Situácia v súvislosti s pandémiou zmenila nielen naše rodinné životy, ale do veľkej miery aj pracovné návyky. V závislosti od možností prevádzkovateľa sa postupne dostala do popredia aj BYOD politika, teda práca pre zamestnávateľa na vlastnom mobilnom zariadení, či už je ním súkromný mobil, notebook, či tablet. Postupné zavádzanie tejto politiky používania vlastných zariadení zamestnancov na pracovné účely s povolením zamestnávateľa bolo najmä v začiatkoch pandémie, a pre mnohých zostalo doteraz, spôsobom ako šetriť firemné zdroje a nemusieť nakupovať pre zamestnancov služobné mobilné zariadenia. Na čo všetko treba z hľadiska spracúvania a ochrany osobných údajov myslieť?
Čo znamená skratka BYOD?
BYOD, pochádza z anglického slovného spojenia „bring your own device“, teda prines si vlastné zariadenie, alebo presnejšie, používaj vlastné zariadenie, ako zamestnanec, na výkon povolených pracovných činností, za zamestnávateľom schválených podmienok.
Skutočne BYOD potrebujem?
Čo je potrebné zaistiť a nastaviť predtým ako spustíte BYOD do ostrej prevádzky? Politika BYOD musí byť efektívna a kontrolovaná, aby prinášala zisk, a nebola stratou pre prevádzkovateľa. Je potrebné posúdiť, či Vaši zamestnanci skutočne potrebujú využívať pre prácu ich vlastné zariadenia, teda zvážiť, či nepostačuje, ak sa v práci posadia za stolový počítač alebo firemný notebook. Vaše služobné či firemné zariadenia máte určite z hľadiska bezpečnosti primerane chránené zodpovedajúcimi prostriedkami, ktorých kontrolu a inštaláciu riešite vlastnými zamestnancami, prípadne externým dodávateľom. Na rozdiel od toho, súkromné zariadenia zamestnancov sú ich vlastníctvom. Sú rôznych značiek, majú rôzne operačné systémy, zamestnanci v nich majú niekedy zdokumentovaný takmer celý život. Majú v nich stiahnuté rôzne aplikácie, niektoré nie sú úplne bezpečné. Mnohé mobily či tablety nepoužíva len Vaša Alenka z finančného, ale hrá na nich hry aj jej syn a jej dcéra na mobile fotí fotky.
Pred zavedením BYOD politiky vykonajte posúdenie bezpečnostných rizík
Predtým, ako sa rozhodnete pre BYOD vo vašej firme, je potrebné zvážiť bezpečnostné riziká, ktoré používanie súkromných mobilných zariadení môže vašej firme spôsobiť na jej na aktívach.
Zvážte potrebu zavedenia politiky BYOD a vykonajte posúdenie rizika ktoré zavedením politiky BYOD môže Vašej firme vzniknúť. Výsledky takéhoto posúdenia nech sú jedným z pilierov vášho následného rozhodovania, či BYOD skutočne zaviesť, alebo za akých okolností ste ochotní jeho implementáciu spustiť.
Ktoré zariadenia do BYOD politiky zahrniete?
Nemusíte všetky, je na Vás, ktoré zariadenia povolíte, aby ich zamestnanci používali na vykonávanie pracovných povinností. Vy ste tým, kto politiku BYOD povolí a kto určuje základné pravidlá. Je vhodné, ak sa v tejto oblasti poradíte aj s odborníkmi na kybernetickú bezpečnosť. Nech už sa rozhodnete napríklad pre povolenie mobilov alebo tabletov, či dokonca súkromných notebookov, majte na pamäti, že je potrebné, aby ste určili základné parametre takýchto zariadení. Vypracujte si „black list“ alebo „white list“ zariadení a prípadne aj značiek, ktoré pre politiku BYOD chcete použiť, a ktoré sú z neho absolútne vylúčené, najčastejšie ako bezpečnostné riziko. Je nevyhnutné nastaviť aj základné parametre zariadenia, ako napríklad stanoviť minimálnu verziu operačného systému. Parametre je potrebné nastaviť tak, aby súkromné zariadenia zamestnancov vôbec zvládli inštaláciu a fungovanie vášho firemného MDM – mobile device manažmentu, ktorý vo vami určenom rozsahu umožní na tomto ich zariadení vykonávať pracovné činnosti.
