Partner wydania
Smartfon, laptop, tablet, chmura czy tradycyjne notatniki i skoroszyty zamknięte w segregatorach – bez względu na to, gdzie przechowywane są dane osobowe, należy je chronić. Nowe prawo, czyli RODO, zrewolucjonizowało sposób dbania o wrażliwe informacje. Na tych, którzy to ignorują, czekają kary sięgające milionów złotych.

Czterdzieści trzy miliony – tyle wyników zwraca Google po wpisaniu czterech najmodniejszych liter ostatnich miesięcy: RODO. W tym ogromie treści ujęto wszystkie chyba aspekty nowych przepisów o ochronie danych osobowych. Wiele z nich jednak pomija bezpieczeństwo danych zgromadzonych na smartfonach, z których korzystają pracownicy firm i instytucji.

Jeśli mówimy o smartfonie wykorzystywanym do pracy, to mamy na myśli zarówno ten, który pracownik otrzymał od firmy, jak i ten, który kupił i utrzymuje sam, ale wykorzystuje go do celów służbowych. Ta druga opcja nie zwalnia bowiem pracodawcy od odpowiedzialności za to, co jego pracownik robi ze zgromadzonymi w godzinach służbowych danymi, oraz w jaki sposób korzysta z danych firmowych, na przykład odbierając i wysyłając maile.

Dane osobowe – czyli co?
Według RODO dane osobowe to informacje o "zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej […]; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej" (art. 4 pkt. 1 RODO).

Krótko mówiąc – dane osobowe wg RODO to wszystkie informacje o jakiejkolwiek osobie, które pozwalają ją zidentyfikować. Oczywiste są takie dane jak numery telefonów kontrahentów, ale już mniej – przesłany przez komunikator internetowy "prywatną" ścieżką kontakt do potencjalnego klienta. Komunikator – dodajmy – zainstalowany na służbowym (lub prywatnym, ale wykorzystywanym w pracy) smartfonie.

RODO zobowiązuje do ochrony powyższych informacji niezależnie od tego, gdzie one fizycznie się znajdują – ważne jest to, by nie uzyskały do nich dostępu osoby nieupoważnione. I to nawet jeśli wcale tego nie chcą, ale dane te mogą trafić do nich przez przypadek (np. błędnie wysłany e-mail).

Odpowiedzialność za bezpieczeństwo
Kto ma dane chronić? Rozporządzenie wskazuje tutaj na administratora danych osobowych, czyli każdą firmę, urząd czy osobę, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. RODO nie będzie miało jednak zastosowania do przetwarzania danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (np. zapisanie danych kontaktowych kolegi w telefonie prywatnym).

Prawo nakłada na administratora obowiązek stałego monitorowania poziomu ochrony przetwarzanych danych. Co to oznacza? Nie wystarczy raz wprowadzić zmiany w firmie w zakresie ochrony danych, zakupić odpowiednie urządzenia i ustalić procedury – i zapomnieć o sprawie. Firmy muszą wprowadzać zmiany w zabezpieczeniach, o ile tylko uznają, że dotychczasowe są niewystarczające.
Przykład? Jak wynika z danych firmy McAfee, w czwartym kwartale ubiegłego roku liczba plików typu malware przeznaczonych do atakowania urządzeń mobilnych wzrosła o jedną piątą w porównaniu stanu sprzed poprzednich 12 miesięcy.

Zainstalowanie w służbowym smartfonie oprogramowania antywirusowego i jego bieżąca aktualizacja to dziś konieczność. Biorąc jednak pod uwagę realną groźbę kradzieży lub zwykłego zagubienia urządzenia, a co za tym idzie możliwości dostępu do zgromadzonych na nim informacji osobom trzecim – antywirus nie wystarczy. Tu będzie już konieczne zastosowanie rozwiązań, które pozwolą np. zaszyfrować dane i kontrolować dostęp do nich nawet zdalnie. RODO wymaga bowiem zastosowania rozwiązań, które zapewnią możliwość przywrócenia dostępności danych osobowych w przypadku naruszenia ich bezpieczeństwa.

Co gorsza, jeśli mimo zastosowanych zabezpieczeń dojdzie do naruszenia bezpieczeństwa danych osobowych w firmie – niezależnie od tego, czy był to cyberatak, czy zaniedbanie pracownika – należy zgłosić incydent do PUODO (Prezesa Urzędu Ochrony Danych Osobowych). Tu rozporządzenie jest (wyjątkowo) bardzo konkretne – mamy na to tylko 72 godziny od stwierdzenia naruszenia.
Problem w tym, że mobilność pracowników oznacza jednocześnie ich dużą niezależność w działaniu, a także to, że pracownicy IT nie mają zwykle pełnego dostępu do urządzeń, a już na pewno nie są w stanie na bieżąco monitorować, czy sprzęt został zaatakowany ani kiedy dokładnie to nastąpiło. Nie mówiąc już o tym, że pracownicy często zwlekają z poinformowaniem o zgubieniu służbowego telefonu lub innych podobnych kłopotach.

