Partner wydania
Krzysztof Mirończuk , 11 września 2018

Umyślnie czy nie? Kradzież smartfonu a konsekwencje RODO

Utrata smartfonu, na którym przechowywano firmowe dane zawsze jest problemem. Ale po wejściu w życie przepisów RODO, takie zdarzenie wymaga od przedsiębiorcy znacznie szybszych i szerzej zakrojonych działań, niż dotychczas. Rozporządzenie o ochronie danych nakłada na przedsiębiorców obowiązek zapewnienia bezpieczeństwa danych w sytuacji, gdy urządzenie utracimy – i to bez względu na to, czy zostało ukradzione czy zgubione. To ostatnie może jednak mieć znaczenie przy nakładaniu ewentualnej kary, jeśli Prezes Urzędu Ochrony Danych Osobowych uzna, że dane były chronione w niewystarczający sposób.

Ogólne rozporządzenie o ochronie danych osobowych, obowiązujące od końca maja dotyczy nie tylko danych przechowywanych na służbowych komputerach, ale także na wszystkich urządzeniach mobilnych, które mają do tych danych dostęp. To zarówno numery telefonów w książce adresowej, jak i informacje przesyłane w mailach, zdjęcia, dane z baz CRM czy informacje finansowe. RODO nakazuje chronić przed osobami trzecimi wszystko, co umożliwia zidentyfikowanie osoby fizycznej. Dlatego polityki ochrony danych w firmach muszą dotyczyć także smartfonów czy tabletów. I to nie tylko tych, należących do firmy, ale też prywatnych, które pracownicy wykorzystują do zadań służbowych. Kradzież czy zgubienie telefonu jest sytuacją, w której te wszystkie procedury się weryfikują w praktyce – dlatego należy dołożyć wszelkich starań, by konsekwencje sprowadziły się tylko do zakupu nowego urządzenia.

Człowiek najsłabszym ogniwem
- Mówiąc o zabezpieczeniu telefonu, warto zwrócić uwagę na to, co ludzie z urządzeniami robią, gdzie je trzymają, jak je przechowują, w jaki sposób narażają je na niebezpieczeństwo – mówi dr Marlena Sakowska-Baryła radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych oraz redaktor naczelna kwartalnika „ABI Expert”, specjalizującego się w ochronie danych osobowych. I opowiada taką historię: – Dzień przed wejściem w życie RODO znalazłam telefon. Był to zdecydowanie telefon firmowy. Ekran nie był zablokowany. Był też zalogowany do poczty. Okazało się, że należał do osoby, która zajmowała się sprzedażą środków aptecznych. Jeśli ten telefon znalazłby ktoś, kto wiedziałby, jak skorzystać z bazy klientów, którą oferowała skrzynka mailowa osoby, która zostawiła go w powszechnie dostępnym miejscu, i wykorzystałby to – byłaby to dla niego spora gratka.

Czy w takim przypadku ma znaczenie to, czy telefon został zgubiony czy skradziony? Eksperci stoją na stanowisku, że w postępowaniu prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych i ewentualnej decyzji o ukaraniu przedsiębiorcy w związku z wyciekiem danych – okoliczności utraty sprzętu będą brane pod uwagę.

– Zarówno to, w jaki sposób telefon został utracony, a więc to czy np. został zostawiony w kawiarni na stoliku, czy też miało to miejsce w wyniku napadu, ma znaczenie – mówi Zofia Babicka-Klecor, partner w kancelarii Legalgeek, i dodaje: – Znacznie trudniej przypisać winę osobie, która została napadnięta, ale pozostawienie telefonu w miejscu publicznym jest czymś zupełnie innym i odpowiedzialność administratora z tego tytułu będzie zapewne większa.

Ogromne znaczenie ma to, czy w firmie wdrożone zostały odpowiednie procedury w ramach RODO i czy pracownicy są świadomi tego, co mają na swoich telefonach oraz jak powinni się z nimi obchodzić. Nie daje to stuprocentowej gwarancji bezpieczeństwa (i braku konieczności ponoszenia konsekwencji za jego naruszenie), ale minimalizuje ryzyko.

– Jeżeli dysponujemy w naszej organizacji procedurami dotyczącymi korzystania z urządzeń mobilnych, jeżeli o tych procedurach przypominamy naszym pracownikom, komunikujemy je naszym pracownikom, mamy dowody na to, że nasi pracownicy zostali o tych wszystkich sprawach pouczeni, to oczywiście, że nie wyeliminujemy tego marginesu błędów, które się mogą zdarzyć – mówi dr Sakowska-Baryła. – Natomiast na naszą korzyść działa to, że my staraliśmy się zabezpieczyć przed taką sytuacją. Jeżeli mamy procedury, pokazujemy, że dołożyliśmy wszelkich starań, żeby do takich sytuacji, jak utrata tego telefonu nie doszło - to na pewno działa to na plus.

Nie chowaj głowy w piasek
Eksperci, z którymi rozmawialiśmy jednogłośnie radzą – w każdej sytuacji, która wiąże się z zagrożeniem danych osobowych (czyli kradzież, ale również zgubienie telefonu) należy poinformować o zdarzeniu organ nadzorczy, czyli Prezes Urzędu Ochrony Danych Osobowych w nakazanym przez RODO terminie 72 godzin. Jeśli wdrożyliśmy w firmie właściwie politykę bezpieczeństwa danych – nie grożą nam raczej sankcje ze strony urzędników.

– Pod względem proceduralnym jesteśmy na dobrej pozycji. Nie mogę powiedzieć, że to jest pozycja komfortowa, ale jest niezła– mówi dr Sakowska- Baryła. – Wiemy, że to naruszenie nastąpiło, odnotowaliśmy takie naruszenie, dysponujemy dokumentami potwierdzającymi, zgłosiliśmy to naruszenie do organu nadzorczego, czyli właściwie dopełniliśmy wszystkich reguł wynikających z RODO, z przepisów, które wskazują co powinniśmy zrobić w przypadku takich incydentów. Natomiast inaczej sytuacja z pewnością byłaby oceniana, gdybyśmy udawali, że taka rzecz nie miała miejsca, gdybyśmy nie dokonali zgłoszenia do organu nadzorczego, a ujawniłoby się takie zdarzenie, które spowodowałoby naruszenie praw lub wolności osoby fizycznej.

Kolejnym krokiem jest rozważenie, czy powinniśmy informować osoby, których dane mogły dostać się w niepowołane ręce. To my o tym decydujemy, na podstawie m.in. art. 34 RODO, który określa okoliczności, w których nie trzeba tego robić (bo np. istnieje nikłe ryzyko, że dane ze skradzionego telefonu mogą zostać odczytane, bo były dobrze zaszyfrowane)
– Ale to jest zawsze nasze ryzyko, czy dokonaliśmy właściwej oceny – podkreśla ekspertka. – Bo organ, dokonujący kontroli ex-post może dojść do wniosku, że jednak powinniśmy poinformować osoby o wycieku ich danych. A skoro tak, to on może nam nakazać to poinformowanie, lub wręcz sam dokonać tego poinformowania. Więc jesteśmy na pozycji dużo gorszej, niż w sytuacji, gdybyśmy te osoby sami poinformowali.

Kto za co odpowiada
Tutaj trzeba rozróżnić dwa rodzaje odpowiedzialności – przed organem nadzorczym, który może po prostu nałożyć na przedsiębiorcę karę finansową, oraz odpowiedzialność cywilną, czyli ewentualne pozwy o odszkodowania składane przez osoby, których dane wyciekły. Podstawową odpowiedzialność w przypadku kradzieży lub zgubienia telefonu ponosi pracodawca. To firma zostanie ukarana (jeśli organ nadzorczy, czyli PUODO uzna to za konieczne) a nie np. jej handlowiec.

Pozostaje jednak pytanie o odpowiedzialność pracownika. Jak wyjaśnia Zofia Babicka-Klecor – tę kwestię reguluje nie RODO, a kodeks pracy, zgodnie z którym pracownik ponosi odpowiedzialność względem pracodawcy, ale wysokość odszkodowania jest ograniczona do wysokości trzymiesięcznego wynagrodzenia, przysługującego pracownikowi w dniu wyrządzenia szkody.

– Inaczej jest w sytuacji gdy pracownik wyrządzi szkodę umyślnie – w tym przypadku ograniczenie odpowiedzialności nie będzie miało zastosowania – tłumaczy prawniczka. – Co ważne, w przypadku wyrządzenia przez pracownika szkody osobie trzeciej to wyłącznie pracodawca, jako administrator danych, zobowiązany jest do naprawienia szkody i dopiero w dalszej kolejności może on domagać się naprawienia szkody przez pracownika.

Dr Sakowska-Baryła przypomina w tym miejscu, że w przypadku osób, które pracują w oparciu o umowy cywilnoprawne, całą odpowiedzialność będzie ponosić ten, kto wykonuje pracę, np. pisze aplikację mobilną wykorzystując bazę danych firmy w ramach umowy o dzieło. A więc jeśli wyciek danych nastąpi z jego winy – możemy założyć, że w stosunku do niego uda się wystąpić z roszczeniem regresowym i odzyskać kwotę zapłaconego odszkodowania.

Jak się chronić?
Na początku warto zadać sobie pytanie, jakie dane powinniśmy przechowywać w telefonie. W erze mobilnych pracowników i nowoczesnych smartfonów nie ma właściwie żadnych ograniczeń technicznych, co do rodzaju przechowywanych tam informacji. Dr. Sakowska-Baryła rekomenduje jednak swoim klientom wprowadzenie ograniczeń w tym zakresie.

Pamiętajmy, że bez znaczenia jest to, czy był to telefon należący do pracodawcy, czy prywatne urządzenie pracownika wykorzystywanego w pracy – wyjaśnia Przemysław Gąsiorowski, ekspert ds. RODO w firmie ODO24, zajmującej się wdrażaniem systemów ochrony danych osobowych: – Jeżeli pracodawca pozwala na wykorzystywanie telefonów prywatnych do celów służbowych, to powinny one być w ten sam sposób zabezpieczone co telefony firmowe. Nie ma tutaj rozróżnienia na telefon prywatny i służbowy, bo jeżeli mamy tam pocztę służbową, logujemy się do systemu CRM, czy jakiegokolwiek innego systemu, który wykorzystujemy służbowo to on powinien być zabezpieczony w ten sam sposób.

Zabezpieczenia powinny być adekwatne do ryzyka utraty istotnych danych. Szyfrowanie danych to podstawa, jeśli nie chcemy, aby ważne dla firmy informacje nie trafiły w niepowołane ręce. – podkreśla Renata Bilecka z Samsung R&D Institute Poland. Kontakty, dokumenty, wiadomości czy inne informacje, które przechowujemy w służbowych telefonach powinny być zapisane w bezpiecznym środowisku. Platforma bezpieczeństwa Samsung Knox jest wbudowywana w nasze urządzenia już na etapie ich produkcji, dzięki temu jesteśmy w stanie chronić smartfon (także tablet) od warstwy sprzętowej aż po interfejs użytkownika. Bezpieczeństwo danych w przypadku kradzieży lub zgubienia telefonu zapewnia nie tylko mocne szyfrowanie, ale również oddzielenie firmowego środowiska pracy od prywatnego, oraz możliwość zdalnego usunięcia danych firmowych, zlokalizowania czy zablokowania telefonu – podsumowuje Bilecka.

- Jedną z zasad RODO jest zasada integralności danych zgodnie, z którą dane powinny być przetwarzane w sposób zabezpieczający je przed przypadkową utratą, zniszczeniem lub uszkodzeniem – wyjaśnia Zofia Babicka-Klecor. Przemysław Gąsiorowski dodaje: – Powinniśmy móc odzyskać te dane, czyli powinniśmy stosować system zarządzania chmurowym backupem danych, oczywiście także w sposób zapewniający bezpieczeństwo.

Eksperci, z którymi rozmawialiśmy ostrożnie podchodzą do wysokości kar, które ma nakładać organ nadzorujący, czyli PUODO. Wprawdzie rozporządzenie mówi nawet o 20 milionach euro lub 4 procentach rocznego obrotu to trzeba pamiętać, że są to dopuszczalne maksima. Inaczej będzie traktowany przedsiębiorca, który korzysta z odpowiednich systemów informatycznych, przeszklił pracowników i stracił w kradzieży dobrze zabezpieczony telefon, a inaczej ten, który uznał, że nie chce inwestować czasu i pieniędzy i jedynym zabezpieczeniem telefonów jego pracowników jest czterocyfrowy PIN.