Kto potrebuje vo Vašej firme BYOD?
BYOD je vhodné zavádzať aj s ohľadom na skutočnú potrebu vašich konkrétnych zamestnancov, nakoľko nie každý z nich nutne potrebuje pracovať na vlastnom zariadení a postačuje, alebo nie je technicky možné, aby vykonával svoju prácu (s ohľadom na jej povahu) na svojom súkromnom zariadení. Pre určité skupiny zamestnancov nemusí byť odsúhlasenie používania súkromného zariadenia potrebné.
Je potrebné si stanoviť pracovné pozície, kde BYOD a jeho využívanie má svoje opodstatnenie, a zároveň vymedziť tie, kde jeho používanie nie je vhodné odsúhlasiť. Čím viac povolených prístupov cez súkromné mobilné zariadenia, tým viac je aj možných vstupných bodov, ktoré môžu spôsobiť narušenie vašej firemnej bezpečnosti.
Aký právny základ z pohľadu GDPR je vhodný na spracúvanie osobných údajov a údajov o súkromnom zariadení zamestnanca?
Najčastejšie ako právny základ pre spracúvanie nevyhnutných osobných údajov a údajov o zariadení zamestnanca býva ustanovený súhlas tohto zamestnanca poskytnutý zamestnávateľovi - prevádzkovateľovi. Nezabúdajte, že súhlas je dobrovoľný akt, teda ak zamestnanec nechce používať súkromné mobilné zariadenie, teda nechce udeliť ani súhlas na tento účel so spracúvaním jeho osobných údajov, nemôžete ho k tomu nútiť. V prípade, ak ide o zamestnanca od ktorého vyžadujete dostupnosť, no nechce pristúpiť na BYOD politiku, jedinou cestou k jeho flexibilnej práci je, že mu pridelíte pracovné zariadenie. Nútiť zamestnanca do súhlasu a do BYOD politiky nie je vhodné ani právne korektné. Je potrebné uvedomiť si, že tak ako súhlas udelil, môže ho aj odvolať. Nezabúdajte ani na to, že v súvislosti s politikou BYOD si môže Váš zamestnanec uplatniť právo dotknutej osoby podľa GDPR.
Nastavte si konkrétne podmienky a formulujte súhlas so spracúvaním osobných údajov zamestnanca a tiež spracujte a poskytnite mu informačnú povinnosť podľa čl. 13 GDPR. Buďte pripravený na výkon práv dotknutej osoby.
Politika BYOD by mala mať vopred stanovené pravidlá
Určite by mala. Vy ste prevádzkovateľom. Musíte chrániť predovšetkým aktíva, ku ktorým sa zamestnanec potenciálne „dostane“ cez vašu pracovnú aplikáciu inštalovanú v jeho zariadení. Je potrebné striktne vymedziť pravidlá používania, čo je dovolené, čo je zakázané, ktoré možnosti zostanú na voľbe používateľa a aké všetky skutočnosti musí zamestnanec, ak nastanú, hlásiť poverenej osobe.
Vytvorte a nastavte si Pravidlá používania politiky BYOD vo vašom pracovnom prostredí.
BYOD je vhodným doplnkom pre zamestnancov, aby mohli pracovať z domova, možno na služobnej ceste a pritom nemuseli zo sebou mať zamestnávateľom pridelené služobné zariadenie. Je však potrebné pred jeho zavedením nastaviť základné parametre, či už zariadení alebo procesov, aby sa napokon nestal vašou bezpečnostnou nočnou morou.
Chcete ohľadom BYOD v kontexte spracúvania osobných údajov a bezpečnosti vedieť viac a pomôcť s jeho zavádzaním? Nemáte na podrobnosti dostatok času? Kontaktujte nás na info@isecure.sk