Urządzenia mobilne a ochrona danych osobowych

smartphon1Urządzenia mobilne takie jak smartphony czy tablety są coraz powszechniej przez nas wykorzystywane.

Wszystkie te urządzenia zapewniają nie tylko praktycznie stały dostęp do Internetu ale również cały szereg przeróżnych aplikacji[1] ułatwiających nam codzienne życie. Urządzenia mobilne, dzięki wyżej wskazanym zaletom są wykorzystywane również w pracy zawodowej. O ile ich wykorzystanie w życiu codziennym, do celów prywatnych nie podlega „zainteresowaniu” ustawy o ochronie danych osobowych[2], o tyle sytuacja odmiennie wygląda w odniesieniu do ich biznesowego zastosowania.
Nie ulega wątpliwości, iż urządzenia mobilne przechowują dane osobowe naszych klientów, potencjalnych klientów, współpracowników czy kontrahentów. W poniższym artykule skoncentrujemy się na tym jak uregulować kwestie smartphonów w naszej organizacji z punktu wiedzenia wymagań związanych z ochroną danych osobowych. Wybór smartphonów nie jest przypadkowy. Ich udział w rynku telefonów komórkowych stale rośnie od kilku lat o czym świadczy poniższy wykres:

wykres_3

Na początku należy wyjaśnić czym właściwie jest smartphon? Zgodnie z definicją zawartą wikipedi smartphon to urządzenie łączące w sobie funkcję telefonu i komputera przenośnego. Jest to o tyle ważne, iż smartphon jako komputer przenośny powinien zostać zaliczony do systemu informatycznego. W związku z powyższym smartphon powinien spełniać takie same wymogi jakie są stawiane komputerom.

Wymogi wynikające z ustawy o ochronie danych osobowych oraz aktów wykonawczy wydanych na jej podstawie:

Po pierwsze należy uwzględnić smartphon w dokumentacji z ochrony danych osobowych. W polityce bezpieczeństwa danych osobowych powinniśmy uwzględnić urządzenia przenośne w części dotyczącej:

  • obszarów przetwarzania danych osobowych,
  • wykazie programów służących do przetwarzania danych osobowych,
  • sposobów przepływu danych między poszczególnymi systemami informatycznymi,
  • środków technicznych i organizacyjnych stosowanych w celu ochrony danych osobowych.

Dosyć problematyczne może być uzupełnienie pierwszego z wymienionych elementów polityki tj. obszarów przetwarzania danych. Urządzenia mobilne, jak sama nazwa wskazuje nie muszą być przechowywane cały czas w tym samym miejscu. Smartphon mamy w kieszeni lub torebce kiedy spędzamy czas w biurze lub np. jedziemy do klienta. Obszarem przetwarzania danych osobowych może być bez mała cały świat. Warto pamiętać, że jeszcze niedawno inspektorzy GIODO wymagali, aby w części dotyczącej obszarów przetwarzania wpisywać nie tylko dokładny adres nieruchomości ale również numer pokoju. Jak więc pogodzić takie wymagania z wykorzystywaniem smartphonów? W mojej ocenie, z uwagi na archaiczność przepisów rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych nie można wskazać dokładnego obszaru przetwarzania danych i niestety musimy się z tym pogodzić.
Kolejnym problematycznym zagadnieniem związanym z polityką bezpieczeństwa, a szerzej z zabezpieczeniem przetwarzanych danych jest hasło. Zgodnie z wyżej przytoczonym rozporządzeniem jeżeli urządzenie ma dostęp do Internetu to hasło powinno się składać z przynajmniej 8 znaków (wielkie litery, cyfry i znaki specjalne) i powinno być zmieniane przynajmniej co 30 dni. O ile ten wymóg jest już problematyczny w odniesieniu do komputerów stacjonarnych czy laptopów to w przypadku smartphonów wydaje się jeszcze trudniejszy do zrealizowania z uwagi na częste „logowanie” się do nich. Warto jednak pamiętać, że hasło jest pierwszą linią obrony przed uzyskaniem nieupoważnionego dostępu do naszego urządzenia.

Kolejnym dokumentem wymagającym aktualizacji jest instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych. We wskazanym dokumencie należy rozważyć zmiany w następujących częściach instrukcji:

  • sposób, miejsce i okres przechowywania kopii zapasowych,
  • procedura tworzenia kopii zapasowych,
  • środki zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania,
  • procedury wykonywania przeglądów i konserwacji systemów i nośników informacji służących do przetwarzania danych osobowych.

