Partner wydania
Krzysztof Mirończuk , 12 września 2018

RODO a utrata smartfona. To może słono kosztować

Rewolucja RODO dotknęła wszystkich przedsiębiorców, bo każdy zbiera dane w ramach swojej działalności. Dane przechowywane na smartfonach podlegają takiej samej ochronie jak wszystkie inne. Zgubienie, a nawet kradzież telefonu nie zwalnia nas z odpowiedzialności za to, co stanie się z informacjami przechowywanymi na urządzeniu.

Odczytując służbowe e-maile, SMS-y na smartfonie masz dostęp do danych, które zgodnie z RODO podlegają ochronie - zbierane i przetwarzanie tych danych nie odbywa się bowiem w ramach czynności o czysto osobistym lub domowym charakterze. Jeśli jesteś na przykład rzeczoznawcą, wykonującym zdjęcia przedmiotom, które wyceniasz – i przechowujesz zdjęcia na swoim smartfonie – musisz pamiętać, że zdjęcia te mogą podlegać ochronie wskazanej przez RODO.

Warunkiem jest możliwość zidentyfikowania osoby, do której te przedmioty należą (na przykład gromadzisz te zdjęcia w folderze nazwanym nazwiskiem klienta, a dodatkowo to nazwisko masz wpisane w kontaktach lub notatkach na tym samym urządzeniu).

Jeśli jesteś taksówkarzem i wykorzystujesz smartfon do obsługi pasażerów (masz na nim zainstalowaną aplikację, która przyjmuje i gromadzi informacje o adresach i nazwiskach klientów) – musisz te dane chronić, zgodnie z przepisami RODO.

Chronić, to znaczy zadbać o to, żeby nikt niepowołany nie miał możliwości np. odczytania tych informacji i zidentyfikowania osób, których dotyczą. Zarówno wtedy, gdyby udało mu się zdalnie włamać do tego urządzenia lub za jego pośrednictwem do jakiejś bazy danych (np. z adresami mailowymi klientów), jak i wtedy, gdyby urządzenie ukradł i bezpośrednio z niego wydobył takie dane.
Zgodnie z RODO, musisz przygotować odpowiednie procedury postępowania z danymi, opisać je oraz – co najważniejsze – stale analizować, czy dane są bezpieczne.

Uwaga – złodziej!
Teraz wyobraź sobie dwie sytuacje. W pierwszej twój pracownik wyjeżdża na kilkudniowy urlop. Zabiera służbowy smartfon, bo jak wiele innych osób – korzysta z niego nie tylko do celów związanych z pracą, ale też prywatnie. Ma oczywiście na nim dostęp do firmowej poczty oraz bazy danych klientów, przechowuje też niektóre dokumenty zawierające prezentacje biznesowe. Jedyną ochroną przed dostaniem się do tych aplikacji osób niepowołanych jest kod pin, który odblokowuje ekran. Smartfon zostaje skradziony, ale pracownik – będąc na wakacjach – informuje cię o tym dopiero po powrocie, czyli tydzień po tym, jak się zorientował, że telefonu nie ma.

Druga historia zaczyna się podobnie. Urlop, smartfon służbowy w użytku prywatnym zapełniony danymi osobowymi. Tym razem jednak dane służbowe przechowywane na smartfonie są umieszczone w oddzielnym kontenerze, do którego trzeba się dodatkowo zalogować. Wszystkie te informacje są automatycznie szyfrowane i mogą być dodatkowo składowane w dobrze zabezpieczonej chmurze. Do tego pracownik wie, że o stracie urządzenia musi natychmiast powiadomić pracodawcę i tak też robi. Kończy urlop bez stresu, a w tym czasie odpowiednie osoby w firmie informują o zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych. Osoby odpowiedzialne z firmy próbują namierzyć utracony telefon, mogą też go zdalnie zablokować albo – na wszelki wypadek – całkowicie czyszczą jego pamięć.

