MacBook, iPhone i inny sprzęt Apple w firmie? Uważaj na RODO

Korzystasz z MacBooka, iPhone’a lub innego sprzętu Apple w swojej firmie, a jednocześnie przywiązujesz wagę do zgodności z RODO? Wyłącz synchronizację danych firmowych z chmurą iCloud. W przeciwnym wypadku będziesz naruszał przepisy o ochronie danych osobowych. Chcesz wiedzieć więcej? Czytaj dalej.

Spis treści

Wersja audio – podcast

Oprócz artykułu, mam dzisiaj dla ciebie również 22 odcinek podcastu. Znajdziesz tam coś innego niż tylko samą zawartość tego artykułu, ponieważ oddzielnie piszę i oddzielnie nagrywam.

Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.

Wszystkie pozostałe odcinki podcastu „Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

Synchronizacja z iCloud

Naturalnym rozwiązaniem dla posiadaczy sprzętu Apple wydaje się iCloud. Z chmurą Apple możesz synchronizować m.in. maile, kontakty, kalendarze, przypomnienia, wiadomości czy też po prostu określone foldery na twoim dysku. W iCloud przechowywany może być również backup twojego urządzenia.

Chmura a RODO
Rozwiązania chmurowe dają spory komfort pracy, ale idzie z tym w parze również bezpieczeństwo?

Jeżeli jesteś już chociaż trochę zaznajomiony z tematyką ochrony danych osobowych (jeżeli nie, zapraszam tutaj: RODO – czy naprawdę trzeba się bać?), to na pewno zdajesz sobie sprawę, że we wszystkich wskazanych powyżej obszarach podlegających synchronizacji mogą znajdować się dane osobowe, takie jak:

  • imiona i nazwiska,
  • adresy e-mail,
  • numery telefonów,
  • adresy zamieszkania / siedziby,
  • wszelkie inne dane zawarte w plikach.

Jeżeli zatem masz włączoną synchronizację z iCloud, oznacza to, że dane osobowe przechowywane lokalnie na twoim urządzeniu trafiają również na serwery, w oparciu o które funkcjonuje iCloud.

Jako radca prawny zajmujący się ochroną danych osobowych, w opisanej powyżej sytuacji widzę następujące role:

  • ty jesteś administratorem danych osobowych, które przechowujesz lokalnie na swoim sprzęcie,
  • Apple jest podmiotem przetwarzającym (procesorem), który przechowuje dane na serwerach.

O szeregu twoich obowiązków jako administratora danych osobowych nie będę dzisiaj opowiadał, ponieważ zrobiłem to już wyczerpująco w jednym z poprzednich artykułów: RODO – czy naprawdę trzeba się bać? Skupmy się dzisiaj wyłącznie na jednym z wymogów nakładanych na administratorów danych osobowych, czyli na odpowiednim dobrze podmiotów przetwarzających.

Dobór podmiotów przetwarzających

RODO nie przewiduje zakazu korzystania z pomocy podmiotów trzecich przy przetwarzaniu danych osobowych. To ważna informacja dla ciebie, ponieważ gdy posługujesz się iCloud, to właśnie z takiej pomocy korzystasz.

Apple, jako dostawca usługi chmurowej, pomaga ci przechowywać gromadzone przez ciebie dane osobowe na zewnętrznych serwerach. To wygodne, bo możesz do nich łatwo uzyskać dostęp z innych urządzeń, udostępniać pliki między użytkownikami czy po prostu traktować je jako kopie zapasową.

Wiesz już zatem, że Apple jest podmiotem przetwarzającym (procesorem). Wiesz również, że RODO daje możliwość korzystania z usług procesorów. Jednak jak na pewno się domyślasz, nie jest tak, że możesz korzystać z usług dowolnego podmiotu. Procesor musi spełniać odpowiednie warunki.

Prakreacja.pl
Art. 28 ust. 1 RODO

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Za dobór procesora to ty ponosisz odpowiedzialność. Również ty jesteś odpowiedzialny, gdy dojdzie do incydentu naruszenia ochrony danych po stronie procesora. W twoim zatem interesie jest korzystać z usług tych podmiotów, które zapewniają zgodność przetwarzania z RODO.

Apple jako procesor? To nie jest dobry pomysł

Apple nie jest podmiotem, który zapewni ci zgodność z RODO. Jak to możliwe? Już tłumaczę.

Apple nie daje ci możliwości zawarcia umowy powierzenia przetwarzania danych osobowych. Dlaczego? Dlatego, że usługa iCloud w ogóle nie jest kierowana do przedsiębiorców, a wyłącznie do osób prywatnych. Serio? Tak. Potwierdzenie znajdziesz w regulaminie usługi.

Prakreacja.pl
Sekcja IV-A regulaminu iCloud

Użytkownik dodatkowo przyjmuje do wiadomości i akceptuje, że Usługa została zaprojektowana i jest przeznaczona do użytku prywatnego przez jedną osobę, i że nie powinien ujawniać innym osobom informacji o Koncie i/lub hasła.

Krótko mówiąc, Apple podjął świadomą decyzję, że usługa iCloud dedykowana jest wyłącznie osobom prywatnym.

Możemy się tylko domyślać, skąd taka decyzja. Ja zakładam, że Apple po prostu nie chciało brać na siebie dodatkowych obowiązków i odpowiedzialności związanej z rolą podmiotu przetwarzającego (procesora).

Dla ciebie przekaz jest prosty. Brak umowy powierzenia = brak możliwości korzystania z iCloud w zgodzie z RODO. Dlaczego? Dlatego, że konieczność zawarcia stosownej treści umowy jest jednym z obowiązków administratora danych nakładanych na niego przez RODO.

Prakreacja.pl
Art. 28 ust. 3 RODO

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Ale przecież iCloud jest w pełni bezpieczny!

Nawet jeżeli dojdziesz do wniosku, że chmura Apple jest bezpieczna od strony technicznej, to nie zmienia faktu, że przy korzystaniu z niej nie jesteś w stanie dopełnić formalności wymaganych przez RODO.

Cyberbezpieczeństwo
Bezpieczeństwo ważna rzecz, ale są jeszcze formalności.

Krótko mówiąc, iCloud może być najbezpieczniejszym rozwiązaniem, ale dla przedsiębiorcy, który chce działać zgodnie z RODO nic to nie daje z uwagi na przeznaczenie usługi dla osób prywatnych i brak możliwości zawarcia umowy powierzenia przetwarzania danych.

Zdaję sobie sprawę, że jest to sytuacja, którą możesz uznać za „chorą”, ale jako prawnik mam obowiązek poinformować cię o wymaganiach prawnych, a nie wyłącznie technicznych. W tym przypadku to właśnie kwestie formalne przemawiają za niedopuszczalnością korzystania z iCloud do przechowywania danych osobowych związanych z prowadzoną działalnością gospodarczą.

Co robić, jak żyć?

Na szczęście, funkcjonują na rynku alternatywy dla iCloud, z których możesz korzystać, zachowując zgodność z RODO:

  • Google Drive w ramach pakietu G-Suite,
  • Dropbbox Business,
  • OneDrive dla Firm.

Każde z tych rozwiązań daje ci możliwość zawarcia umowy powierzenia przetwarzania danych oraz ma ogarnięty temat transferu danych do państwa trzeciego.

Zwracam w tym miejscu twoją uwagę na fakt, że wszystkie te narzędzia mają swoje nieodpłatne odpowiedniki przeznaczone do użytku prywatnego. Jak na pewno się domyślasz, korzystanie z nich nie zapewni już zgodności z RODO.

Generalnie, gdy zastanawiasz się nad legalnością wykorzystywania jakichkolwiek narzędzi w kontekście RODO, sprawdzaj zawsze dwie rzeczy:

  • czy istnieje możliwość zawarcia umowy powierzenia,
  • czy dochodzi do transferu danych do państwa trzeciego i na jakich zasadach.
Prakreacja.pl
Indywidualna pomoc

Potrzebujesz indywidualnej pomocy w zakresie ochrony danych osobowych? Napisz na adres kontakt@wojciechwawrzak.pl.

Podsumowanie

Biorąc pod uwagę, że sprzęt Apple często wybierany jest przez przedsiębiorców, smuci fakt, że Apple nie zadbał o to, by chmura iCloud mogła być wykorzystywana również do przechowywania danych osobowych przetwarzanych w związku z prowadzonym biznesem.

Jasne, synchronizację z iCloud zawsze można wyłączyć i wybrać inne rozwiązanie chmurowe, ale jeżeli już kupuję sprzęt Apple, to chciałbym również móc korzystać z jednej z podstawowych usług z tym sprzętem związanych, jaką jest iCloud.

Tymczasem nie jest to możliwe. Tak długo, oczywiście, jak długo chcemy pozostać w zgodzie z RODO. Ja chcę, dlatego nie przechowuję w iCloud danych osobowych, które gromadzę w związku z prowadzoną działalnością gospodarczą. Wykorzystuję iCloud wyłącznie do celów domowych i osobistych, bo w tym zakresie RODO nie obowiązuje.

Jak powinieneś postąpić ty? Po lekturze tego artykułu na pewno się domyślasz. Ostateczną decyzję pozostawiam oczywiście tobie. To twój biznes i to ty ponosisz odpowiedzialność za przestrzeganie przepisów dotyczących ochrony danych osobowych.

Bonus: praktyczne opracowanie

Dodatkiem do tego artykułu jest opracowanie poświęcone najczęściej występującym naruszeniom ochrony danych osobowych.

Dodatek dostępny jest dla subskrybentów newslettera.

Prakreacja.pl

RODO – pakiet

Nie zająłeś się jeszcze ochroną danych osobowych w swojej firmie? To dobry moment, by nadrobić zaległości. Oczywiście jestem do dyspozycji. Alternatywą dla indywidualnej usługi jest natomiast pakiet RODO, który przygotowałem specjalnie z myślą o przedsiębiorcach, którzy szukają budżetowego rozwiązania.

 

Niestety, ale wybrałeś/aś brak obsługi systemu komentarzy Disqus w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu komentarze.