Masz w firmie służbowy telefon? Wykonaj DPIA

W wielu firmach pracownicy wykorzystują do swojej pracy (i nie tylko) służbowe telefony. Stają się one niezbędnymi narzędziami gromadzącymi dane osobowe, w formie e-maili, pobranych plików, zdjęć, czy magazynu danych przechowywanych w chmurze. Często dochodzi do sytuacji, gdy w kieszeni przechowujemy więcej danych osobowych, niż w komputerze firmowym. Wymaga to stosowania zabezpieczeń uniemożliwiających osobom nieuprawnionym dostęp do danych osobowych.

Obecna technologia pozwala na zastosowanie profesjonalnych rozwiązań umożliwiających realizację wymagań dotyczących bezpieczeństwa przetwarzania określonych w artykule 32 ogólnego rozporządzenia ochronie danych, czyli:

• Pseudonimizację i szyfrowanie danych osobowych – system Android od wersji 5.0 ma domyślnie włączone pełne szyfrowanie dysku, natomiast w systemie IOS dane są szyfrowane od wersji 8;
• Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania – obecne na rynku telefony są bardzo dobrze zabezpieczone przed odczytaniem danych przez osoby nieuprawnione, za pomocą uwierzytelniania biometrycznego: rozpoznawanie linii papilarnych (obecnie stosowane są skanery oparte na ultradźwiękowym rozpoznawaniu odcisków palców), rozpoznawanie tęczówki, twarzy oraz głosu.

Niestety nowoczesna technologia, która pomaga nam czuć się bezpiecznie, stwarza również wysokie ryzyko naruszenia praw lub wolności dla osób fizycznych, z uwagi na przetwarzanie danych biometrycznych. W tej sytuacji administrator, zgodnie z artykułem 35 RODO, zobowiązany jest do dokonania przed rozpoczęciem przetwarzania, oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (DPIA).

8 lipca 2019r w Monitorze Polskim został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (link).

Wśród przedstawionych rodzajów dla operacji przetwarzania, dla których wymagane jest przeprowadzenie oceny, znajdujemy „Przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu”. Dotyczy to następujących obszarów:

• systemy rozpoznawania twarzy, weryfikacja tożsamości w miejscu pracy w celu kontroli dostępu, weryfikacja tożsamości w urządzeniach/aplikacjach (wliczając rozpoznawanie głosu, odcisków palców, twarzy);
• systemy monitoringu wejść do określonych pomieszczeń;
• systemy rozliczeniowo-ewidencyjne operacji bankowych, handlowych, ubezpieczeniowych;
• systemy kontroli wejść do klubów fitness, hoteli itp.

Warto również zwrócić uwagę na kolejną kategorię „Przetwarzanie danych lokalizacyjnych”, która dotyczy przetwarzania danych lokalizacyjnych pracowników. Odnosi się to do sytuacji, gdy pracodawca ma możliwość uzyskania informacji na temat lokalizacji osoby fizycznej.

Jak wynika z komunikatu Prezesa UODO: „Co do zasady, przetwarzanie spełniające przynajmniej dwa z niżej wymienionych kryteriów będzie wymagać oceny skutków dla ochrony danych. W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z niżej wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. Im więcej kryteriów spełnia przetwarzanie, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności podmiotów danych, a w konsekwencji, niezależnie od środków przewidzianych przez administratora do zastosowania, wymagana będzie ocena skutków dla ochrony danych”.

Mając na uwadze powyższe, warto sprawdzić czy korzystanie z telefonów służbowych w Twojej firmie wymaga przeprowadzania analizy ryzyka. Jak to się robi? O tym napiszemy w kolejnym artykule.