Rozwój technologii IT, sprawia że smartfony oraz tablety stają się miniaturowymi komputerami. Wiąże się to oczywiście z możliwości gromadzenia potężnych zbiorów danych, w tym danych osobowych. Tego typu dane podlegają zatem ustawie o ochronie danych osobowych. Przedsiębiorstwa, które powierzają swoim pracownikom nowoczesne smartfony, musza zatem wdrożyć odpowiednie procedury zabezpieczania danych. Brak wdrożenia odpowiednich procedur może wiązać się z nałożeniem na przedsiębiorce
grzywien przymuszających – nawet od 10.000 do 50.000 tys. złotych za każde uchybienie.
Skala problemu z danymi na smartfonach jest ogromna!
Biorąc po uwagę że niemal każda średnia lub większa firma powierza swoim pracownikom smartfony, jest to potężna skala a zarazem ryzyko wycieków danych osobowych w niepowołane ręce. Obecnie telefony mają nieograniczone możliwości dostępu do Internetu, skrzynek pocztowych i serwerów.
Dodatkowo, łatwość łączenia się z sieciami WiFi jest zarówno wygodą jak i niebezpieczeństwem związanym z przechwyceniem danych.
Do tej pory problem był bagatelizowany, natomiast ostatnie afery związane z wyciekami danych, śledzeniem i zbieraniem danych przez agencję wywiadowcze, sprawiają, że z każdym dniem rośnie świadomość związana z prawami o ochronie danych osobowych.
A co jeśli pracownik zgubi telefon z danymi? W przypadku braku wdrożenia dokumentacji oraz wdrożenia procedur, kary za tego typu uchybienie mogą być bardzo wysokie.
Po złożeniu zawiadomienia przez życzliwych lub poszkodowanych do GIODO, organ ten może nałożyć na podmiot, które nie wykonują jego decyzji administracyjnych, grzywny w celu przymuszenia. Brak dokumentacji i naruszenie przepisów ustawy może wiązać się zatem nałożeniem grzywny w wysokości:
- dla osób prawnych do 50 000 zł za każde uchybienie, ale nie więcej niż 200 000 zł w jednym postępowaniu egzekucyjnym
- dla osób fizycznych do 10 000 zł za każde uchybienie, ale nie więcej niż 50 000 zł w jednym postępowaniu egzekucyjnym art. 12 ustawy o ochronie danych osobowych.
Jak zabezpieczyć się przed karami? Wdrożenie dokumentacji i procedur!
Według ustawy o ochronie danych osobowych, za dane osobowe uznaje się każdą informację o zidentyfikowanej lub możliwej w łatwy sposób do zidentyfikowania danej osoby.
Na telefonach, szczególnie służbowych za takie dane należy uznać zawartość Książki Telefonicznej z imionami i nazwiskami, często adresy zamieszkania, wrażliwe dane osobowe przekazywane w SMS-ach czy mailach.
Każda notatka, email zawierające poufne informację z imieniem i nazwiskiem to zgodnie z ustawą dana osobowa i do jej prawidłowego przetwarzania należy wdrożyć odpowiednie procedury.
Jeśli Właściciel firmy, zarząd, lub dyrektor placówki stwierdzi, że na udostępnionych telefonach przechowywane są dane osobowe powinien wdrożyć środki techniczne i organizacyjne związane z prawidłowym przetwarzaniem danych osobowych.
Oznacza to przede wszystkim konieczność opracowania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym w zakresie dotyczącym smartfonów, dodatkowo dla osób prawnych należy powołać tzw. ABI, czyli administratora bezpieczeństwa informacji, który będzie odpowiedzialny za wdrożenie procedur i odpowiednie zabezpieczenia na komputerach, smartfonach, oraz samych pomieszczeniach gdzie dane osobowe są przetwarzane.
Tego typu dokumentację z procedurami można spróbować stworzyć samemu i musi ona bezwzględnie spełniać wymogi rozporządzenia do art. 39a ustawy o ochronie danych osobowych. Istnieją gotowe do uzupełnienia zestawy dokumentacji spełniającej wymagania wyżej wspomnianego rozporządzenia – np. dokumentacja przetwarzania danych osobowych RBDO.
Należy zauważyć, że niezastosowanie się do przepisów ustawy w wielu przypadkach może oznaczać popełnienie przestępstwa zagrożonego karą nawet do 2 lat pozbawienia wolności (art. 49 ust. 1 ustawy o ochronie danych), co jest odrębną kwestią w stosunku do wymierzenia grzywien przymuszających.
Smartfony choć wygodne i użyteczne, to jednak małe urządzenia i może zdarzyć się ich zgubienie. Jeśli dane wpadną w niepowołane ręce, może to wiązać się z dużymi karami – warto zabezpieczyć przedsiębiorstwo i wdrożyć odpowiednie rozwiązania.