Oczywiście pracownik nie jest zwolniony z odpowiedzialności. Jeśli został przeszkolony i ma sprzęt, który jest właściwie zabezpieczony, a mimo to, na skutek jego niedbalstwa, doszło do naruszenia bezpieczeństwa danych, może ponieść odpowiedzialność. Jeżeli jednak pracownik nie działał umyślnie to szkoda jest ograniczona do wysokości trzykrotności miesięcznego wynagrodzenia. Poza tym kary administracyjne nakładane są przez organ za zaniedbania własne administratora, więc próby obciążenia częścią kosztów pracownika mogą nie być skuteczne.
RODO. Ile kosztuje lekceważenie nowego prawa?

20 milionów euro lub 4 procent całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego – to kara administracyjna za naruszenie katalogu przepisów RODO wskazanych w jego treści. Oczywiście pod uwagę brana jest wyższa z dwóch powyższych kwot. 10 milionów euro lub 2 procent całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego – to kara w przypadku np. braku współpracy z PUODO lub niepowiadomienia osoby, której dane dotyczą, o ich wycieku.

To może zaboleć, nawet jeśli rzeczywiste kary będą niższe. Ich wysokość będzie każdorazowo dostosowana m.in. do stopnia szkody, czyli np. liczby osób, których dane były zagrożone.
Pamiętajmy też, to nie jest tak, że kara będzie nałożona wtedy, gdy już nastąpi wyciek danych. PUODO ma kontrolować firmy pod kątem tego, czy właściwie przeprowadzono analizę ryzyka i czy zastosowane zabezpieczenia były odpowiednie , aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Trzeba tu dodać, że RODO znajduje bezpośrednie zastosowanie w takim samym brzmieniu we wszystkich krajach Unii Europejskiej.

Wdrożone procedury przetwarzania danych w Polsce muszą odpowiadać nowemu prawu.

Jak chronić cenne dane?
Smartfon to urządzenie, które posiada dziś każdy pracownik, i narzędzie, w którym przechowujemy ogromne ilości – także ważnych, a nawet tajnych danych. Niestety dość łatwo może zostać nam skradzione, a przez to bezpowrotnie możemy stracić dostęp do chronionych informacji.

To jednocześnie urządzenie, które najłatwiej zgubić, narażone na cyberataki przez np. fałszywe aplikacje. To dlatego – jak już wspomnieliśmy – dobry i aktualny antywirus to podstawa. Kolejna (a właściwie: nadrzędna) rzecz, to możliwie najnowsza wersja systemu operacyjnego, również aktualizowanego na bieżąco. Wreszcie – blokowanie dostępu do telefonu osobom trzecim. W tym ostatnim przypadku podstawą jest blokada ekranu. Najbezpieczniejsza jest blokada oparta na danych biometrycznych (odcisk palca, skanowanie tęczówki czy rozpoznawanie twarzy – tylko w wersji 3D!), należy jednak pamiętać, że przetwarzanie danych biometrycznych jest bardzo ograniczone przez RODO. W każdym wypadku warto ocenić czy wprowadzenie takiej weryfikacji będzie zgodne z prawem.

Nawet jednak tak zaawansowane zabezpieczenie może nie wystarczyć…

Służbowe lepiej chronione
Stąd najlepiej w ogóle oddzielić sferę prywatną od służbowej. Takie rozwiązania oferuje np. platforma Samsung Knox. W ramach tego pakietu rozwiązań, można między innymi stworzyć wydzielone środowisko pracy, zupełnie odrębne od podstawowego środowiska Androida. Odrębne nie tylko ze względu na konieczność dodatkowego logowania, ale – i to jest jego główna zaleta, jako zabezpieczenia danych – zupełnie oddziela informacje służbowe od prywatnych (także w zakresie przetwarzania i składowania).

Kontakty, zdjęcia czy inne informacje zapisane w bezpiecznym środowisku nie mogą być odczytane po wylogowaniu z niego. Są zaszyfrowane przy użyciu unikalnych kluczy zapisanych fabrycznie w urządzeniu, więc nie są też możliwe do odszyfrowania na innym sprzęcie.

Warto tu dodać, że Samsung Knox to wielopoziomowa platforma zabezpieczeń, która chroni smartfon od warstwy sprzętowej po interfejs użytkownika. To czyni go bardzo odpornym na infekcje złośliwym oprogramowaniem, próby włamania oraz bezpośrednie podłączenie telefonu do komputera w celu dostania się do zapisanych tam informacji.

Mając tak zabezpieczony sprzęt, jedyne, co pozostanie, to odpowiednie przeszkolenie pracowników z funkcji platformy Knox, z których można korzystać na smartfonach, tabletach i zegarkach Samsung. Jeśli zaś w firmie środowisko mobilne jest heterogeniczne można nim zarządzać z pomocą oprogramowania Samsung Knox Manage, które pozwala na dystrybucję polityk bezpieczeństwa również do urządzeń innych producentów.

Najlepsze nawet zabezpieczenia nie pomogą, kiedy użytkownicy (świadomie lub nie) nie będą z nich korzystać.