Jak zapobiec kradzieży danych firmy z wyrzuconego telefonu?

Administrator danych musi wprowadzić odpowiednie procedury zapobiegające temu, by dane mogły zostać wykradzione np. z prywatnych urządzeń jego pracowników. Ich brak może być powodem nałożenia kary w przypadku wycieku.

Publikacja: 03.02.2024 14:50

Jak zapobiec kradzieży danych firmy z wyrzuconego telefonu?

Foto: Adobe Stock

Obecnie na telefonach i komputerach przechowujemy coraz więcej danych o sobie i innych, które w razie dostania się w niepowołane ręce mogą być wykorzystane w niecnych celach. Szczególnie niebezpieczna jest tu sytuacja wymiany starego urządzenia na nowe - jeśli nie zadbamy o to, by odpowiednio wyczyścić sprzęt z danych, przywracając go do ustawień fabrycznych. Jak wskazują badania firmy TME, aż 10 proc. Polaków wyrzuca po prostu stare telefony do śmieci – co jest niebezpieczne nie tylko z punktu widzenia ochrony środowiska, ale i ochrony danych. Tylko co czwarty oddaje taki sprzęt do specjalnego punktu.

Telefon lub tablet do demagnetyzacji

- Niestety nawet w takich punktach odpady elektroniczne nie są ewidencjonowane, więc wciąż istnieje ryzyko, że dostaną się w ręce przestępców, którzy bez większego trudu odczytają zawarte na nich nasze dane osobowe. Dlatego najlepiej zwrócić się do specjalnej firmy, która zajmuje się niszczeniem nośników danych i oddać stary telefon czy tablet do demagnetyzacji, co nie jest drogie - mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

- Jak wynika z badań, ponad 3/4 Polaków korzysta aktywnie ze smartfonów, z czego kolejne 3/4 co najmniej raz w tygodniu wykorzystuje je do celów służbowych. Coraz rzadziej wykorzystuje się tu telefony przekazywane przez pracodawcę, zastępując je dla własnej wygody prywatnymi. Firmy przeważnie tego nie zabraniają, czasem doszukując się w tym oszczędności, czasem dążąc do zapewnienia pracownikom większej dostępności do narzędzi pracy, a chyba najczęściej po prostu nie widząc w tym żadnego problemu i nie zawracając sobie głowy tym zagadnieniem. W przypadku komputerów odsetek użycia jest znacząco niższy, co nie znaczy, że zagadnienie nie występuje i nie wiąże się z takimi samymi ryzykami - wskazuje z kolei adwokat Michał Kibil.

Za wyciek firmowych danych z prywatnych nośników odpowie pracodawca

Co jednak w sytuacji, gdy na prywatnym urządzeniu przechowywane były dane związane z pracą zawodową? Jak się okazuje, za ich wyciek wciąż może odpowiadać pracodawca.

- Generalnie decyzja o zezwoleniu na wykorzystanie własnego sprzętu (np. w pracy zdalnej) powinna być poprzedzona wdrożeniem odpowiednich polityk, które mają zapewnić m. in. to, żeby nie doszło do ujawnienia danych osobom nieupoważnionym. Bo administratorem takich danych służbowych na prywatnym sprzęcie pracownika jest pracodawca i to on odpowiada za to, co się z tymi danymi dzieje – podkreśla adwokat dr Paweł Litwiński.

I wyjaśnia, że jeśli wyciek wynikać będzie z zaniedbań firmy, np. braku analizy ryzyka czy niewdrożenia odpowiednich rozwiązań w celu zapewnienia bezpieczeństwa, to ponosi ona wyłączną odpowiedzialność za wyciek. Jeśli zaś je wdroży, to i tak odpowiada jako administrator danych za zaniedbania swojego pracownika (choć może regresowo dochodzić od niego nałożonej kary). Tylko jeżeli przy zachowaniu należytej staranności nie dało się zapobiec wyciekowi danych, administrator może uniknąć kary.

Czytaj więcej

Czy pracodawca może dzwonić na prywatny numer telefonu w czasie choroby?

Szkolenie pracowników to podstawa

Adwokat Bartosz Grube zwraca jednak uwagę, że największym problemem jest to, że w wielu firmach nie ma wewnętrznych procedur, które takiego wynoszenia danych na nośniki prywatne zabraniają lub regulują ich zasady. Stąd w wielu przypadkach wstępuje poczucie pewnego rodzaju powszechnego przyzwolenie na takie zjawisko.

