Ιδιωτικές συσκευές που χρησιμοποιούνται για επαγγελματικούς σκοπούς και τον GDPR

Υπηρεσία

Οι διατάξεις του γενικού κανονισμού για την προστασία των προσωπικών δεδομένων (εφεξής: GDPR) περιλαμβάνουν όχι μόνο δεδομένα που συλλέγονται στους υπολογιστές εργασίας των εργαζομένων, αλλά και πληροφορίες που αποθηκεύονται σε άλλες κινητές συσκευές που χρησιμοποιούνται σε σχέση με την εκτελούμενη δραστηριότητα. Έχοντας αυτό υπόψη, οι επιχειρηματίες είναι υποχρεωμένοι να εφαρμόζουν διαδικασίες που εγγυώνται την προστασία των δεδομένων που είναι αποθηκευμένα σε ιδιωτικά smartphone ή υπολογιστές που χρησιμοποιούνται από τους εργαζόμενους. Το εύρος των δεδομένων περιλαμβάνει, για παράδειγμα, αριθμούς τηλεφώνου στο βιβλίο διευθύνσεων, πληροφορίες ή φωτογραφίες που περιέχονται σε μηνύματα ηλεκτρονικού ταχυδρομείου ή δεδομένα σε βάσεις δεδομένων CRM. Στο σημείο αυτό θα πρέπει να επισημανθεί ότι η πολιτική προστασίας δεδομένων που ισχύει στην εταιρεία πρέπει να καλύπτει όχι μόνο τον εξοπλισμό που διαθέτει η εταιρεία, αλλά και τις ιδιωτικές συσκευές των εργαζομένων που χρησιμοποιούνται για την εκτέλεση επίσημων καθηκόντων.

Πώς φαίνεται η προστασία των προσωπικών δεδομένων που είναι αποθηκευμένα στις ιδιωτικές συσκευές των εργαζομένων; Τι γίνεται σε περίπτωση κλοπής ή απώλειας μιας ιδιωτικής συσκευής στην οποία συλλέχθηκαν δεδομένα που υπόκεινται σε προστασία βάσει του GDPR; Αυτό το άρθρο θα απαντήσει σε αυτές τις ερωτήσεις.

Πώς να προστατέψετε τις ιδιωτικές συσκευές, οι οποίες χρησιμοποιούνται και για επαγγελματικούς σκοπούς;

Πάνω από όλα, σε αυτήν την περίπτωση, η πρόληψη είναι το κλειδί. Είναι ο επιχειρηματίας, ως διαχειριστής προσωπικών δεδομένων, και τα πρόσωπα που είναι υπεύθυνα στην εταιρεία για την ασφάλεια των προσωπικών δεδομένων, που φέρουν το βάρος της θέσπισης μέτρων για τη διασφάλιση της προστασίας των δεδομένων, συμπεριλαμβανομένων των προσωπικών δεδομένων. Ειδικότερα, ο επιχειρηματίας πρέπει να διασφαλίσει ότι μια ιδιωτική συσκευή που χρησιμοποιείται για επαγγελματικούς σκοπούς διαθέτει μια σειρά από χαρακτηριστικά ασφαλείας που θα εγγυώνται την προστασία των δεδομένων σε περίπτωση απώλειας ή κλοπής της συσκευής. Για παράδειγμα, μπορείτε να διαχωρίσετε προσωπικά και επιχειρηματικά δεδομένα και, στη συνέχεια, να προστατέψετε αυτά τα δεδομένα αποκλείοντας την πρόσβαση σε αυτά ενώ χρησιμοποιείτε δεδομένα που περιέχονται στο άλλο περιβάλλον. Είναι επίσης απαραίτητο να εισαχθούν κρυπτογράφηση και κατάλληλες κλειδαριές με τη μορφή κωδικών πρόσβασης, κλειδαριές PIN ή δακτυλικών αποτυπωμάτων.

Επιπλέον, σύμφωνα με το άρθρο. 32 GDPR, ο επιχειρηματίας πρέπει να λάβει μέτρα για την αποκατάσταση της διαθεσιμότητας των δεδομένων σε περίπτωση φυσικού ή τεχνικού συμβάντος. Αυτή η λύση εγγυάται τη χρήση, για παράδειγμα, του λεγόμενου σύννεφα. Ταυτόχρονα, αξίζει να δοθεί προσοχή στο εάν ο πάροχος υπηρεσιών cloud πληροί τις απαιτήσεις για την εγγύηση προστασίας προσωπικών δεδομένων. Επιπλέον, ένας υπάλληλος που χρησιμοποιεί μια ιδιωτική συσκευή για λόγους εργασίας δεν θα πρέπει να αποθηκεύει ευαίσθητα δεδομένα σε μια μη ασφαλή κάρτα μνήμης.