Druga historia prawdopodobnie na tym etapie się kończy. Pozostaje jedynie wydać pracownikowi nowe urządzenie ze wszystkimi danymi, które miał na utraconym telefonie. Historia pierwsza ma swój niemiły ciąg dalszy.

Miliony euro kary za zgubiony smartfon
Telefon dostaje się w ręce niepowołanej osoby, a Twoi klienci dowiadują się, że ich dane nie były należycie zabezpieczone. Następuje ciąg pozwów cywilnych o odszkodowania, twoja firma traci reputację, pieniądze, klientów….. Co gorsza – dostajesz karę za to, że nie zgłosiłeś (lub zgłosiłeś za późno) incydentu do PUODO. 10 milionów euro lub 2 procent całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego – to kara w przypadku np. niezgłoszenia incydentu do PUODO. Jednak kara administracyjna za naruszenie katalogu przepisów RODO wskazanych w jego treści, może wynieść nawet 20 milionów euro lub 4 procent całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego. Oczywiście pod uwagę brana jest wyższa z dwóch powyższych kwot.

Może być oczywiście niższa, jeśli wyciek dotyczył np. niewielkiej liczby osób i nie miał znaczących konsekwencji, ale – w twoim przypadku idealnie nie było, więc tanio też nie będzie.
Prawnicy i eksperci przygotowujący firmy do wdrożenia RODO podkreślają, że przedsiębiorcy bardzo często nie biorą pod uwagę danych, do których dostęp zapewniają telefony pracowników.
Na pytanie: "Czy państwa pracownicy wynoszą dane poza firmę?" odpowiadają – "Nie, komputery zostają w biurze, żadnych pendrive'ów, czy wynoszenia dokumentów do domu". Dopiero wtedy okazuje się, że przecież pracownicy mają zainstalowane aplikacje do odczytywania służbowej poczty na telefonach. I to wystarczy – wg RODO są to dane, które trzeba chronić tak, jak te przechowywane na komputerach czy w papierowych segregatorach.

Jak chronić służbowe dane na smartfonie?
RODO jest właściwie zbiorem wskazówek, które można zamknąć jednym słowem – zapobiegać. Działania administratorów i osób odpowiedzialnych za bezpieczeństwo danych w firmie muszą się skupiać na zabezpieczeniu urządzeń tak, żeby dane, do których umożliwiają one dostęp – nie mogły być odczytane w przypadku kradzieży czy zgubienia sprzętu. Ani włamania hackerskiego.
Zabezpieczenie telefonu dobrze zacząć od oddzielenia danych prywatnych od służbowych. Zdjęcia, kontakty czy inne pozasłużbowe informacje są gromadzone do użytku "domowego" i pracownik może je przechowywać (a także ewentualnie stracić) bez konsekwencji prawnych. Jak sprawić, żeby wszystko się nie pomieszało?

Na rynku są dostępne rozwiązania, które tworzą oddzielne pulpity – jeden prywatny, drugi służbowy. Aby zapewnić ochronę danych osobowych trzeba uniemożliwić monitorowanie prywatnych informacji, przez wdrożenie odpowiednich środków, które pozwalają odróżnić korzystanie z telefonu w celach prywatnych i służbowych. Dobrą praktyką może być całkowite oddzielenie od siebie tych środowisk i zablokowanie dostępu do danych z jednego środowiska podczas korzystania z drugiego.

Takie rozwiązanie oferuje Samsung na swoich smartfonach. Platforma, która to umożliwia nazywa się Knox. Jak to działa?

Dane służbowe oddzielone od prywatnych. Zgodnie z RODO
Żeby dostać się do służbowego środowiska, konieczne jest dodatkowe logowanie, a nic, co trafi do pamięci urządzenia w trybie służbowym Knox, nie będzie dostępne po wyjściu z niego. Co więcej – dane są automatycznie szyfrowane po wylogowaniu, co stanowi jeden ze środków zapewnienia bezpieczeństwa zgodnie z RODO.

