Bring Your Own Device (BYOD) Legal Challenges of the new Business Trend MINA ZOULOVITS LAWYER, PARNTER FILOTHEIDIS & PARTNERS LAW FIRM minazoulovits@phrlaw.gr What is BYOD? Information Commissioner's Office (ICO UK) Consumer electronic devices such as smart phones and tablet computers have seen a huge rise in popularity, available features and capability. Many data controllers are faced with demands from employees, board members or even clients wishing to use these devices in the workplace to carry out their jobs. This might mean that individuals own devices are used to access and store corporate information, as well as their own. NEW WORKING ENVIRONMENT NEW LEGAL RULES 1
What are the RISKS? Control over the data Comply with data protection rules Security issues Multiple players multiple relations Who owns the work / Who owns the IPR? Employment compliance rules ΠΡΟΣΩΠΙΚΑ Ε ΟΜΕΝΑ Προσωπικά εδομένα «κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων πλην των ανώνυμων δεδομένων που δεν είναι σε θέση να ταυτοποιήσουν κάποιο πρόσωπο» Υποκείμενο εδομένων: Α) Γενικά: το φυσικό πρόσωπο Β) Ηλ. επικοινωνίες: "συνδρομητής", κάθε φυσικό ή νομικό πρόσωπο Μίνα Β. Ζούλοβιτς 2
Βασικοί Ρόλοι Υπεύθυνος Επεξεργασίας (Controller) Εκτελών την Επεξεργασία (Processor) Written contract ΠΡΟΣΟΧΗ TRADE SECRETS COMMERCIAL ESPIONAGE 3
WHAT YOUR LEGAL OBLIGATIONS? Specific Obligations Data s Confidentiality and Security Control over the Data Access to the Data Keep the Data Updated Integrity of Data Accountability for the Data Transfer of Personal Data outside the EU Specific license from the DPA is necessary Unless a Country is already licensed by the EU USA only when Safe Harbor Binding Corporate Rules (BCR) Standard Contractual Clauses Μίνα Β. Ζούλοβιτς 4
Σημαντικό κριτήριο ιευκρίνιση των Ρόλων του κάθε «Παίκτη» Ποιος είναι ο Controller α) Ποιος θέτει τον σκοπό και τα μέσα της επεξεργασίας β) Ποιος είναι υπεύθυνος απέναντι στο Data Subject και στις Αρχές για τη σύννομη επεξεργασία των δεδομένων γ) Πιθανότητα ύπαρξης πολλαπλών (multiple) Controllers Ποιος/οι είναι οι Processor και οι Αποδέκτες των δεδομένων α) καταγραφή των συμμετεχόντων και του ρόλου τους β) κατανομή των υποχρεώσεων και των ευθυνών γ) παροχή συγκεκριμένων διευκρινίσεων και δεσμεύσεων για την παροχή των «κατάλληλων» οργανωτικών και τεχνικών μέτρων ασφαλείας δ) συμφωνία για συγκεκριμένο τόπο επεξεργασίας δεδομένων Μίνα Β. Ζούλοβιτς Build your own BYOD Legal Strategy You must assess: what type of data is held; where data may be stored; how it is transferred; potential for data leakage; blurring of personal and business use; what to do if the person who owns the device leaves their employment how to deal with the loss, theft, failure and support of a device 5
Build your Own BYOD Legal Strategy Έγγραφες Συμβάσεις με συγκεκριμένες υποχρεώσεις σε όσους έχουν πρόσβαση στα δεδομένα Πιθανή υιοθέτηση penalties σε περίπτωση breach Εξασφάλιση των «κατάλληλων» επιπέδων ασφαλείας ανάλογων προς την κατηγορία των δεδομένων και το είδος της επιχείρησης Υιοθέτηση συγκεκριμένων Privacy Tools για την πρόσβαση στα δεδομένα (π.χ. ηλ. υπογραφές κλπ) Build your own BYOD Legal Strategy Επεξεργασία μόνον στο πλαίσιο του σκοπού που είχε αρχικά θέσει ο Controller NDAs Trade Secrets Χρόνος διατήρησης των δεδομένων ορισμένος και ελεγχόμενος από τον Controller Πρόσβαση και του Controller στα δεδομένα του Processor 6
Build your own BYOD Legal Strategy Χρόνος απόκρισης του Provider σε θέματα που άπτονται των νομικών υποχρεώσεων του Controller απέναντι στις Αρχές ιασφάλιση της εμπιστευτικότητας και της ακεραιότητας των δεδομένων Build your own BYOD Legal Strategy Who owns the IRP? Employment compliance issues 7
Build your own BYOD Security Policy Technical Security Legal Security & Compliance Bring Your Own Device (BYOD) Legal Challenges of the new Business Trend MINA ZOULOVITS LAWYER, PARNTER FILOTHEIDIS & PARTNERS LAW FIRM minazoulovits@phrlaw.gr 8