Prinesite svoje naprave – Bring Your Own Device (BYOD)

Prinesite svoje naprave – Bring Your Own Device (BYOD)
11. 10. 2020 objavil/a Nataša Pirc Musar
BYOD
pravice delavcev
priročnik

Uvod

Smernice o tem, kakšna pravila morajo veljati v podjetjih, kjer je dovoljeno uprabljati lastne naprave za delo, smo povzeli po smernicah britanskega Informacijskega pooblaščenca.

Britanski Zakon o varstvu osebnih podatkov iz leta 1998 (The Data Protection Act - DPA) temelji na osmih načelih dobrega ravnanja z informacijami. To ljudem daje specifične pravice v zvezi z njihovimi osebnimi podatki in določa obveznosti za tiste organizacije, ki so odgovorne za obdelavo.

V teh smernicah je podrobneje opisano, da morajo upravljalci podatkov v celoti razumeti svoje obveznosti in spodbujati dobro prakso.

Ta navodila pojasnjujejo upravljavcem podatkov, da naj razmislijo, kdaj bodo dovolili uporabo osebnih naprav za obdelavo osebnih podatkov, za katere so odgovorni.

Pregled:

  • Način »Prinesi svojo napravo« sproža številna zaskrbljujoča dejstva glede varstva osebnih podatkov zaradi dejstva, da je naprava v lasti uporabnika in ne upravljavca podatkov.
  • Bistveno je, da nadzornik podatkov zagotavlja, da vsa obdelava osebnih podatkov, ki je pod
  • njegovim nadzorom, ostane skladna z zakonodajo s področja varstva osebnih podatkov.
  • Zaščito podatkov v primeru izgube ali kraje naprave, je potrebno upoštevati in predvideti, da se vedno lahko zgodi in ne izključiti drugih tveganj.
  • Upravljavci podatkov morajo biti pozorni na osebno uporabo takih naprav in morajo tehnično in organizacijsko poskrbeti za zaščito osebnih podatkov, ob tem pa morajo zagotoviti sorazmerno korist, ki uztreza tako delavcu kot delodajalcu.

Kaj določa zakon

Sedem principov pravi: sprejeta morajo biti ustrezna tehnična in organizacijska merila proti naključni izgubi ali uničenju ali poškodovanju osebnih podatkov.

To pomeni, da morate imeti ustrezno varnost, da preprečite, da osebni podatki, ki jih imate v zbirkah, ne bodo po nesreči ali namenoma ogroženi.
To je seveda zelo pomembno, če se osebni podatki obdelujejo na napravah, nad katerimi nimate neposrednega nadzora.

Kaj je BYOD?

Potrošniške elektronske naprave, kot so pametni telefoni in tablični računalniki, so vse bolj priljubljeni in imajo veliko uporabnih lastnosti in zmogljivosti. Številni upravljavci podatkov se soočajo z zahtevami zaposlenih, članov uprave in drugih sodelavcev, da bi uporabljali te naprave za izvajanje svojih delovnih obveznosti. To pomeni, da bi lahko lastne naprave uporabljali za dostop in shranjevanje tako službenih kot svojih informacij.

Ta trend je danes splošno znan in ga poznamo pod kratico BYOD "Prinesi svojo lastno napravo" (Bring Your Own Device).

Dovoljenja za različne naprave za obdelavo osebnih podatkov, ki jih poseduje organizacija, povzroča številna vprašanja upravljavcu podatkov, na katera mora znati odgovoriti. Upravljavec osebnih podatkov mora zadostiti obveznostim, ki jih ima do osebnih podatkov.

Pomembno je, da si zapomnite, da mora imeti upravljavec osebnih podatkov podatke pod nadzorom, ne glede na to čigava je naprava, ki se uporablja za izvedbo obdelave.

Kakšna so tveganja?

Osnovna značilnost BYOD je, da je uporabnik lastnik, ki vzdržuje in podpira napravo. To pomeni, da bo upravljavec podatkov imel znatno manjši nadzor nad napravo, kot bi jo imel, če bi bile te naprave v lasti organizacije.

Varnost podatkov je zato glavna skrb, saj ima interni nadzornik (po maju 2018 bo to pooblaščena oseba za varstvo podatkov – DPO) veliko število naprav, ki jih mora nadzirati. Nadzornik bo moral oceniti:

  • kakšne vrste podatki se hranijo;
  • kje se podatki lahko shranijo;
  • kako se podatki prenašajo;
  • možnost uhajanja podatkov;
  • kako dobro je določena meja med osebno in poslovno uporabo;
  • varnostne zmogljivosti naprave;
  • kaj storiti, če oseba, ki ima v lasti napravo, zapusti delodajalca; in
  • kako ravnati v primeru izgube, kraje, odpovedi in podpore naprave.

Zakon o varstvu podatkov zahteva, da mora upravljavec osebnih podatkov spr ejeti ustrezne tehnične in organizacijske ukrepe proti nedovoljeni ali nezakoniti obdelaviosebnih podatkov ter pred naključno izgubo ali uničenjem osebnih podatkov.

Kakšne so koristi?

Foto: Bigstock
 














Učinkovita BYOD politika lahko vodi do številnih prednosti, vključno z izboljšanim zadovoljstvom zaposlenih in poveča učinkovitost ter prožnost delovnega mesta. Ob upoštevanju tveganj za varstvo podatkov ima nadzornik za varstvo osebnih podatkov možnost, da vgradi zaščito že v samem jedru svojih poslovnih dejavnosti in s tem dvigne splošne standarde, npr. da opredeli, katere vrste osebnih podatkov lahko delavec shrani na določeni napravi in katere ne (npr. shranjevanje posebej občutljivih podatkov bi bilo mogoče zavrniti ali jih omejiti na naprave z visoko stopnjo šifriranja).

BYOD politika in izvajanje načrta bi lahko vodila do boljšega ločevanja podatkov. Na primer, organizacija želi omejiti dostop do določenih spletnih strani, do katerih dostopate preko omrežja podjetja, zaradi zmanjšanja verjetnosti uhajanja podatkov ali neprimerne rabe komunikacijskega sistema podjetja. Podjetje lahko naredi Wi-Fi omrežje, ki je ločeno od omrežja podjetja in s tem omogoči zaposlenim, da se povežejo z omrežjem s svojimi osebnimi napravami.

Kaj je treba upoštevati?

Posebna tveganja, na katera se nanaša pravilnik BYOD, bodo v vsaki organizaciji drugačna. Ob upoštevanju točk v teh navodilih se lahko zagotovi, da se tveganja povezna z BYOD ustrezno upravljajo.

Za začetek bi se moralo preveriti, katere osebne podatke se obdeluje in katere naprave vključno z njihovim lastnikom bodo uporabljali za obdelavo teh podatkov. Pomembno vprašanje, ki ga je potrebno upoštevati, je, katere osebne podatke je mogoče obdelati na osebni napravi (ta je v lasti zaposlenega) in katere je potrebno zadržati v bolj strogo varovanem okolju. Prav tako je potrebno preučiti, kako bo delodajalec prenehal obdelovati osebne podatke zaposlenih in drugih (npr. družine), ki uporabljajo take naprave. Preveriti je tudi potrebno, kakšen nadzor je primeren za obdelavo občutljivih osebnih podatkov.

Določiti je potrebno, kakšen vpliv bo imela preusmeritev na BYOD glede storitev, ki se jih deli z drugimi organizacijami in da to ne bo v nasprotju z obstoječimi sporazumi. BYOD ne sme povzročiti ranljivosti v že obstoječih varnih informacijskih okoljih.

Potrebno je imeti jasno BYOD politiko

Pomembno je, da uporabniki, ki povezujejo svoje naprave z vašim informacijskim sistemom, jasno razumejo, kakšne so njihove odgovornosti.

Ne pozabite, da je pomembna komponenta katerekoli politike revizija in stalno spremljanje skladnosti. Le redni pregledi bodo zagotovili, da zaposleni varnostno politiko spoštujejo.

Pomembni nasveti:
  • Izvajati in vzdrževati politiko sprejemljive uporabe, ki bo poskrbela za vodenje in odgovornost vedenja;
  • Razmisliti velja o pravilniku o uporabi družbenih omrežij, če zaposleni pri uporabi BYOD to napravo uprabljajo tudi za komunikacijo prek družbenih omrežij;
  • Bodite jasni glede tega, katere vrste osebnih podatkov se lahko obdeluje na osebnih napravah in katere ne; in
  • Vključite vse ustrezne oddelke (vključno z IT & HR) in končne uporabnike v razvoj politike sprejemljive uporabe.

Kje so shranjeni osebni podatki?

Osebni podatki, ki se obdelujejo prek osebne naprave, so lahko shranjenih v eni ali v kombinaciji, na naslednjih lokacijah:

  • Na napravi;
  • Na strežniku znotraj organizacijskega IT omrežja (ali drug zasebni oblak); ali
  • V zasebnem, skupnem ali javnem oblaku.

Ne glede na to, kje so shranjeni podatki, boste morali sprejeti ustrezne ukrepe za zaščito pred nepooblaščenimi ali nezakonitimi dostopi, npr. če je naparava izgubljena ali ukradena. Ker ste upravljalec podatkov, je to še vedno vaša odgovornost.

Takšni ukrepi lahko vključujejo nadzor nad dostopom do podatkov ali napravo, za katero se uporablja geslo, PIN ali šifriranje podatkov. Ne pozabite, da izguba ali kraja naprave ni samo sredstvo, s katerim se lahko pride do nepooblaščenega ali nezakonitega dostopa. Napravo lahko npr. delite z družinskimi člani na način, ki je neprimeren, če so osebni podatki, za katere ste odgovorni, shranjeni na tej napravi.

Če so osebni podatki shranjeni na oddaljeni lokaciji, bodisi znotraj omrežja podjetja ali v javnem oblaku, potem je pomembno upoštevati varnost dostopnih poverilnic v primeru izgube ali kraje naprave. Na primer, če je naprava navajena na dostop do storitve v oblaku in omogoča uporabnikom, da ostanejo prijavljeni v storitev med sejami, lahko nepooblaščen dostop do naprave povzroči nepooblaščeno razkritje osebnih podatkov.

Na napravi morate določiti vrsto medijev za shranjevanje. Nekatere naprave uporabljajo enostavno odstranljivo pomnilniško kartico, npr. mikro ali mini SD kartico, kar pomeni izgubo ali krajo podatkov in to sploh ne opazite.

Naprave lahko ponujajo dodatno zaščito za shranjevanje podatkov, ki so vsebovani v določenih aplikaciji. Če je temu tako in če se vi opirate na take varnostne ukrepe, je potrebno razmisliti, kako boste te funkcije preverili, da boste zagotovili zaupnost in celovitost podatkov. Naprave lahko nudijo možnost omejevanja dostopa do določenih aplikacij ali podatkovnih tipov, ki temeljijo na geografski lokaciji in zahtevajo dodatno raven preverjanja pristnosti.

Kadar so osebni podatki shranjeni na napravi, je pomembno upoštevati varno in zavarovano brisanje podatkov čez cel življenjski cikel naprave, še posebej takrat, ko se naprava proda ali pa prenese na neko tretjo osebo.

Pomembni nasveti:
  • Za zaščito vaših naprav uporabite močno geslo;
  • Uporabite šifriranje za varno shranjevanje podatkov na napravi;
  • Zagotovite, da je naprava zaklenjena ali pa de se podatki samodejno izbrišejo, če večkrat vnesete napačno geslo;
  • Poskrbite da se naprava samodejno zaklene, če je neaktivna določeno obdobje;
  • Prepričajte se, da uporabniki natančno vedo, kateri podatki se lahko avtomatsko ali ročno izbrišejo in pod katerimi pogoji;
  • Potrebno je ohraniti jasno ločitev med osebnimi podatki, ki se jih obdeluje v imenu upravljavca podatkov, in podatki ki so obdelani za lastne potrebe lastnika naprave, npr. uporaba različnih aplikacij za poslovno in osebno rabo.

Kako se podatki prenesejo?

Dogovor BYOD na splošno vključuje prenos podatkov med osebno napravo in upravljavcem podatkov sistema. Postopek prenosa lahko predstavlja tveganja, zlasti tam, kjer vključuje velik obseg občutljivih informacij.

Veliko tveganje za varnost prenosa podatkov je tako imenovan »man-in-the-middle« napad ali pa druge vrste prestrezanja med postopkom prenosa. Vendar se ne sme prezreti drugih tveganj pri prenosu, kot npr. pošiljanje elektronske pošte napačnemu naslovniku.

»Man in the middle« napad: Pri kriptografiji in računalniški varnosti gre za MITM napad, ko napadalec skrivno preusmeri in morda spreminja komunikacijo med dvema stranema, ki verjameta, da neposredno komunicirata med seboj. Eden od primerov MITM napada je aktivno prisluškovanje, pri katerem napadalec izvede neodvisne povezave z žrtvami in posreduje sporočila med njimi, da bi jih prepričal, da govorijo neposredno med seboj prek zasebne povezave, a v resnici dejansko celoten pogovor nadzoruje napadalec. Napadalec je sposoben prestreči vsa sporočila, ki si jih izmenjujeta obe žrtvi. V mnogih okoliščinah je to enostavno; na primer, napadalec, ki se postavi na območje nešifrirane brezžične dostopne točke (Wi-Fi), na enostaven način postane MITM.

Prenašanje celotnega prometa prek šifriranega kanala, kot sta VPN ali HTTPS za posamezne storitve, lahko ponudi določeno varnost, ko uporabljate ne-varno povezavo, na primer odprto brezžično omrežje (Wi-Fi) v kavarni.

Obstaja tehnologija za nekatere platforme za spremljanje prenosa podatkov - za sam prenos in izgubo podatkov. To lahko zagotovi dragocen vpogled v vrste podatkov na napravi, seveda pa so tudi posledice, če se spremlja uporaba med zasebno uporabo.

Ne pozabite, da prenašanje podatkov iz javnega oblaka, E-pošte ali družbenih omrežij lahko ogrozi osebne podatke, saj je podatke lahko prestreza ponudnik storitve v oblaku ali tuj organ, če je ta javni ponudnik storitev v oblaku v tujini.

Če za prenos podatkov uporabljate izmenljive medije (USB ali CD), morate upoštevati varno in zavarovano brisanje podatkov na mediju, ko je prenos končan.

Morda bi bilo potrebno razmisliti o onemogočanju nekaterih vmesnikov, ki se lahko uporabljajo za povezavo z drugimi napravami, kot sta Wi-Fi ali Bluetooth, saj jih lahko uporabite za povezavo z zunanjimi napravami, npr. tiskalnikom ali drugo napravo za shranjevanje.

Zaposlenim je potrebno dati koristna navodila o tem, kako oceniti varnost omrežij Wi-Fi, ki so v hotelih ali kavarnah. Vi in zaposleni se morate zavedati, da naprave lahko same najdejo in se povežejo z odprtimi Wi-Fi omrežji.

Nekatere naprave lahko ponujajo samodejno varnostno kopijo, ki shranjujejo varnostne kopije podatkov na uporabnikov račun, ki je v oblaku, ali pa na uporabnikovem osebnem računalniku. Kot upravljavec podatkov boste morali zagotoviti, da taka oblika shranjevanja ne bo vodila do neprimernega razkritja osebnih podatkov.

Pomembni nasveti:
  • Prenos osebnih podatkov prek šifriranega kanala bo ponudil največjo zaščito;
  • S previdnostjo je potrebno uporabljati javno izmenjavo v oblaku in javne varnostne storitve, ki jih niste v celoti ocenili kot varne; in
  • Pazite, da tehnologija za spremljanje ostaja sorazmerna in ne prekomerna, zlasti v obdobju ko gre za osebno uporabo.

Kako boste nadzorovali napravo?

Kot je bilo že omenjeno, je izguba ali kraja naprave glavni dejavnik tveganja, glede na relativno šibko kontrolo, ki jo lahko ima organizacija nad napravo, ki je v lasti zaposlenega. Zato bi morali razmisliti o korakih, ki jih boste sprejeli vnaprej, da bi zagotovili varnost kateregakoli osebnega podatka, ki je shranjen v napravi. Prav tako morate razmisliti, kako boste upravljali z osebnimi podatki na osebnih napravah zaposlenih, ko niso več zaposleni pri vas.

Večina sodobnih naprav ponuja možnost, da se jih lahko najde na daljavo in briše podatke na zahtevo, ali pa lahko to storitev omogočite s strani druge programske opreme – znane kot Upravljalec mobilnih naprav. Taka storitev lahko zagotovi, da so vsi podatki, ki so shranjeni na napravi, tudi varno izbrisani. Vendar pa morajo biti naprave, da takšno storitev lahko uporabiš, za to registrirane.

Storitve upravljanja mobilnih naprav vam lahko omogočijo snemanje ali sledenje naprave v realnem času, tudi če naprava ni prijavljena kot ukradena. Enako kot pri nadzorni tehnologiji bodo tudi nadzorniki podatkov potrebovali zagotovilo, da se podatki, ki so zbrani v okviru objekta za daljinsko iskanje, uporabljajo samo za določen namen in ne za tekoč nadzor ali spremljanje uporabnikov. Uporabniki naprave morajo biti obveščeni o tem, kako se izvaja sledenje naprave in kakšne so posledice tega sledenja za njih.

Kako boste zaščitili napravo?

Določiti morate, kako boste zagotovili odpravo ranljivosti v operacijskem sistemu ali drugi programski opremi na napravi ter to ustrezno popravili ali posodobili. Zavedati se je potrebno, da so varnostne posodobitve lahko odvisne od proizvajalca naprave ali ponudnika komunikacij (npr. operaterja) in ne neposredno od operacijskega sistema proizvajalca naprave. Vse te storitve ne smejo biti takoj na voljo vsem določenim napravam. Vsaka taka ranljivost ne sme ogroziti osebnih podatkov, ki se obdelujejo na teh napravah.

To zaščito bi lahko dosegli z omejevanjem izbire operacijskih sistemov, ki so na voljo uporabnikom. Do težav pa lahko pride tam, kjer delodajalec ne poseduje naprave. Morali bi tudi razmisliti, kako nadzorovati zaposlene, ki bi lahko odstranili privzeti varnostni nadzor nad delovanjem vzpostavljenega sistema.

Morda boste morali upoštevati, kdo je pooblaščen za namestitev programske opreme drugih proizvajalcev (aplikacij) v napravi in ​​kdo ima dostop do vira aplikacij, ki jih je mogoče namestiti na naprave. Nekatere naprave omogočijo lastnikom, da namestijo aplikacije iz nezanesljivih in nepreverjenih ponudnikov. Namestitev takšnih aplikacij lahko povzroči visoko razširjenost zlonamernih aplikacij. Prav tako morate paziti, da ne precenite jamstva, ki ga lahko "uradno" tržišče ponudi. Take prodaje lahko nudijo le površen pogled na aplikacije in ne blokirajo vseh primerov zlonamerne programske opreme.

Odločiti se morate, kako bi lahko za svoje naprave skrbeli zaposleni, ki jih prinesejo na delovno mesto in kako boste upravljali podatke, za katere ste odgovorni, če se te naprave vrne prodajalcu ali jih lastnik želi prodati. Na primer, če se uporabnikova naprava pokvari in se vrne proizvajalcu pod garancijo, kako lahko zagotovite varstvo osebnih podatkov, za katere ste odgovorni?

Pomembni nasveti:
  • Registrirajte naprave z oddaljenim mestom za iskanje in poskrbite, da ohranite zaupnost podatkov v primeru izgube ali kraje;
  • Prepričajte se, da imate postopek za hiter in učinkovit preklic dostopa do naprave ali blokado uporabnika, kadar gre za prijavo izgube ali kraje;
  • Omejite izbiro pripomočkov na tiste, za katere ste ocenili, da zagotavljajo ustrezno raven varnosti za obdelavo osebnih podatkov; in
  • Uporabnikom dajte navodila o tveganjih za nalaganje nezanesljive ali nepreverjene aplikacije.

Spremljanje na delovnem mestu

Slovenski informacijski pooblaščenec je objavil smernice za delodajalce glede spremljanja zaposlenih na delovnem mestu.

Kodeks delovne prakse pojasnjuje, da imajo zaposleni upravičena pričakovanja, da lahko ohranijo svoje zasebno življenje in da so upravičeni do določene stopnje zasebnosti v delovnem okolju v EU. Če delodajalci želijo spremljati svoje delavce, morajo jasno opredeliti ta namen in da je posebno spremljanje upravičeno in da bo to dejansko koristno, da bo torej namen delavcu v naprej jasen.

Po definiciji bo uporaba naprave zaposlenega tudi zasebna. V določenem obdobju je to verjetno tako, da se vsaka uporaba lahko šteje za zasebno (npr. večeri in vikendi).

Tehnični ukrepi, ki jih lahko upoštevate za zaščito osebnih podatkov, za katere ste kot upravljavec podatkov odgovorni, lahko povečajo raven spremljanja delovnega mesta, na primer snemanje lokacije naprav ali spremljanja prometa na internetu.

Tukaj mora biti tudi jasno, da lahko spremljate uporabo naprave s strani drugih oseb, ki morda niso zaposleni ampak so družinski člani.

Pomembni nasveti:
  • Pri pripravi pravilnika sprejemljive uporabe BYOD vam lahko pridejo prav tudi smernice britanskega Informacijskega pooblaščenca Employment Practices Code;
  • Pred spremljanjem jasno opredelite namen(e) za spremljanje in posebne koristi, ki naj bi jih tako spremljanje prineslo; in
  • Zagotovite, da je delavcem jasno, kakšen je namen kateregakoli spremljanja in da bo zadovoljstvo upravičeno z dejanskimi koristmi, ki bodo tako zagotovljene.

Druga tveganja za varstvo podatkov?

Medtem ko je varnost naprave glavna skrb, naj bi politika BYOD olajšala skladnost z vseh vidikov DPA.

Uporaba BYOD bi lahko povečala tveganje, da so osebni podatki obdelani za namen, ki je drugačen od tistega, za katerega so bili prvotno zbrani. Zagotoviti je potrebno, da se uporabniki naprav zavedajo svoje odgovornosti glede uporabe osebnih podatkov podjetja samo za namen podjetja.

Foto: Bigstock
 






Če so kopije podatkov shranjene na več različnih napravah, recimo kot priloga v e-pošti, obstaja povečano tveganje, da bodo osebni podatki sčasoma postali zastareli ali netočni. Obstaja povečano tveganje tudi zato, ker je težje slediti vsem kopijam podatkom. Uporaba naprav, ki so povezane s centralni shranjevanjem podatkov, lahko pomaga ublažiti to tveganje.

Obstaja tudi nevarnost uhajanja podatkov, ker bi bili lahko ti podatki po nesreči izgubljeni ali razkriti, ne da bi uporabnik vedel za to. Akcija »kopiranje in prilepi« hrani podatke v odložišču in jih lahko po nesreči objavi na družabnih omrežjih ali pa jih po e-pošti posreduje vsem posameznikom po imeniku.





Če je več kopij podatkov shranjenih na več različnih napravah, boste ugotovili, da se je težje odzvati na zahtevo posameznika v primeru posredovanja podatkov, ki se nanašajo nanj (pravica do vpogleda v lastne osebne podatke). Na primer, kako boste lahko zagotovili, da boste upoštevali celotno zahtevo za dostop do vsebine, če ne veste na katerih napravah so osebni podatki shranjeni.

Ostala tveganja?

Javni organi, ki so zavezanci po Zakonu o dostopu do infirmacij javnega značaja (FOIA), bodo morali upoštevati tudi svoje obveznosti na tem področju. Če je več različnih kopij podatkov shranjenih v več različnih napravah, boste morda ugotovili, da je težje odgovoriti na zahteve za informacije, zlasti v zahtevanem roku. Ne pozabite, da so informacije o javnih organih še vedno predmet FOIA tudi če so na napravah, ki so v osebni lasti.

Za vašo organizacijo lahko velja druga zakonodaja in/ali zato morate zagotoviti, da tudi to upoštevate pri sprejetju pravilnika BYOD.

Povzetki

BYOD postavlja številne skrbi glede varstva podatkov zaradi dejstva, da je naprava v lasti uporabnika in ne upravljavca zbirk osebnih podatkov. Ključnega pomena je, da kot upravljavec zbirk podatkov zagotovite, da je vsa obdelava osebnih podatkov, ki je pod vašim nadzorom, skladna z zakono o varstvu osebnih podatkov. Če pride do kršitve pravil o zavarovanju zbirk osebnih podatkov, boste morali dokazati tudi, da ste zaščitili, nadzorovali in izbrisali vse podatke na določeni napravi.

Več informacij:

  • Več o šifriranju lahko najdete tukaj.
  • Več o odstranjevanju sredstev lahko najdete na tej povezavi.
  • Več o računalništvu v oblaku lahko najdete na tej povezavi.
  • Smernice slovenskega Informacijskega pooblaščenca o računalništvu v oblaku.
  • Več o tem, kako lahko zagotovite, da so osebni podatki zaposlenih primerno zaščiteni na delovnem mestu, lahko najdete na tej povezavi (britanski Informacijski pooblaščenec)
  • Smernice slovenskega Informacijskega pooblaščenca o BYOD.