Urządzenia mobilne a ochrona danych osobowych

smartphon1Urządzenia mobilne takie jak smartphony czy tablety są coraz powszechniej przez nas wykorzystywane.

Wszystkie te urządzenia zapewniają nie tylko praktycznie stały dostęp do Internetu ale również cały szereg przeróżnych aplikacji[1] ułatwiających nam codzienne życie. Urządzenia mobilne, dzięki wyżej wskazanym zaletom są wykorzystywane również w pracy zawodowej. O ile ich wykorzystanie w życiu codziennym, do celów prywatnych nie podlega „zainteresowaniu” ustawy o ochronie danych osobowych[2], o tyle sytuacja odmiennie wygląda w odniesieniu do ich biznesowego zastosowania.
Nie ulega wątpliwości, iż urządzenia mobilne przechowują dane osobowe naszych klientów, potencjalnych klientów, współpracowników czy kontrahentów. W poniższym artykule skoncentrujemy się na tym jak uregulować kwestie smartphonów w naszej organizacji z punktu wiedzenia wymagań związanych z ochroną danych osobowych. Wybór smartphonów nie jest przypadkowy. Ich udział w rynku telefonów komórkowych stale rośnie od kilku lat o czym świadczy poniższy wykres:

wykres_3

Na początku należy wyjaśnić czym właściwie jest smartphon? Zgodnie z definicją zawartą wikipedi smartphon to urządzenie łączące w sobie funkcję telefonu i komputera przenośnego. Jest to o tyle ważne, iż smartphon jako komputer przenośny powinien zostać zaliczony do systemu informatycznego. W związku z powyższym smartphon powinien spełniać takie same wymogi jakie są stawiane komputerom.

Wymogi wynikające z ustawy o ochronie danych osobowych oraz aktów wykonawczy wydanych na jej podstawie:

Po pierwsze należy uwzględnić smartphon w dokumentacji z ochrony danych osobowych. W polityce bezpieczeństwa danych osobowych powinniśmy uwzględnić urządzenia przenośne w części dotyczącej:

  • obszarów przetwarzania danych osobowych,
  • wykazie programów służących do przetwarzania danych osobowych,
  • sposobów przepływu danych między poszczególnymi systemami informatycznymi,
  • środków technicznych i organizacyjnych stosowanych w celu ochrony danych osobowych.

Dosyć problematyczne może być uzupełnienie pierwszego z wymienionych elementów polityki tj. obszarów przetwarzania danych. Urządzenia mobilne, jak sama nazwa wskazuje nie muszą być przechowywane cały czas w tym samym miejscu. Smartphon mamy w kieszeni lub torebce kiedy spędzamy czas w biurze lub np. jedziemy do klienta. Obszarem przetwarzania danych osobowych może być bez mała cały świat. Warto pamiętać, że jeszcze niedawno inspektorzy GIODO wymagali, aby w części dotyczącej obszarów przetwarzania wpisywać nie tylko dokładny adres nieruchomości ale również numer pokoju. Jak więc pogodzić takie wymagania z wykorzystywaniem smartphonów? W mojej ocenie, z uwagi na archaiczność przepisów rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych nie można wskazać dokładnego obszaru przetwarzania danych i niestety musimy się z tym pogodzić.
Kolejnym problematycznym zagadnieniem związanym z polityką bezpieczeństwa, a szerzej z zabezpieczeniem przetwarzanych danych jest hasło. Zgodnie z wyżej przytoczonym rozporządzeniem jeżeli urządzenie ma dostęp do Internetu to hasło powinno się składać z przynajmniej 8 znaków (wielkie litery, cyfry i znaki specjalne) i powinno być zmieniane przynajmniej co 30 dni. O ile ten wymóg jest już problematyczny w odniesieniu do komputerów stacjonarnych czy laptopów to w przypadku smartphonów wydaje się jeszcze trudniejszy do zrealizowania z uwagi na częste „logowanie” się do nich. Warto jednak pamiętać, że hasło jest pierwszą linią obrony przed uzyskaniem nieupoważnionego dostępu do naszego urządzenia.

Kolejnym dokumentem wymagającym aktualizacji jest instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych. We wskazanym dokumencie należy rozważyć zmiany w następujących częściach instrukcji:

  • sposób, miejsce i okres przechowywania kopii zapasowych,
  • procedura tworzenia kopii zapasowych,
  • środki zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania,
  • procedury wykonywania przeglądów i konserwacji systemów i nośników informacji służących do przetwarzania danych osobowych.

Warto również wspomnieć o kilku tzw. dobrych praktykach związanych z używaniem smarphonów. Niżej wymienione zasady korzystania z firmowych smartphonów mogą zostać zawarte w pisemnej procedurze. Bardzo częstą praktyką w wielu podmiotach jest przygotowanie i udostępnienie pracownikom procedury opisującej zasady korzystania z komórkowych telefonów służbowych. W mojej ocenie warto rozszerzyć ww. procedurę o kilka punktów, tak aby uwzględnić fakt, że część z tych telefonów stanowią smartphony. Co prawda wprowadzenie odpowiedniej procedury nie wyeliminuje wszystkich zagrożeń związanych korzystaniem ze smartphonów ale przynajmniej je ograniczy. Do największych i najczęstszych zagrożeń należy zaliczyć kradzieże/pozostawienie telefony w miejscach publicznych oraz ataki hakerskie. Z badań przeprowadzych przez Redwood City, opartych na Check Point Software Technologies wynika, że w ciągu sześciu miesięcy, ponad 21 tys. smartophonów pozostawiono w taksówkach w samym tylko Chicago.
O czym należy więc pamiętać przygotowując procedurę dotyczącą korzystania ze smartphonów?

Pierwszą z dobrych praktyk jest instalowanie na urządzeniach mobilnych wyłącznie zaufanych/sprawdzonych aplikacji mobilnych (oraz oczywiście legalnych). Instalacja powinna być możliwa wyłącznie dla osób z odpowiednimi uprawnieniami np. z działu IT. Tego typu podejście ograniczy możliwość instalacji aplikacji, które mogłyby się okazać szkodliwe dla przechowywanych danych osobowych. Kolejnym elementem związanym z prawidłowym zabezpieczeniem naszego firmowego smartphona są aktualizacje oprogramowania. Aktualizacje mogą być czasami trochę uciążliwe dla użytkowników (zabierają czas, nie można wtedy korzystać z urządzenia czasami trzeba podłączyć smartfon do komputera lub pobrać aktualizację za pośrednictwem połączenia bezprzewodowego, który jest również niewygodne itp.). Ale unikanie aktualizacji może doprowadzić do narażenia smartphona na ataki hakerskie. Twórcy oprogramowania takiego jak np. Android i iOS dokładają ciągłych wysiłków, aby za pomocą aktualizacji zamknąć luki i potencjalne exploity.
W procedurze warto również wskazać, iż jeżeli nie jest to na niezbędne do urządzenie z automatu nie powinno mieć włączonego GPS, Bluetooth i Wireless. Nie tylko powodują szybkie wyładowanie baterii (np. stale próbując znaleźć inne sieci bezprzewodowe, urządzenia Bluetooth, i oceniając swoje położenie). Dodatkowo nawiązując automatyczne połączenie można doprowadzić do infekcji naszego urządzenia mobilnego. Ostatnim elementem o jakim należy pamiętać jest instalacja oprogramowania umożliwiającego zdalne usunięcie danych oraz poinformowanie użytkowników o tej możliwości w procedurze. Powyższe może okazać się bardzo przydatne np. w związku z kradzieżą smartphona. Zainstalowanie odpowiedniej aplikacji pozwoli na zdalny dostęp za pomocą przeglądarki internetowej i usunięcie danych. Zazwyczaj takie oprogramowanie będzie miało zdalny dostęp do telefonu za pośrednictwem sygnału radiowego lub innego przekaźnika i przywróci zapisane ustawienia w urządzeniu do ustawień fabrycznych, całkowicie usuwając wszystkie zapisane informacje. Co jest również ważne należy pamiętać o tym aby przed oddaniem/utylizacją sprzętu skutecznie usunąć zawarte na nim informacje. Wydaje się to oczywiste ale jak wynika z badań przeprowadzonych przez Trust Digital nie wszystkie firmy się do tego stosują. Powyższy wniosek płynie z badania przeprowadzonego przez tą amerykańską firmę. Trust Digital kupiło dziewięć losowo wybranych smartphonów na eBay. Inżynierowie z firmy McLean Wirginia odzyskali prawie 27.000 stron danych w zakupionych telefonach,. Informacje dotyczyły np. informacji finansowych, korporacyjnych, dokumentów sprzedaży oraz ewidencji klientów biznesowych.
Na koniec warto wspomnieć o konieczności uświadomienia użytkowników o istniejących zagrożeniach. Nawet najlepsza dokumentacja, zabezpieczenia techniczne i procedury nie zdadzą egzaminu jeżeli pracownik nie zostanie odpowiednio przeszkolony i wyczulony na grożące niebezpieczeństwa.

 

 

 

[1] http://blog.e-odo.pl/2014/09/18/aplikacje-mobilne-ochrona-danych-osobowych/

[2] Art. 3a ust. 1 pkt 1 ustawy o ochronie danych osobowych – Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych