Франция: Уполномоченный орган по защите персональных данных опубликовал хорошую практику использования сотрудниками собственных устройств при выполнении своих обязанностей (BYOD)

Данная заметка была опубликована 31 марта 2020 года на сайте Cyberdroit.fr («Киберправо»).

Мой комментарий: В последнее время миллионы людей были вынуждены в одночасье перейти на работу на дому, поэтому вопросы безопасности и защиты персональных данных, связанные с ведением деловой деятельности сотрудниками в удаленном режиме с использованием собственных устройств стали особенно актуальными. Регуляторы это видят и соответственно реагируют.

24 марта 2020 года французская Национальная комиссия по информатике и свободам граждан CNIL (Commission nationale de l'informatique et des libertés, http://www.cnil.fr/ - национальный уполномоченный орган по вопросам защиты персональных данных – Н.Х.) напомнила о том, что использование сотрудниками личных устройств является выбором работодателя, и что последний остается «ответственным за безопасность персональных данных, обрабатываемых его компанией, в том числе и тогда, когда они хранятся на устройствах, над которым он не имеет никакого физического или юридического контроля».

CNIL предложила ряд мер, обеспечивающих безопасности устройств и гарантирующих неприкосновенность частной жизни их пользователей.

С рекомендациями CNIL можно познакомиться по адресу: https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques

Мой комментарий: Выложенный на сайте CNIL небольшой документ называется «Использование в деловой деятельности собственных устройств сотрудников: В чём заключается хорошая практика» (BYOD : quelles sont les bonnes pratiques?). В подзаголовке отмечается, что распространение практики BYOD приводит к размыванию грани между профессиональной деятельностью и личной жизнью, и что в этой связи желательно следовать наилучшей практике для того, чтобы обеспечить как безопасность данных компании, так и неприкосновенность частной жизни сотрудника.

Документ рассчитан на широкую аудиторию и в доступной форме описывает нормативно-правовую базу, обязанности, риски и рекомендуемые меры. Мне, в частности, понравилась рекомендация изначально продумать процедуру на случай отказа или утери персонального устройства, в том числе удалённого уничтожения хранящихся на нём данных.

Рекомендуется чётко разделять на устройстве служебный и личный контент – как в целях защиты данных компании, так и для исключения доступа компании к персональным данным сотрудника.

Интересно, что CNIL считает, как правило, труднореализуемыми и неоправданными ограничения, запрещающие использование, например, смартфона для личных целей (просмотр интернета, скачивание приложений) только потому, что это устройство используется для доступа к корпоративным ресурсам.

CNIL считает, что работодатель имеет право на доступ к корпоративным данным, находящимся на личном устройстве, в том числе на их стирание – но не имеет право на доступ к личным данным на устройстве (включая их уничтожение).

Источники: сайт Cyberdroit / сайт CNIL
http://www.cyberdroit.fr/2020/03/la-cnil-publie-des-bonnes-pratiques-sur-le-bring-your-own-device-byod/ 
https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques