Ochrona służbowego sprzętu
Nie ma najmniejszych wątpliwości – za zapewnienie odpowiedniego sprzętu do wykonywania obowiązków księgowych w Twoim biurze rachunkowym odpowiedzialny jesteś Ty – jako pracodawca. Nie jest niczym niezwykłym, że nowy pracownik już pierwszego dnia otrzymuje służbowy laptop i telefon komórkowy. Takie rozwiązanie jednak niesie za sobą wiele niebezpieczeństw. I nie chodzi tu o to, że poniesiesz dodatkowe koszty, gdy księgowy zaleje kawą nowy laptop. Chodzi bardziej o to, że nierzadko zatrudnieni nieodpowiednio używają sprzętów firmowych, przez co narażają biuro na wyciek danych wrażliwych, co z kolei może skutkować nałożeniem wysokich kar administracyjnych. Ochrona służbowego sprzętu powinna być zatem priorytetem dla każdej osoby, która takowy otrzymała od pracodawcy.
RODO jest aktem, który „nie bierze jeńców”. Przedmiot ochrony jest naprawdę szeroki, a podmiotem odpowiedzialnym w myśl jego przepisów może być niemal każdy. Ochroną danych osobowych klientów i kontrahentów biura rachunkowego przejmować muszą się nie tylko administratorzy danych czy podmioty przetwarzające. Tak naprawdę odpowiedzialni są wszyscy ci, którzy mają cokolwiek wspólnego z informacjami określającymi osoby fizyczne. Powinni o tym pamiętać pracownicy, którzy otrzymali firmowy sprzęt – niemal każdy numer telefonu, adres email, wizytówka, umowa czy plik excela znajduje się pod szczególną ochroną RODO. Jeżeli zatem prowadzisz biuro, ochrona służbowego sprzętu powinna być dla Ciebie priorytetem. Koniec końców to na Tobie spoczywa największa odpowiedzialność – to pracodawca odpowiada za działania swoich pracowników.
Znamienny jest przy tym fakt, że pracodawcy uważają, że jeżeli pracownicy nie zabierają komputerów służbowych do domu, to dane osobowe są całkowicie bezpieczne przed ich wyciekiem. Błąd! Jeżeli pracownicy korzystają ze smartfonów, w których są w stanie odczytać służbową pocztę, to znaczy, że wraz z telefonami wynoszą oni poza obszar firmy dane osobowe współpracowników, klientów i kontrahentów, które są szczególnie chronione przez prawodawcę unijnego, a które w łatwy sposób mogą ulec utraceniu.
Ochrona służbowego sprzętu – czy każde urządzenie podlega pod RODO?
Nie możemy generalizować, nie każdy wydany pracownikowi sprzęt będzie automatycznie podlegał pod przepisy RODO. Będzie to jednak przeważająca większość przypadków. Wystarczy bowiem, aby telefon lub laptop na swoim dysku posiadał jakiekolwiek informacje mogące identyfikować jakąkolwiek osobę fizyczną. Zatem jeśli na telefonie znajdują się dane osobowe osób trzecich (osób fizycznych), takie urządzenie musi zostać zabezpieczone zgodnie z przepisami rozporządzenia.
Nie potrzeba wiele, aby dana informacja została uznana za daną osobową. Z danymi, które zgodnie z RODO podlegają szczególnej ochronie, księgowi stykają się w naprawdę wielu sytuacjach, np. podczas rozliczania deklaracji podatkowych, zapisywania kontaktów w telefonie, pisania e-maili, smsów czy publikując posty na portalach społecznościowych. Nie inaczej będzie przy przetwarzaniu umów czy oświadczeń, których stroną jest klient będący osobą fizyczną (również osobą prowadzącą jednoosobową działalność gospodarczą). Czym dokładnie są dane osobowe pisaliśmy już w artykule „RODO – co jest, a co nie jest danymi osobowymi?” – z niego dowiesz się wszystkiego na temat informacji będących pod szczególną ochroną RODO.
