Michał Sztąberek iSecure Sp. z o.o. Aplikacje i urządzenia mobilne w świetle przepisów ustawy o ochronie danych osobowych Michał Sztąberek iSecure Sp. z o.o.
Smartfony a prawo Szukamy przepisów… Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) Rozporządzenie z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
Smartfony a prawo Szukamy przepisów… Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (UŚUDE) Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne
Terminologia Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Ciekawostka: adres e-mail, adres IP, nick, login. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działa
Terminologia Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych Ustalanie lokalizacji…?
Najczęstsze problemy z aplikacjami mobilnymi Brak zgody na zbieranie danych Informacja zwrotna dla użytkownika Jakie dane osobowe są o mnie przetwarzane?
Najczęstsze problemy z aplikacjami mobilnymi Czy samo posiadanie smartfona oznacza zgodę na gromadzenie danych? Zdaniem GIODO zgoda na aktywowanie usług geolokalizacyjnych powinna być poprzedzona świadomą zgodą użytkownika Domyślne ustawienia urządzeń i aplikacji mobilnych powinny być nastawione na ochronę prywatności użytkowników
Najczęstsze problemy z aplikacjami mobilnymi Na jakich zasadach usługodawcy mają prawo gromadzić dane? Zdaniem GIODO powinna to być dobrowolna zgoda Nie powinna to być zgoda domniemana np. poprzez sam fakt zainstalowania danej aplikacji Możliwość cofnięcia zgody
Obowiązki po stronie firmy Informacja zwrotna dla użytkownika: nazwa administratora danych cel przetwarzania danych typ zbieranych danych prawo dostępu do danych osobowych i możliwość ich poprawiania informacja przekazywana w sposób zrozumiały ikonka informująca o aktywowanej geolokalizacji (zalecane)
Naruszamy przepisy i… Art. 49 ust. 1 UODO: Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 52 UODO: Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Smartfon w firmie Smartfon - przenośne urządzenie telefoniczne integrujące w sobie funkcje telefonu komórkowego i komputera kieszonkowego (Wikipedia) System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych (UODO) Zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem w systemie informatycznym (UODO)
Smartfon w firmie – co to dla mnie oznacza? Polityka bezpieczeństwa danych osobowych: Obszary przetwarzania danych osobowych Wykaz programów służących do przetwarzania danych osobowych Sposób przepływu danych między poszczególnymi systemami informatycznymi Środki techniczne i organizacyjne stosowane w celu ochrony danych osobowych Wniosek: konieczna aktualizacja…
Smartfon w firmie – co to dla mnie oznacza? Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych: Procedura tworzenia kopii zapasowych Sposób, miejsce i okres przechowywania kopii zapasowych Sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania Procedury wykonywania przeglądów i konserwacji systemów i nośników informacji służących do przetwarzania danych osobowych Wniosek: konieczna aktualizacja…
Naruszamy przepisy i… Art. 51. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Co warto zrobić? Aktualizacja dokumentacji ochrony danych osobowych Dodatkowe procedury szczegółowo opisujące zasady korzystania ze smartfonów np. kwestie związane z instalowaniem aplikacji, kopie zapasowe Szkolenia dla użytkowników Instalacja pakietu zabezpieczającego znanego producenta na firmowych smartfonach Rozważyć zakup smartfona z Windows Phone (wersja 7.5) Szyfrowanie danych
Na co uważać używając firmowego smartfona? Raczej nie powinniśmy instalować: horoskopów darmowych podróbek znanych gier zestawów tapet z Robertem Pattinsonem Malware - wszelkiego rodzaju oprogramowania, które wykonuje w systemie niepożądane operacje
mail: michal.sztaberek@isecure.pl Dziękuję za uwagę Michał Sztąberek iSecure Sp. z o.o. tel. (+48) 607 271 915 mail: michal.sztaberek@isecure.pl www.isecure.pl