Ποια μέτρα πρέπει να ληφθούν σε περίπτωση απώλειας ή κλοπής ενός smartphone;

Η απώλεια ή η κλοπή ενός smartphone προκαλεί την ανάγκη για συγκεκριμένες ενέργειες - δηλαδή, ένα τέτοιο περιστατικό θα πρέπει να αναφέρεται στην εποπτική αρχή και στη συνέχεια να ενημερωθούν άλλα άτομα.

Αναφορά περιστατικών

Καταρχάς, θα πρέπει να σημειωθεί ότι σύμφωνα με τους ισχύοντες κανονισμούς, σε κάθε περίπτωση που έχει σημειωθεί παραβίαση του απορρήτου, της ακεραιότητας ή της διαθεσιμότητας προσωπικών δεδομένων, είναι απαραίτητο να καταγράφεται τέτοιο περιστατικό στο μητρώο παραβιάσεων και να αξιολογήσει εάν η απώλεια δεδομένων μπορεί να οδηγήσει σε παραβίαση δικαιωμάτων και ελευθεριών.το υποκείμενο των δεδομένων. Εάν, ως αποτέλεσμα μιας τέτοιας ανάλυσης, καταλήξουμε στο συμπέρασμα ότι υπάρχει τέτοιος κίνδυνος, η εποπτική αρχή, δηλαδή ο Πρόεδρος του Γραφείου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, θα πρέπει να ενημερωθεί για την παραβίαση. Οι αναφορές πρέπει να γίνονται εντός 72 ωρών από την ανακάλυψη της παραβίασης.

Ενημέρωση των υποκειμένων των δεδομένων

Το δεύτερο βήμα που πρέπει να κάνει ένας επιχειρηματίας είναι να εξετάσει την ανάγκη ενημέρωσης των υποκειμένων των δεδομένων σχετικά με τη δυνατότητα απόκτησης δεδομένων από μη εξουσιοδοτημένη οντότητα. Κατά την αξιολόγηση του κινδύνου αποκάλυψης προσωπικών δεδομένων, ο επιχειρηματίας θα πρέπει να καθοδηγείται ιδίως από τις διατάξεις που ορίζονται στο άρθρο. 34 GDPR. Το υποκείμενο των δεδομένων, δηλαδή το υποκείμενο των δεδομένων, θα πρέπει να ενημερώνεται για την παραβίαση και τις αναμενόμενες επιπτώσεις της, εάν υπάρχει υψηλός κίνδυνος παραβίασης των δικαιωμάτων και ελευθεριών αυτού του ατόμου.

Ωστόσο, σύμφωνα με το άρθ. 34 δευτ. Σύμφωνα με τον ΓΚΠΔ, ο επιχειρηματίας δεν είναι υποχρεωμένος να ενημερώσει το υποκείμενο των δεδομένων για την πιθανή αποκάλυψή τους σε περίπτωση που:

  • έχουν εφαρμοστεί κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας και αυτά τα μέτρα έχουν εφαρμοστεί στα προσωπικά δεδομένα που αφορούν η παραβίαση. Συγκεκριμένα, σε αυτήν την περίπτωση, μπορούμε να μιλήσουμε για κρυπτογράφηση που εμποδίζει την ανάγνωση δεδομένων από μη εξουσιοδοτημένα άτομα.

  • έχουν ληφθεί μέτρα για την εξάλειψη της πιθανότητας μεγάλης παραβίασης των δικαιωμάτων ή ελευθεριών του υποκειμένου των δεδομένων·

  • Οι ενέργειες που αναλαμβάνει ο έμπορος θα απαιτούσαν δυσανάλογη προσπάθεια. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας εκδίδει δημόσια ανακοίνωση για την κατάσταση, ενημερώνοντας τα υποκείμενα των δεδομένων.

Θα πρέπει να σημειωθεί εδώ ότι ο υπεύθυνος επεξεργασίας δεδομένων θα πρέπει να συλλέγει αποδεικτικά στοιχεία που να δείχνουν πώς να αξιολογεί τον κίνδυνο παραβίασης των δικαιωμάτων και ελευθεριών των φυσικών προσώπων σε σχέση με την παραβίαση της διαθεσιμότητας, της ακεραιότητας ή του απορρήτου των προσωπικών δεδομένων, προκειμένου να αποδείξει τις ενέργειες που έγιναν . Δεν μπορεί να αποκλειστεί ότι η αξιολόγηση της εποπτικής αρχής κατά την επιθεώρηση θα είναι διαφορετική, γεγονός που μπορεί να οδηγήσει στην επιβολή διοικητικού προστίμου στον υπεύθυνο επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Ξεκινήστε μια δωρεάν δοκιμαστική περίοδο 30 ημερών χωρίς δεσμεύσεις!

Ευθύνη του επιχειρηματία για διαρροή δεδομένων

Όταν εξετάζεται το ζήτημα της ευθύνης για διαρροή δεδομένων σε ιδιωτική συσκευή που χρησιμοποιείται για επαγγελματικούς σκοπούς, θα πρέπει να διακρίνονται δύο τύποι. Στην πρώτη περίπτωση, μπορούμε να μιλήσουμε για την ευθύνη του επιχειρηματία έναντι της εποπτικής αρχής, η οποία συνδέεται ιδίως με τη δυνατότητα επιβολής χρηματικής ποινής έως 20 εκατ. ευρώ από την αρχή.

Ο επιχειρηματίας πρέπει επίσης να λάβει υπόψη την αστική ευθύνη που σχετίζεται με πιθανές αξιώσεις αποζημίωσης που υποβάλλονται από πρόσωπα των οποίων τα δεδομένα έχουν αποκαλυφθεί. Κάθε φορά, ο διαχειριστής, όχι ο υπάλληλος που χρησιμοποίησε τη συσκευή, είναι υπεύθυνος για την κλοπή ή την απώλεια μιας συσκευής που περιέχει προσωπικά δεδομένα πελάτη.

Ευθύνη εργαζομένων για διαρροή δεδομένων

Σε περίπτωση διαρροής επιχειρηματικών δεδομένων που είναι αποθηκευμένα σε ιδιωτική συσκευή, ο εργοδότης μπορεί να θεωρήσει υπεύθυνο τον εργαζόμενο του οποίου η συσκευή έκλεψε ή χάθηκε. Ωστόσο, αυτού του είδους η ευθύνη δεν προκύπτει από τις διατάξεις του GDPR, αλλά από τις ρυθμίσεις που περιέχονται στον Εργατικό Κώδικα.Συνεπεία των ανωτέρω, στην περίπτωση αυτή ο εργοδότης μπορεί να απαιτήσει αποζημίωση από τον εργαζόμενο μέχρι του ποσού ίσου με τις αποδοχές τριών μηνών που οφείλονται στον εργαζόμενο την ημέρα πρόκλησης της ζημίας.

Ωστόσο, η κατάσταση στην οποία ένας υπάλληλος προκάλεσε μια συγκεκριμένη ζημία εκ προθέσεως είναι κάπως διαφορετική. Σε τέτοιες περιπτώσεις, ο περιορισμός της ευθύνης του εργαζομένου στο τριπλάσιο του ποσού των αποδοχών δεν ισχύει πλέον - ο εργαζόμενος είναι επομένως υπεύθυνος για τη ζημία μέχρι το πλήρες ποσό της αποζημίωσης. Επισημαίνεται ότι σε περίπτωση ζημίας τρίτου την κύρια ευθύνη φέρει ο επιχειρηματίας (ως διαχειριστής προσωπικών δεδομένων) και μόνο τότε δικαιούται να ζητήσει αποζημίωση για τη ζημία που προκάλεσε ο εργαζόμενος.

Περίληψη

Σε περίπτωση που ο εργοδότης συναινεί στη χρήση ιδιωτικών συσκευών από υπαλλήλους κατά την εκτέλεση των επίσημων καθηκόντων του, πρέπει να διασφαλίζει την κατάλληλη ασφάλειά τους, ώστε τα δεδομένα που είναι αποθηκευμένα σε αυτές τις συσκευές, συμπεριλαμβανομένων των προσωπικών δεδομένων, να μην κινδυνεύουν. Δεν υπάρχει αμφιβολία ότι η βασική προστασία σε αυτή την περίπτωση θα είναι η εισαγωγή της κρυπτογράφησης, δηλαδή η προστασία δεδομένων με κωδικό πρόσβασης που δεν μπορεί να αποθηκευτεί στη μνήμη του τηλεφώνου ή του υπολογιστή. Τυχόν επαφές, έγγραφα ή μηνύματα θα πρέπει επίσης να φυλάσσονται σε ασφαλές περιβάλλον χωριστά από τα προσωπικά δεδομένα του χρήστη της συσκευής. Μια επιπλέον επιλογή διασφάλισης εταιρικών δεδομένων είναι η διασφάλιση της δυνατότητας απομακρυσμένης διαγραφής τους. Συνιστάται επίσης η εισαγωγή και εφαρμογή κανονισμών που καθορίζουν τις αρχές χρήσης ιδιωτικών μέσων και συσκευών για επαγγελματικούς σκοπούς.