Sprzęt służbowy używany do celów prywatnych
Dosyć popularne, zwłaszcza w mniejszych biurach rachunkowych, jest używanie sprzętu służbowego również do celów prywatnych. Nie zdziwi pewnie nikogo, że najczęściej telefony i laptopy trafiają do pracowników zaraz po ich zakupie. Nie przechodzą wcześniej przez ręce informatyka, który zadbałby o właściwą ochronę sprzętu. Takie działanie jest szczególne niebezpieczne. Nie należy dopuszczać, aby dane prywatne mieszane były z danymi pozyskanymi w czasie wykonywania obowiązków służbowych.
Nie jest nigdzie w RODO napisane jakie czynności techniczne należy podjąć, przed przekazaniem księgowemu urządzenia służącego do pracy. Nie jest zatem zakazane użytkowanie takiego sprzętu również do celów prywatnych. Jest to jednak bardzo niewskazane z punktu widzenia ochrony danych osobowych. Po pierwsze, telefon czy laptop, który może być używany prywatnie zazwyczaj nie posiada jakichkolwiek blokad niepozwalających na instalacje obcych aplikacji. Nie trzeba przy tym wiele, aby dane przetrzymywane na danym urządzeniu trafiły w niepożądane ręce. Głośno było o aferach z przechwytywaniem danych dokonywanym przez aplikacje takie jak TikTok (Chiny) czy Telegram (Rosja). Są to bardzo popularne aplikacje i używanie ich na prywatnym sprzęcie jest względnie bezpieczne, w końcu przeciętny użytkownik smartfona nie trzyma na telefonie niczego, co mogłoby przydać się obcym państwom. Inaczej jest jednak, gdy na owym sprzęcie zainstalowana jest skrzynka mailowa obsługująca służbową korespondencje. Niektóre informacje w niepowołanych rękach mogą być naprawdę groźną bronią (patrz afera związana ze skrzynką Dworczyka).
Po drugie, mieszając dane służbowe z prywatnymi niekiedy nie trzeba podmiotu trzeciego, aby doszło do wycieku danych osobowych. Omyłkowe załączenie do prywatnej korespondencji zdjęcia dokumentacji rachunkowej klienta, zamiast zdjęcia kota czy też pozostawianie niezablokowanego laptopa w miejscu publicznym (np. uczelni czy kawiarni) z plikami służbowymi na pulpicie. Wszystko to w łatwy sposób będzie prowadziło do niedozwolonego upublicznienia danych osobowych.
Procedury pomocne przy ochronie danych osobowych
Przepisy rozporządzenia wskazują jedynie, że w przypadku używania urządzeń elektronicznych przy przetwarzaniu danych osobowych, biuro rachunkowe ma obowiązek zastosować odpowiednie techniczne i organizacyjne środki zabezpieczeń takich danych. Jak mają natomiast wyglądać owe „odpowiednie” zabezpieczenia musi ustalić samodzielnie administrator danych – czyli Ty.
Wszystko zależy od określonych okoliczności w jakich użytkowany jest sprzęt firmowy. Ostatecznie chodzi o to, aby nikt niepowołany nie miał możliwości odczytania danych z urządzenia i zidentyfikowania osób, których one dotyczą. Sprzęt musi być zabezpieczony w taki sposób, by m.in. przy kradzieży czy zagubieniu telefonu, czy laptopa służbowego niemożliwym było odczytanie danych, jakie zostały na nich zapisane.
W pierwszej kolejności powinieneś zatem zadbać o stworzenie odpowiedniej dokumentacji regulującej politykę prywatności Twojego biura rachunkowego oraz właściwie ją wdrożyć. Najlepszym sposobem będzie utworzenie regulaminu, w jakim wskażesz sposób korzystania z wszelkich urządzeń służbowych. Następnym krokiem będzie natomiast zadbanie, aby każdy z księgowych oraz pozostałych pracowników zapoznał się z ową dokumentacją. Możesz tego dokonać np. przy pomocy specjalnego szkolenia z RODO.