Kolejnym krokiem – po oddzieleniu firmowych danych i ich zaszyfrowaniu – jest zabezpieczenie się na wypadek kradzieży smartfonu. Już sam fakt zaszyfrowania danych powinien być wystarczającym zabezpieczeniem przed ich odczytaniem przez osoby postronne.

Jednak RODO wymaga również „zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego” (art. 32) Znacząco ułatwiają to rozwiązania chmurowe – informacje przechowywane na telefonie powinny być wysyłane na serwer w bezpiecznej chmurze. Wszystkie dane, które użytkownik zapisze w środowisku Knox, mogą być zabezpieczone w ten sposób. Dzięki temu zagubiony smartfon można zastąpić nowym urządzeniem, na którym bez trudu zsynchronizujemy dane przechowywane w chmurze.

Dodatkowo oprócz Platformy Knox istnieje dostępny dla wszystkich posiadaczy telefonów Samsung Cloud, który umożliwia dostęp do danych za pomocą dedykowanego serwisu www. Dzięki niemu możliwe jest także zlokalizowanie telefonu oraz wyczyszczenie jego pamięci ze wszystkich przechowywanych tam informacji.

Nie można zapominać o możliwości wykradzenia danych bez fizycznego dostępu do urządzenia. Rozwiązania z zakresu cyberbezpieczeństwa oferowane przez platformę Knox zostały docenione m.in. przez Departament Bezpieczeństwa USA, co jest rekomendacją, którą warto wziąć pod uwagę.

Knox jest bowiem zabezpieczeniem wielowarstwowym. Szyfrowanie danych odbywa się przy wykorzystaniu m.in. zapisanych trwale w pamięci urządzenia unikalnych kluczy szyfrujących oraz innych parametrów definiowanych przez użytkownika, co sprawia, że do ich odszyfrowania konieczna jest fizyczna obecność urządzenia oraz samego użytkownika. Do tego sam system operacyjny jest wieloetapowo sprawdzany podczas uruchomienia, co uniemożliwia jakiekolwiek jego modyfikacje np. za pośrednictwem złośliwego oprogramowania. To ostatnie i tak zostanie zatrzymane przez mechanizmy Knoxa.

RODO nie daje gotowych rozwiązań
Przepisy RODO nie dają gotowej recepty, jak chronić dane. Jednak każdy podmiot, który je przetwarza zobowiązany jest do przeprowadzenia analizy ryzyka, na podstawie której wybiera odpowiednie środki bezpieczeństwa. Inne zastosuje jednoosobowa firma, która jedynie gromadzi kontakty klientów i wystawia im faktury, a inne przedsiębiorstwo farmakologiczne, które prowadzi badania z udziałem pacjentów i potrzebuje do tego ogromnej ilości danych, z których większość jest szczególnie wrażliwa, bo dotyczy stanu zdrowia konkretnych osób.

Jedno jest pewne, bez względu na wielkość firmy i rodzaj prowadzonej działalności, przy naruszeniu ochrony danych osobowych, to my będziemy musieli wykazać, że dane te były zabezpieczone odpowiednimi technicznymi środkami ochrony. W pierwszym rzędzie to przedsiębiorca musi zdecydować, czy zastosowane zabezpieczenie jest wystarczające, czy nie.

RODO nie nakazuje np. zmiany haseł co miesiąc albo wprowadzenia zakazu przetrzymywania na urządzeniach mobilnych konkretnych rodzajów danych. To firma musi sama przygotować politykę ochrony danych na podstawie analizy ryzyka, co więcej – ta analiza powinna być przeprowadzana systematycznie, a sposoby ochrony dostosowywane do stwierdzonych zmian.

W kontekście urządzeń mobilnych stała aktualizacja systemu operacyjnego czy zabezpieczeń antywirusowych to niezbędne minimum. Biorąc pod uwagę, jak newralgiczne dane przechowujemy na naszych służbowych smartfonach, warto rozważyć wdrożenie rozwiązań, które zapewniają kompleksową ochronę – od łatwości i elastyczności w konfiguracji, przez sprzętowo-systemowe zabezpieczenia, po zdalną kontrolę i dostęp do bezpiecznej chmury.