Warto również wspomnieć o kilku tzw. dobrych praktykach związanych z używaniem smarphonów. Niżej wymienione zasady korzystania z firmowych smartphonów mogą zostać zawarte w pisemnej procedurze. Bardzo częstą praktyką w wielu podmiotach jest przygotowanie i udostępnienie pracownikom procedury opisującej zasady korzystania z komórkowych telefonów służbowych. W mojej ocenie warto rozszerzyć ww. procedurę o kilka punktów, tak aby uwzględnić fakt, że część z tych telefonów stanowią smartphony. Co prawda wprowadzenie odpowiedniej procedury nie wyeliminuje wszystkich zagrożeń związanych korzystaniem ze smartphonów ale przynajmniej je ograniczy. Do największych i najczęstszych zagrożeń należy zaliczyć kradzieże/pozostawienie telefony w miejscach publicznych oraz ataki hakerskie. Z badań przeprowadzych przez Redwood City, opartych na Check Point Software Technologies wynika, że w ciągu sześciu miesięcy, ponad 21 tys. smartophonów pozostawiono w taksówkach w samym tylko Chicago.
O czym należy więc pamiętać przygotowując procedurę dotyczącą korzystania ze smartphonów?

Pierwszą z dobrych praktyk jest instalowanie na urządzeniach mobilnych wyłącznie zaufanych/sprawdzonych aplikacji mobilnych (oraz oczywiście legalnych). Instalacja powinna być możliwa wyłącznie dla osób z odpowiednimi uprawnieniami np. z działu IT. Tego typu podejście ograniczy możliwość instalacji aplikacji, które mogłyby się okazać szkodliwe dla przechowywanych danych osobowych. Kolejnym elementem związanym z prawidłowym zabezpieczeniem naszego firmowego smartphona są aktualizacje oprogramowania. Aktualizacje mogą być czasami trochę uciążliwe dla użytkowników (zabierają czas, nie można wtedy korzystać z urządzenia czasami trzeba podłączyć smartfon do komputera lub pobrać aktualizację za pośrednictwem połączenia bezprzewodowego, który jest również niewygodne itp.). Ale unikanie aktualizacji może doprowadzić do narażenia smartphona na ataki hakerskie. Twórcy oprogramowania takiego jak np. Android i iOS dokładają ciągłych wysiłków, aby za pomocą aktualizacji zamknąć luki i potencjalne exploity.
W procedurze warto również wskazać, iż jeżeli nie jest to na niezbędne do urządzenie z automatu nie powinno mieć włączonego GPS, Bluetooth i Wireless. Nie tylko powodują szybkie wyładowanie baterii (np. stale próbując znaleźć inne sieci bezprzewodowe, urządzenia Bluetooth, i oceniając swoje położenie). Dodatkowo nawiązując automatyczne połączenie można doprowadzić do infekcji naszego urządzenia mobilnego. Ostatnim elementem o jakim należy pamiętać jest instalacja oprogramowania umożliwiającego zdalne usunięcie danych oraz poinformowanie użytkowników o tej możliwości w procedurze. Powyższe może okazać się bardzo przydatne np. w związku z kradzieżą smartphona. Zainstalowanie odpowiedniej aplikacji pozwoli na zdalny dostęp za pomocą przeglądarki internetowej i usunięcie danych. Zazwyczaj takie oprogramowanie będzie miało zdalny dostęp do telefonu za pośrednictwem sygnału radiowego lub innego przekaźnika i przywróci zapisane ustawienia w urządzeniu do ustawień fabrycznych, całkowicie usuwając wszystkie zapisane informacje. Co jest również ważne należy pamiętać o tym aby przed oddaniem/utylizacją sprzętu skutecznie usunąć zawarte na nim informacje. Wydaje się to oczywiste ale jak wynika z badań przeprowadzonych przez Trust Digital nie wszystkie firmy się do tego stosują. Powyższy wniosek płynie z badania przeprowadzonego przez tą amerykańską firmę. Trust Digital kupiło dziewięć losowo wybranych smartphonów na eBay. Inżynierowie z firmy McLean Wirginia odzyskali prawie 27.000 stron danych w zakupionych telefonach,. Informacje dotyczyły np. informacji finansowych, korporacyjnych, dokumentów sprzedaży oraz ewidencji klientów biznesowych.
Na koniec warto wspomnieć o konieczności uświadomienia użytkowników o istniejących zagrożeniach. Nawet najlepsza dokumentacja, zabezpieczenia techniczne i procedury nie zdadzą egzaminu jeżeli pracownik nie zostanie odpowiednio przeszkolony i wyczulony na grożące niebezpieczeństwa.

 

 

 

[1] http://blog.e-odo.pl/2014/09/18/aplikacje-mobilne-ochrona-danych-osobowych/

[2] Art. 3a ust. 1 pkt 1 ustawy o ochronie danych osobowych – Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych

Aplikacje mobilne, a ochrona danych osobowych

aplikacje_mobilne_0Większość z nas posiada ten lub inny model smartphon’a. Coraz powszechniejsze stają się również tablety. Każdy zaś smartphon czy tablet jest wyposażony w aplikacje mobilne. Są to najczęściej gry, aplikacje służące do przetwarzania zdjęć, robienia zakupów czy zaplanowania treningów. Rynek aplikacji mobilnych rozwija się bardzo dynamicznie. Obecnie w samej tylko Unii Europejskiej ten segment rynku generuje 17,5 mld euro rocznie i jest w nim zatrudnionych już 1 mln programistów i 800 tys. osób zajmujących się marketingiem i funkcjami pomocniczymi. Unijne badania wskazują na to, że w 2018 r. gospodarce Unii może przybyć 5 mln miejsc pracy, a przychód jaki ma generować branża osiągnie 63 mld euro.

Warto pamiętać, że większość aplikacji mobilnych jest darmowa. Obecnie zaledwie 9 proc. ściągnięć dotyczy płatnych aplikacji mobilnych. W jaki więc sposób są generowane te wszystkie pieniądze? Przede wszystkim aplikacje mobilne są wykorzystywane do zbierania informacji na nasz temat. Proces wygląda mniej więcej następująco. Instalujemy na naszym smart fonie/tablecie jakąś darmową grę. Podczas instalacji akceptujemy regulamin (oczywiście nie czytając go) i w ten sposób zgadzamy się na pozyskiwanie informacji z naszego telefonu. Obecnie, instalując aplikacje mobilne za pomocą np. Sklepu Google Play widzimy do jakich informacji będzie miała dostęp określona aplikacja. W tym miejscu pojawia się pytanie dlaczego „gra X” ma mieć dostęp do naszych zdjęć, informacji o połączeniu wi-fi, zakupów dokonywanych w innych aplikacjach, lokalizacji itp. Jest to prawdziwa cena instalowanej gry. Aplikacje mobilne zwierają ukryte logarytmy śledzące nasze zachowania i tworzące profil naszej osoby. W skład profilu wchodzą takie dane jak preferencje zakupowe, jakie strony internetowe są przez nas odwiedzane i wiele innych informacji na nasz temat. Następnie tego typu informacje są sprzedawane firmom marketingowym, które mogą wysyłać już sprofilowane reklamy.

Pierwszym pytaniem na jakie powinniśmy odpowiedzieć, to czy wskazany wyżej zakres informacji stanowi dane osobowe. Zgodnie z ustawą o ochronie danych osobowych, dane osobowe to  wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W mojej ocenie, informacje przetwarzane przez aplikacje mobilne mogą stanowić dane osobowe w rozumieniu ustawy o ochronie danych osobowych.

Czy więc opisane działania są zgodne z polskimi przepisami (co prawda z 1997 roku)? Analizując wybrane aplikacje mobilne muszę stwierdzić, że niestety ale nie. Naruszeniu ulega wiele przepisów ustawy o ochronie danych osobowych.

Przede wszystkim nie wiemy – jako użytkownicy do jakich dokładnie danych będzie miała dostęp aplikacja i w jaki sposób zostanę te dane wykorzystane. Czyli nie jest spełniony obowiązek informacyjny w rozumieniu artykułu 24 ustawy o ochronie danych osobowych. Kolejnym uchybieniem jest udostępnianie danych na nasz temat innym podmiotom. I w tym miejscu pojawia się nowe pytanie – kto ma właściwie dostęp do danych osobowych pozyskiwanych z aplikacji mobilnych? Istnieją cztery główne podmioty, które mogą być wyróżnione. Są to: twórcy aplikacji (włączając właścicieli aplikacji), producenci urządzeń oraz systemów operacyjnych („producenci OS oraz urządzeń), sklepy z aplikacjami (dystrybutorzy aplikacji) oraz inne strony zaangażowane w przetwarzanie danych osobowych.[1] Warto pamiętać, iż zgodnie ze stanowiskiem GIODO i wyrokami sąd udostępnienie danych osobowych w celach marketingowych innym podmiotom może się odbyć wyłącznie za naszą zgodą. Z własnego doświadczenia mogę powiedzieć, że żadna aplikacja nie poprosiła mnie o wyrażenie takiej zgody. Kolejnym naruszeniem jakie może mieć miejsce to transfer danych do kraju trzeciego. Dane pochodzące z aplikacji mobilnych mogą być przechowywane na serwerach w krajach tzw. trzecich jak np. Indie, Chiny czy USA.  Zgodnie z polskimi przepisami jeżeli taki transfer ma miejsce to powinny zostać spełnione określone wymagania np. zgodę na transfer powinien wyrazić GIODO. Problematyczne jest również przestrzeganie zasady adekwatności.

Problem ochrony danych osobowych został zauważony przez  rzeczników ochrony danych i prywatności biorących udział w 35 Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności. Twórcy oprogramowania mają się zastanawiać, czy ich produkty nie naruszą prywatności użytkowników. Zobaczymy na ile branża wytwarzająca aplikacje mobilne weźmie sobie do serca uwagi i postulaty rzeczników …

[1] Opinia 2/2013 w sprawie aplikacji mobilnych Grupy Roboczej art. 29 ds. Ochrony Danych