Regulamin w szczególności powinien nakazywać, aby realizacja obowiązków służbowych związanych z koniecznością przetwarzania danych osobowych była dokonywana wyłącznie przy pomocy służbowego laptopa i telefonu, a także zakazywać wykorzystywania sprzętu firmowego do celów prywatnych, w tym instalowania niezwiązanych z pracą aplikacji i programów oraz udostępniania urządzeń osobom trzecim czy pozostawiania ich bez nadzoru pracownika.
Ochrona służbowego sprzętu – jak prawidłowo go zabezpieczyć?
Przede wszystkim zabezpiecz wszystkie wydawane pracownikom urządzenia silnym hasłem. Silne hasło to takie, które wymaga dużych i małych liter, cyfr oraz znaków specjalnych. Nie wymagaj natomiast zbyt częstej zmiany haseł. Wprowadzi to tylko niepotrzebne zamieszane, konieczność częstego odzyskiwania zapomnianych haseł oraz wysokie prawdopodobieństwo zapisywania przez pracowników haseł na papierowych karteczkach, które będą umieszczane na sprzęcie lub w jego pobliżu. Możesz zastanowić się również nad urządzeniami, które są zabezpieczane odciskiem palca, biometrią twarzy lub pinem.
Warto wprowadzić do telefonów i laptopów opcje blokowania urządzenia przy nieudanych próbach logowania. Wygląda to w ten sposób, że np. po 5 nieudanych próbach wprowadzenia hasła urządzenie zostaje zablokowane i wyłącznie administrator może je odblokować. Niektóre urządzenia pozwalają również na włączanie opcji przywracania ustawień fabrycznych po określonych, nieudanych próbach logowania.
Włącz szyfrowanie dysków laptopów i pamięci telefonów. Pamiętaj, że szyfrowanie zostaje włączone dopiero po wyłączeniu urządzenia. Jego usypianie nic nie pomoże, gdyż w takim stanie klucze szyfrujące pozostają nadal w pamięci urządzenia.
Powinieneś również korzystać wyłącznie z urządzeń, które pozwalają je namierzyć. W przypadku zgubienia lub kradzieży będziesz miał możliwość szybkiego zlokalizowania sprzętu, co pozwoli Ci na natychmiastową reakcję i uniemożliwienie wycieku danych osobowych twoich klientów.
Zainstaluj także na urządzeniach służbowych odpowiednie oprogramowanie antywirusowe. Z całą pewnością zmniejszy ono ryzyko zainfekowania urządzenia złośliwym oprogramowaniem.
Co grozi za utracenie danych?
Utrata danych osobowych to poważna sprawa. Przy wysokim kalibrze wyrządzonej tym szkody, kara finansowa może być naprawdę dolegliwa. Dodatkowo, ciąży na Tobie obowiązek poinformowania wszystkich osób (również klientów), których dane wyciekły o tym fakcie. Taka okoliczność z całą pewnością zmniejszy ich zaufanie do Twojego biura rachunkowego. Nawet jeżeli nie otrzymasz kary pieniężnej, to na pewno zaboli Cię odpływ klientów oraz niepochlebne opinie na temat Twojego biura rachunkowego np. na Google.
Pamiętaj przy tym, że przy utracie danych osobowych przez księgowe zatrudnionego u Ciebie to nie on poniesie odpowiedzialność, a administrator danych, którym w praktyce zazwyczaj jest właściciel biura. Oznacza to, że powierzenie przetwarzania danych osobowych pracownikowi w ogóle nie zwalnia Cię z odpowiedzialności.
W razie naruszenia przepisów rozporządzenia, m.in. przy niezgłoszeniu wycieku danych albo przy zbyt późnym zgłoszeniu, możesz otrzymać karę finansową w wysokości do 10 milionów euro lub do 2% wartości całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego. W przypadku większych i groźniejszych przewinień PUODO (Prezes Urzędu Ochrony Danych Osobowych) ma prawo nałożyć karę nawet do 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa.
Wyżej wskazane kary mają charakter kar maksymalnych, do tej pory nikt na świecie jeszcze takich nie otrzymał, jednak nawet niższe sankcje (np. liczone w tysiącach) również mogą zaboleć. Zamiast liczyć na dobrą wolę UODO, lepiej zadbaj, aby nigdy nie doszło do utraty danych osobowych.