały się głosy urzędników z Ministerstwa Cyfryzacji o niebezpieczeństwa utraty danych z telefonu, czy specjalistów od bezpieczeństwa z Niebezpiecznika o tym, jak sprzedajemy swoje dane w zamian za darmowe aplikacje. A co jeżeli w taki sam nierozważny sposób używamy służbowego telefonu? Czy narażamy się na wyciek danych, incydent przetwarzania, kary i utratę reputacji? Zdecydowanie tak, dlatego musisz zmienić swoje przyzwyczajenia i na początek wdrożyć proste zasady używania komórki i laptopa.

Kiedy przetwarzam dane osobowe?

Zanim zajmę się samymi aspektami korzystania ze służbowego telefonu, muszę jasno odpowiedzieć na bardzo często powtarzające się pytanie – kiedy mówimy o przetwarzaniu danych osobowych? Odpowiedź jest prosta: zawsze, chyba że mamy do czynienia z jednym z wyłączeń zdefiniowanych w RODO. Zatem bardziej słuszne jest pytanie – kiedy nie przetwarzasz danych osobowych?

RODO jasno definiuje te wykluczenia w Artykule 2. Jednym z nich są działania podejmowane „przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze”. Zatem RODO nie obowiązuje nas w życiu prywatnym. Kolejnym wykluczeniem jest przetwarzanie „w ramach działalności nieobjętej zakresem prawa Unii”, czyli jeżeli Twoja firma nie ma siedziby na terenie UE oraz nie przetwarza danych obywateli państw członkowskich. Dlatego nawet amerykańskie firmy bez swojej Europejskiej siedziby chcąc świadczyć usługi na rzecz obywateli UE, musieli dostosować się do RODO. Przepisy rozporządzenia nie odnoszą się także w stosunku do osób zmarłych, organów państwowych, których celem jest walka z przestępczością, wspólnej polityki zagranicznej czy bezpieczeństwa. Nie wszystkie zapisy RODO mają odniesienie także do redaktorów prasowych czy związków wyznaniowych.

Zatem jak widzisz, RODO obowiązuje przedsiębiorcę praktycznie zawsze. Pamiętanie o tej zasadzie pozwoli uniknąć Ci wielu problemów w przyszłości.

Urządzenie prywatne a służbowe - jakie stosować zasady?

Pojęcie „służbowy telefon” czy „służbowy laptop” bardzo często pojawia się w słowniku osób zatrudnionych w korporacjach. Wiele z nich kusiło możliwością wykorzystywania sprzętu służbowego do celów prywatnych, stosując to jako zachętę do podjęcia pracy. Osoby pracujące w modelu b2b często do pracy wykorzystywały swoje urządzenia, a nie te dostarczone przez zleceniodawcę. Rozpowszechniony stał się ostatnimi laty model BYOD, czyli Bring Your Own Device

Praca na komputerze

RODO nie jest rozporządzeniem zawierającym detale techniczne, mówiące jak należy wdrażać zawarte w nim zapisy. To przedsiębiorca ma podejmować odpowiednie decyzje, uwzględniając charakter branży, zakres przetwarzanych danych czy zagrożenia. Zatem nie znajdziemy w nim pojęć urządzenia prywatnego czy służbowego. Każde z nich, jeżeli tylko będzie miało dostęp do danych osobowych, trzeba uwzględnić w przyjętych politykach, procedurach i analizie ryzyka.

Łączenie funkcji telefonu służbowego i prywatnego jest wygodne, ale może być niebezpieczne z punktu widzenia RODO., Dane prywatne i służbowe zaczynają się na nim mieszać. Użycie wspomnianej aplikacji FaceApp w życiu prywatnym może Ci się odbić czkawką poprzez utratę prywatności. Jeżeli wgramy do niej dane służbowe będziemy mieli już incydentem. Jest jednak dobra strona medalu – jeżeli zrozumiesz jak chronić dane osobowe, to ochronisz siebie i swoją tożsamość także w życiu prywatnym. Poniżej kilka rad, na jakie aspekty przede wszystkim zwracać uwagę i jak wdrożyć proste zasady używania komórki i laptopa u siebie i swoich pracowników.

Bezpieczeństwo urządzeń

Na początku zadbaj o bezpieczeństwo fizyczne urządzenia i zapisanych w nim danych. Poniżej znajdziesz zasady, które musisz sobie przyswoić niezależnie od tego, czy to Twoje urządzenie prywatne, czy służbowe:

  • Zabezpiecz dostęp do komputera silnym hasłem (co najmniej kilkanaście znaków w tym duże i małe litery, cyfry i znaki specjalne). Jak takie hasło stworzyć możesz przeczytać tutaj. Alternatywnie użyj managera haseł. Pamiętaj by nie stosować tego hasła nigdzie indziej.
  • W urządzeniach mobilnych zastosuj również alfanumeryczne hasło. Jeżeli zdecydujesz się na kod PIN, niech będzie on co najmniej 6-cyfrowy. Zastosowanie dodatkowo biometrii, czyli odcisku palca lub rozpoznawania twarzy, także jest bezpieczne. Co do zasady musisz mieć ustawione możliwie najsilniejsze zabezpieczenie. Sprawdź jednak, jak awaryjnie się je wyłącza (np. w iPhone wystarczy 5 razy szybko kliknąć przycisk z prawej strony, którym normalnie blokujesz telefon).
  • Jeżeli Twój telefon na to pozwala, włącz opcję przywracania ustawień fabrycznych po 10 nieudanych próbach logowania. 
  • Włącz szyfrowanie dysków, pamięć telefonu czy wymiennych kart pamięci. Na komputerach musisz je włączyć samodzielnie (BitLocker w Windows, FileVault w MacOS). Pamiętaj, że szyfrowanie nic nie da, jeżeli nadal będziesz komputer usypiać po skończonej pracy. W takim stanie klucze szyfrujące są nadal w pamięci urządzenia. Musisz je albo wyłączyć, albo hibernować.
  • Telefony i tablety Apple mają domyślnie włączone szyfrowanie pamięci, tak samo nowsze urządzenia z Androidem. W starych musisz to zabezpieczenie włączyć samodzielnie. Nie zapomnij o wyjmowalnych kartach pamięci!
  • W przypadku zgubienia czy kradzieży telefonu skorzystaj z dostarczonych przez producentów narzędzi pozwalających na zlokalizowanie urządzenia. Koniecznie wymuś jego wyczyszczenie i przywrócenie do ustawień fabrycznych zdalnie, gdyby tylko zguba zalogowała się do sieci GSM albo WiFi.
  • W żadnym wypadku nie dawaj urządzenia do rąk nieznajomym, a już na pewno, gdy jest ono odblokowane. Odchodząc od komputera pamiętaj by go zablokować, a gdy odchodzisz na dłużej wyłączaj lub hibernuj.

Poczta, kalendarz, kontakty - zasady współdzielenia

Bardzo wygodnym rozwiązaniem jest wykorzystywanie tego samego urządzenia do obsługi prywatnej i służbowej poczty, kalendarza czy książki adresowej. Niemniej chwila nieuwagi może skończyć się incydentem, który co najmniej musisz odnotować w rejestrze incydentów. Wystarczy, że wyślesz e-mail z prywatnej skrzynki zamiast służbowej, lub zapiszesz dane kontaktowe w złej książce adresowej. Dlatego wprowadź proste i czytelne zasady oddzielania danych prywatnych i służbowych.

Aby uniknąć takich sytuacji, postaraj się korzystać z oddzielnych aplikacji do czynności prywatnych i służbowych. Tak robię ja. Do poczty prywatnej na telefonie czy laptopie wykorzystuję Apple Mail, czyli wbudowaną aplikację w MacOS czy iOS. Do służbowej zaś, ponieważ korzystam z pakietu Office365, mam na urządzeniach zainstalowanego klienta Microsoft Outlook. Ty możesz zainstalować dowolną inną aplikację pocztową do swojej skrzynki. W przypadku kalendarza przyjąłem zasadę, że korzystam tylko z usługi z Office365 zarówno do celów prywatnych, jak i służbowych, ewentualnie zapisuje wydarzenia bezpośrednio w wewnętrznym kalendarzu telefonu. Prywatne spotkania i tak wpływają na wydarzenia służbowe, a dzięki temu nie ryzykuję zapisania służbowego spotkania z danymi klienta w prywatnym kalendarzu. Pilnuję jednak, żeby raczej nie wpisywać danych osobowych w prywatne spotkania. W przypadku, gdy zatrudniasz osoby możesz w regulaminie zakazać takiego współdzielenia kalendarza. Regulamin musi zawierać spisane wszystkie zasady korzystania z urządzeń w firmie.

Email w komórce

Obsługa książki kontaktów wymagała ode mnie zmiany moich przyzwyczajeń. iPhone pozwala na podłączenie i synchronizację wielu książek adresowych, lecz zapisuje kontakty tylko w domyślnej. Dopiero potem można je przenieść do innej. Wymagało to wprowadzenia w życie zasady, że kontakty służbowe zapisuję w aplikacji Outlook, nigdy bezpośrednio w książce adresowej systemu iOS czy MacOS. Oczywiście kontakty te są dostępne z jej poziomu, abym mógł w prosty sposób wybrać numer telefonu. Dzięki temu prostemu, wizualnemu podziałowi mam kontrolę nad tym, gdzie zapisuję dane i minimalizuję ryzyko pomyłki.

Dostęp do danych przez aplikacje

Jest takie powiedzenie, że jednym z dwóch największych kłamstw Internetu jest stwierdzenie „przeczytałem i akceptuję warunki użytkowania„. Niestety prawda jest taka, że niewiele osób zawraca sobie głowę przeczytaniem polityki prywatności. Często nie jest ona napisana najprostszym językiem, mimo że RODO to narzuca. Prowadzi to do sytuacji, że powierzamy nasze dane, często bardzo osobiste, firmom trzecim i tracimy w ten sposób nad nimi kontrolę, a także naszą prywatność. Jako społeczeństwo mamy nawyk dość lekkomyślnego zgadzania się na dostęp do zgromadzonych na urządzeniu danych o nas i osobach trzecich.  Udostępniamy je aplikacji i jej twórcom bez świadomości co się z nimi będzie działo. Jest to ignorancja która powoduje, że nie zapala nam się w głowie żółta ostrzegawcza lampka, gdy aplikacja kalkulatora prosi o dostęp do książki adresowej czy zdjęć. A powinna, bo przecież po co kalkulatorowi dostęp do tych danych?

Taka lekkomyślność, gdy jesteś przedsiębiorcą, może się zemścić. Pamiętaj, że każde przekazanie danych osobowych w konkretnym celu do firmy trzeciej (w RODO nazywana jest ona procesorem) musi się odbywać w konkretnym celu. Wymagane jest podanie stosownej informacji w polityce prywatności i odnotowania tego w rejestrze czynności. A dane to nie tylko imię, nazwisko, numer telefonu czy adres e-mail. Będzie nimi także zdjęcie wykonane na zorganizowanej przez Ciebie konferencji, na którym uśmiechasz się razem z klientem. Wrzucenie tej fotografii do FaceApp, aby zobaczyć, jak będziecie wyglądać na starość, już samo w sobie będzie incydentem jeżeli nie miało uzasadnionego celu i nie zostało odnotowane w polityce. Co więcej, może on potem dochodzić od Ciebie zadośćuczynienia, szczególnie gdy nie wyraził na to zgody. Wszystko dlatego, że jego wizerunek został przekazany do firmy trzeciej, twórcy tej aplikacji.

Ograniczaj dostęp aplikacji do danych w telefonie do minimum
Ograniczaj dostęp aplikacji do danych w telefonie do minimum

Innym często popełnianym błędem, jest zezwalanie aplikacjom na dostęp do danych na urządzeniu. Tu warto mieć się szczególnie na baczności, gdy aplikacja prosi o dostęp do poczty, książki adresowej, kalendarza, zdjęć lub plików. Niebezpieczna może być też zgoda na monitorowanie wykonywanych na telefonie czynności. Aplikacje bankowe czy pozwalające na zamówienie przewozu często proszą o dostęp do książki adresowej, aby ułatwić przelewy czy wybór miejsca docelowego podróży. Zadaj sobie pytanie czy na pewno tego potrzebujesz. Ja rekomenduję, aby takiej zgody nie udzielać, jeżeli jednak chcesz z tych funkcjonalności korzystać, zadbaj o dopełnienie wszystkich wymogów formalnych, które stawia RODO. Jak widzisz na obrazku obok, ja zezwalam na dostęp do książki adresowej jedynie aplikacji Outlook, oraz komunikatorowi Signal, który stosuję do komunikacji z niektórymi klientami.

Zarówno w życiu prywatnym, jak i w pracy zawodowej, trzeba z wyprzedzeniem myśleć i rozumieć jak działają aplikacje czy strony, którym przekazujemy jakieś dane. Zwracaj uwagę na to, czy masz uzasadniony cel, w którym je przekazujesz i podpisaną umowę powierzenia. Jeżeli aplikacja prosi o dostęp do zasobów pomyśl, czy na pewno jest to konieczne. W szczególności odmawiaj takiego dostępu, gdy wykorzystujesz ją do celów prywatnych. Łatwo w ten sposób możesz udostępnić dane osobowe klientów czy partnerów biznesowych.

Lepiej poprosić o pomoc, niż później płacić kary

Znane jest powiedzenie „lepiej zapobiegać niż leczyć„. Pasuje ono także do ochrony danych osobowych i samego ich przetwarzania. Lepiej zmienić swoje nawyki i nauczyć się nowych bezpiecznych zachowań, niż usuwać skutki incydentu. Wyciek danych może uszczuplić nie tylko Twój portfel, ale co ważniejsze nadszarpnąć reputację. Karę może nałożyć UODO, zadośćuczynienia domagać może się sam poszkodowany. Dlatego przede wszystkim przejrzyj swój telefon oraz laptop i cofnij uprawnienia aplikacjom, które nie są Ci niezbędne. Z części z nich po prostu zrezygnuj. Możesz też zakupić oddzielne urządzenia i całkowicie odseparować swoje sprawy zawodowe od prywatnych. W kolejnej części pochylę się nad bardziej zaawansowanymi aspektami, z którymi na pewno się spotkasz, im bardziej Twoja firma będzie się rozrastać. A jeżeli przeniesiesz te zasady także do życia prywatnego Twoje życie stanie się cyfrowo na pewno bezpieczniejsze.

Jeżeli potrzebujesz pomocy w sprawach IT czy bezpieczeństwa to napisz do mnie. Jakby nie patrzeć w branży IT jestem od ponad 15 lat i zajmuję się między innymi bezpieczeństwem. Chętnie pomogę Tobie, i Twojej firmie, czy to poprzez konsultacje on-line czy wykonaniem kompleksowego audytu, projektu i konfiguracji rozwiązań teleinformatycznych. 

Powiedz, jak mogę pomóc Tobie?

Informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.online, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO