RODO i prywatny smartfon w firmie
Prywatny sprzęt używany w celach zawodowych
Z pojęciem bring your own device świat po raz pierwszy zetknął się dokładnie piętnaście lat temu, za sprawą amerykańskiego operatora telekomunikacyjnego BroadVoice. W rzeczywistości model ten w mniejszym lub większym stopniu wykorzystywany był znacznie wcześniej.
Najbardziej popularnym zjawiskiem, zarówno w prywatnym biznesie jak i administracji publicznej, było rozliczanie podróży służbowych pracowników wykonywanych z użyciem prywatnych środków transportu. O prawdziwym przełomie można jednak mówić dopiero z chwila upowszechnienia się przenośnych urządzeń IT, poczynając od laptopów poprzez standardowe telefony komórkowe a kończąc na smartfonach i tabletach.
W roku 2009 model BYOD wdrożony został u jednego z największych gigantów sektora teleinformatycznego – firmie Intel. Malcolm Harkins, przez wiele lat odpowiedzialny za obszar bezpieczeństwa teleinformatycznego w Intelu, szacował, że w roku 2014 nawet 70% zatrudnionych w tej korporacji w mniejszym lub większym stopniu mogło używać prywatnego sprzętu w celach zawodowych.
Sfera prywatna i zawodowa w jednym smartfonie
Korzyści płynące z BYOD to nie tylko znacząca redukcja kosztów. Dysponowanie przez pracownika wyłącznie jednym urządzeniem mobilnym zmniejsza ryzyko jego zagubienia, sam zaś zatrudniony czuje się bardziej komfortowo posługując się własnym smartfonem czy tabletem.
Według analiz prowadzonych przez ekspertów Samsunga, scalenie aktywności prywatnej i zawodowej pozwala zredukować czas poświęcany na pracę nawet o godzinę dziennie, rzecz jasna bez żadnego uszczerbku dla efektywności wykonywanych zadań.
Należy pamiętać o tym, że – pomimo istotnej unifikacji oprogramowania we współczesnym sprzęcie mobilnym – poszczególne wersje systemów operacyjnych potrafią istotnie różnić się pomiędzy sobą, co nie sprzyja sprawnej pracy równolegle na dwóch urządzeniach.
Należy jednak pamiętać, że nieprzemyślane wdrożenie schematu BYOD oznaczać może kolizję pomiędzy sferą zawodową i prywatną, przenikającymi się wszak w jednym smartfonie. – W takich przypadkach należy zachować równowagę pomiędzy ochroną praw i wolności pracownika, wynikającą z ogólnego rozporządzenia o ochronie danych, a bezpieczeństwem informacji pracodawcy (ISO 27000) i dostępnością usług bankowych (Krajowy System Cyberbezpieczeństwa) – przestrzega Krzysztof D. Kowalski, inspektor ochrony danych oraz ekspert w tej dziedzinie.
Podkreśla on również, że ochrony danych osób zatrudnionych korzystających ze swych urządzeń w modelu BYOD nie należy przeciwstawiać interesom instytucji finansowej. – „Złotym standardem” stosowania BYOD może być paradygmat, że im bardziej wzrasta poziom prywatności pracownika, tym bardziej wzrasta poziom bezpieczeństwa informacji banku – ocenia Krzysztof D. Kowalski.
Należy bowiem pamiętać, iż postanowienia RODO nie wykluczają monitorowania pracowników, o ile jest ono prowadzone zgodnie z przepisami obowiązujących ustaw. – Zarządzając ryzykiem bezpieczeństwa informacji związanego z BYOD warto wykorzystać zapisy art. 22 (3) znowelizowanego Kodeksu Pracy dotyczące stosowania „innych form monitoringu”. Bank może w ten sposób ograniczać ryzyko, np.: bezprawnego uzyskania informacji, np.: ujawnienia lub wykorzystania informacji uzyskanej w związku z wykonywaną funkcją lub czynnościami służbowymi – wskazuje ekspert.
Potrzebny test równowagi
Przypomina on jednak, że monitoring taki nie może pod żadnym pozorem wkraczać w sferę prywatności osób zatrudnionych, a wykazanie zachowania tego warunku spoczywa na barkach pracodawcy.
– Do legalnego stosowania monitoringu BYOD należy przeprowadzić tzw. test równowagi – zauważył Krzysztof D. Kowalski. Dodaje on, iż tzw. lista kontrolna stosowania BYOD z punktu widzenia prywatności znajduje się w art. 5, 25 i 32 RODO. – Dla wyższej kadry kierowniczej można rozważyć stosowanie kilku urządzeń mobilnych, każde z nich do innego celu, stale monitorowane pod kątem bezpieczeństwa – twierdzi ekspert.