- Zawsze wyczulam klientów, by nie poprzestawali na samym stworzeniu procedur – tłumaczy Bartosz Grube. - Pracowników należy przede wszystkim przeszkolić i nauczyć dostosowywania się do zmian. Regulaminy muszą być na bieżąco modyfikowane. Jeśli zmieniamy formę przechowywania danych (z papierowej na cyfrową) i pozwalamy pracownikowi, by je wynosił poza firmę, musimy mieć postanowienia, które będą te dane zabezpieczały. Wgląd w prywatny telefon czy komputer jest ograniczony, ale uświadomienie, jakie są zagrożenia (dla firmy i pracownika) oraz konsekwencje nieprzestrzegania zasad, to jedna z lepszych form kontroli - podsumowuje ekspert.

Praktyczne rozwiązania dla firm

Dlatego też najlepiej zabezpieczyć się przed takimi sytuacjami, wprowadzając odpowiednie procedury wewnętrzne.

- Albo zabronić pracownikom kopiowania danych z nośników służbowych na prywatne, albo ,jeśli uważa, że jest to jednak niezbędne do wykonywania pracy, zadbać o to, by dane te były szyfrowane lub należycie zabezpieczone w inny sposób — mówi Bartosz Grube. Wówczas naruszenie wewnętrznych procedur będzie dawało możliwość kierowania roszczeń odszkodowawczych wobec pracownika — dodaje.

- Jednym ze standardów stosowanych w tym zakresie jest wprowadzenie zakazu używania sprzętu prywatnego do celów służbowych, bądź odwrotnie: poczty służbowej do celów prywatnych — tłumaczy radca prawny Jakub Wezgraj. - Pracodawca nie ma kontroli ani nadzoru nad sprzętem prywatnym użytkowanym przez pracowników, a więc nie jest w stanie zapewnić bezpieczeństwa danych przetwarzanych za jego pomocą, jednocześnie nie ma pewności co na tym sprzęcie z danymi robią sami pracownicy – dodaje.

Ale podkreśla też, że zdarzają się przypadki, gdy organizacja dopuszcza możliwość wykorzystywania przez pracowników sprzętu prywatnego, ale wówczas zawiera z nimi dodatkowe porozumienia, w których akceptują, że sprzęt będzie zabezpieczony np. narzędziami monitorującymi.

Ryzyko naruszenia prywatności pracowników

- Jednak wówczas pojawia się duży problem związany z prywatnością pracowników. Przecież oni na tym sprzęcie przechowują również dane, które nie są związane z obowiązkami służbowymi. Dla pracodawców to duży problem, bo nie mają jakiegokolwiek uzasadnienia, żeby uzyskiwać dostęp do tego typu danych. Trzeba więc wprowadzać swoiste strefy „buforowe”, czyli rozwiązania rozdzielające na tym samym sprzęcie dane „służbowe” od tych „prywatnych” - podsumowuje ekspert.

Michał Kibil wskazuje jednak, że pracodawcy relatywnie rzadko stosują dodatkowe zabezpieczenia, takie jak polityki BYOD, które mogą pozwolić doprecyzować zakres wykorzystywania prywatnego narzędzia w celach służbowych, a jeszcze rzadziej zabezpieczenia techniczne, umożliwiające chociażby monitoring prywatnego urządzenia pracownika.

- To ostatnie jest tak mało spotykaną praktyką nie tylko wobec obaw pracowników o ich inwigilację, ale też ze względu na przepisy RODO - podkreśla prawnik.

Czytaj więcej

Korzystanie przez pracownika z telefonu służbowego do prywatnych celów a PIT
Sądy i trybunały
Sędzia Piebiak może stracić immunitet. Oskarża go były lider KOD
Materiał Promocyjny
Tajniki oszczędnościowych obligacji skarbowych. Możliwości na różne potrzeby
Konsumenci
Frankowicze mają nowy sposób na banki. Donoszą do prokuratury
Podatki
Ryczałtowcy chcą dzielić biznes, by obniżyć składkę zdrowotną
Praca, Emerytury i renty
Będzie dodatkowa waloryzacja emerytur i rent. Rząd odsłania karty
Materiał Promocyjny
Naukowa Fundacja Polpharmy ogłasza start XXIII edycji Konkursu o Grant Fundacji
Nieruchomości
Mieszkania społeczne. Koniec wyodrębniania na własność