Ste se kdaj spraševali, kaj se dogaja s podatki na vašem telefonu, ko ga pustite na servisu? Pametni telefoni so vse prej kot zgolj telefoni. Na njih imamo naložene certifikate, ki nam omogočajo spletno bančništvo, gesla, službeno in zasebno elektronsko pošto, dostope do družbenih omrežij, sms-sporočila, telefonske in elektronske naslove, skratka številne podatke, za katere ni dobro, da bi prišli v napačne roke. Še bolj je zadeva problematična, če niste poskrbeli za ustrezno zaščito teh podatkov z zaščitno kodo (pin) in s šifriranjem vsebine, kar omogočajo številne mobilne platforme.
Bralec Peter nas je opozoril, da se mu je pokvaril telefon, in to tako, da ga sploh ne more več vključiti. Zato je servis prosil, če je lahko zaradi občutljivih podatkov na telefonu prisoten med servisiranjem, a so ga zavrnili. Še posebej je v skrbeh, ker so mu pri prvem popravilu telefon zamenjali z novim, zdaj pa se boji, da se bo zgodilo isto in da bodo podatki ostali na servisu.
Mi smo preverili, kako na pooblaščenih servisih obravnavajo zahteve strank, ki so v skrbeh za svoje podatke. Jim ob takšnih prošnjah prisluhnejo in poiščejo neko skupno rešitev? Pri informacijskem pooblaščencu smo preverili, ali so serviserji zavezani k varstvu osebnih podatkov in dolžni stranki omogočiti prisotnost med servisiranjem naprave.
"Ko sem klical na Mobitelov servis, če sem lahko prisoten na popravilu oziroma če bo telefon zanič pri uničenju le-tega, so me arogantno odslovili – pošlji ali imej pokvarjenega," opozarja bralec Peter. Poklicali smo kar nekaj pooblaščenih serviserjev za različne znamke telefonov in na večini servisov so nam pojasnili, da bi v tem primeru naredili izjemo in uporabniku omogočili prisotnost pri servisu. Prav tako bi večina, če bi ugotovili, da težava ne izhaja iz okvare diska, le-tega stranki izročili in opravili popravilo. Ko je servis končan, stranka prinese disk nazaj, na servisu pa ga vgradijo. "Podatke na diskih in drugih pomnilniških medijih, ki jih dobimo nazaj z računalniki ali tablicami, nepovratno izbrišemo. Če so pomnilniški mediji nedelujoči in na njih ni mogoče opraviti izbrisa, jih fizično uničimo," so sporočili s servisa Eventus.
Na servisu Toptime so nam pojasnili, da stranke opozorijo na izgubo podatkov, in sicer zaradi zahteve proizvajalca, da se vse telefone na servisu povrne na tovarniške nastavitve. "S tem se odstrani možnost, da so za napako na telefonu krivi podatki oziroma naložene aplikacije, hkrati pa tudi prepreči nepooblaščen dostop do strankinih podatkov," pojasnjujejo in dodajajo, da običajno stranke bolj problematizirajo izgubo podatkov kot pa morebitni dostop do njih s strani serviserjev. "Znotraj podjetja imamo zelo stroga pravila glede dela z osebnimi podatki, med katere štejemo tudi podatke, shranjene na telefonu. Vsi zaposleni so s pravili dobro seznanjeni in se zavedajo odgovornosti, ki jo zahteva delo z osebnimi podatki."
Na servisu RAM2, ki je pooblaščen serviser za mobilnike Samsung, je prokurist podjetja Rado Čučnik dejal, da se s takšnimi prošnjami ukvarjajo individualno in da bi takšni izrecni želji po prisotnosti med servisiranjem telefona, če se izkaže za upravičeno, ugodili.
Serviserji zavezani zakonu o varstvu osebnih podatkov
V uradu Informacijskega pooblaščenca so pojasnili, da vprašanja varstva osebnih podatkov v primeru servisiranja telefona pooblaščenec še ni obravnaval. Podali so sorodno mnenje v zvezi z zavarovanjem trdih diskov v primeru servisiranja računalnikov. Takrat so ugotovili, da morajo serviserji, če se bo dostopalo do podatkov na telefonu, spoštovati zahteve iz Zakona o varstvu osebnih podatkov (ZVOP-1). Tako v primeru servisnega posega v programsko opremo kot tudi v primeru zamenjave telefona mora serviser kot pogodbeni obdelovalec osebnih podatkov poskrbeti za ustrezne ukrepe iz 11. in 24. člena ZVOP-1. "To pomeni, da podatkov ne sme obdelovati v nasprotju z dogovorom (npr. kopirati, obdelovati, prenašati na drug, morda nadomestni telefon), hkrati pa mora po prenehanja pogodbe o servisiranju (tipično ob vrnitvi aparata ali nadomestnega aparata) podatke tudi vrniti uporabniku," pojasnjuje Igor Kolar, programer aplikacij v uradu pooblaščenca.
Dodaja, da je izvedba popravila prepuščena serviserju, ki uporabniku ni dolžan zagotoviti prisotnosti med servisiranjem telefona, če se seveda ne dogovorita drugače. Prav tako serviser ni dolžan podpisati posebnih zavez o varovanju s temi podatki, razen zavez iz 11. in 24. člena ZVOP-1. "Če pride do zamenjave okvarjenega aparata, mora serviser poskrbeti za vrnitev podatkov s starega aparata, če je to tehnično mogoče, oziroma poskrbeti za njihov trajen izbris. V nobenem primeru se ne sme zgoditi, da bi se isti podatki pozneje znašli v rokah novega lastnika," še pojasnjuje Kolar.
Z ustrezno zaščito bo skrbi manj
Vsemu temu pa se lahko izognete, če boste še pravi čas poskrbeli za varnost svojih podatkov, tako na telefonu, tablici kot tudi na računalniku. Prav tako se svetuje, da pred predajo aparata tretji osebi, pa naj gre za servis ali prodajo telefona, odstranite vse kartice SIM in SD ter pobrišete vse vsebine na telefonu. Postopek je odvisen od modela do modela, zato preverite v navodilih za uporabo telefonskega aparata, kako to storite ali pa poiščite pomoč strokovnjaka.
Strah pred zlorabo je upravičen. Eksperiment podjetja Symantec, ki sta ga za to podjetje opravila Kevin Haleyand and Scott Wright, je pokazal, da smo ljudje zelo radovedna bitja in da se težko upremo, da ne bi pobrskali po mobilniku, na katerega bi slučajno naleteli. Kot povzemajo na spletni strani Safe.si, je bil cilj raziskave ugotoviti, koliko izgubljenih pametnih telefonov bo vrnjenih uporabnikom in do katerih podatkov pametnega telefona bodo dostopali najditelji. V ta namen sta v več ameriških velikih mest nastavila 50 pametnih telefonov z lažnimi podatki oseb in podjetij. S posebno programsko opremo sta spremljala, kaj so na telefonu počeli "pošteni" najditelji. Šest oseb od desetih je poskušalo dostopati do socialnih medijev in računa elektronske pošte na pametnih telefonih. Osem od desetih jih je poskušalo dostopati do map, ki so bile označene s "plače zaposlenih" in "primeri zaposlenih". In kar polovica jih je skušala dostopati do bančnega računa lastnika pametnega telefona.
Res da gre za eksperiment na ameriških tleh, a je kaj tega vendarle mogoče prenesti tudi na evropska tla. Uporabniki se ne zavemo, da telefon niso zgolj telefonske številke in shranjena sms-sporočila. Postali so naše mobilne pisarne in v želji, da imamo vse pri roki, so polni tudi zelo občutljivih podatkov. Če lahko poskrbimo za ustrezno varnostno zaščito na hišnem računalniku, potem je čas (če seveda še niste), da zaščitimo tudi podatke na telefonu.
11. člen ZVOP-1
Pogodbena obdelava
(1) Upravljavec osebnih podatkov lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena tega zakona.
(2) Pogodbeni obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena tega zakona. Upravljavec osebnih podatkov nadzoruje izvajanje postopkov in ukrepov iz 24. člena tega zakona.
(3) V primeru spora med upravljavcem osebnih podatkov in pogodbenim obdelovalcem je dolžan pogodbeni obdelovalec na podlagi zahteve upravljavca osebne podatke, ki jih je pogodbeno obdeloval, nemudoma vrniti upravljavcu. Morebitne kopije teh podatkov mora takoj uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon.
(4) V primeru prenehanja pogodbenega obdelovalca se osebni podatki brez nepotrebnega odlašanja vrnejo upravljavcu osebnih podatkov.
24. člen ZVOP-1
Vsebina
(1) Zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
(2) V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.
(3) Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo.
(4) Funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, so dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.
KOMENTARJI (54)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.