Przekraczanie granic państwowych: jak bezpiecznie podróżować ze służbowym sprzętem?

Luzowanie obostrzeń covidowych sprawia, że coraz więcej podróżujemy. Na granicy wielu państw (w tym np. USA czy Nowej Zelandii) celnicy mogą od nas żądać, abyśmy im udostępnili nasz sprzęt i znajdujące się na nim dane, dostępy do komunikatorów, identyfikatory social media. . W przypadku, gdy nie będziemy chcieli zdradzić naszej prywatności lub narazić danych służbowych na utratę poufności, musimy liczyć się z tym, że nie zostaniemy wpuszczeni do kraju.

W Stanach Zjednoczonych jest to poparte wyrokami Sądu Najwyższego stwierdzającymi, iż „integralność granicy” przeważa nad prawami gwarantowanymi przez IV poprawkę do konstytucji, a więc prawami osób do prywatności, a służby graniczne mają prawo przeprowadzać kontrole osób. Według Sądu Najwyższego USA, takie kontrole mają zapobiec przedostaniu się przestępców oraz terrorystów. Potwierdza to chociażby wyrok na niekorzyść Michaela Arnolda z 2008 r., na mocy którego Sąd Najwyższy USA uchylił wyrok sądu okręgowego mówiący o tym, iż funkcjonariusze celni nie mieli prawa do inspekcji danych znajdujących się na laptopie.

Pamiętajmy:
jeżeli jesteśmy cudzoziemcami, nie będziemy mieli nawet możliwości wniesienia skargi, gdy agent nie wpuści nas na teren danego państwa, tak jak w przypadku USA.

Co wpływa na ryzyko wytypowania nas do kontroli?

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Przekraczając granicę musimy sobie uświadomić, jakie czynniki wypływają na podniesienie ryzyka ewentualnej kontroli naszego sprzętu przy przekraczaniu granicy, a niewątpliwie jest ich kilka:

  • historia naszych podróży – jeżeli wcześniej odwiedzaliśmy kraje, w których rozwija się terroryzm albo inna przestępczość, np. narkotykowa, możemy podczas kontroli granicznej być poproszeni o okazanie naszego sprzętu elektronicznego. Ma znaczenie również częstotliwość oraz długość naszych międzynarodowych podróży;
  • problemy prawne – jeżeli toczy się wobec nas jakiekolwiek dochodzenie, sprawa w sądzie lub mamy jakiś wyrok skazujący, istnieje zwiększone ryzyko intensywniejszej kontroli granicznej względem nas;
  • zostaniemy wytypowani przez agenta losowo.

Jak się zachować?

  • Zachowajmy spokój oraz szacunek w stosunku do osób kontrolujących; pamiętajmy, że to też są ludzie. Jeżeli nasze podejście od początku będzie emocjonalne oraz pozbawione szacunku, może nas spotkać to samo. Spokój pomaga podejmować racjonalne decyzje. Amerykańska agencja graniczna (US Customs and Border Protection) deklaruje podejście oparte na „uprzejmości, godności i szacunku”
  • Nie kłam! Wszelkie próby okłamywania strażników granicznych są przestępstwem na podstawie §1001 lit. a 18 rozdziału Kodeksu Stanów Zjednoczonych

§1001 lit. a 18 rozdziału Kodeksu Stanów Zjednoczonych
(a) Except as otherwise provided in this section, whoever, in any matter within the jurisdiction of the executive, legislative, or judicial branch of the Government of the United States, knowingly and willfully -
(1) falsifies, conceals, or covers up by any trick, scheme, or device a material fact;
(2) makes any materially false, fictitious, or fraudulent statement or representation; or
(3) makes or uses any false writing or document knowing the same to contain any materially false, fictitious, or fraudulent statement or entry; shall be fined under this title, imprisoned not more than 5 years

  • Pamiętajmy, że agenci mają pełne prawo do fizycznych oględzin wszelkich urządzeń. Przestępcy często ukrywają kontrabandę w komorze baterii czy etui od laptopa. Powinniśmy pozwolić strażnikom na wykonywanie swojej pracy.
  • W razie problemów, zbierzmy informację o danych osób kontrolujących – ich imiona, nazwiska, numery odznak; będą to przydatne informacje w momencie, kiedy będziemy chcieli złożyć skargę na funkcjonariuszy. W przypadku, gdy nasze urządzenie będzie podlegało konfiskacie, zażądajmy odpowiedniego protokołu.
  • Unikajmy dwuznaczności; w wielu przypadkach strażnicy tylko proszą nas o pozwolenie na udostępnienie zawartości naszych sprzętów. W przypadku jakiejkolwiek skargi trudniej będzie się odwołać, kiedy sami wyraziliśmy na coś zgodę, dlatego warto dopytać agentów na granicy, aby wyjaśnili, czy proszą nas o pozwolenie, czy nakazują nam udostępnić sprzęt.

Funkcja IOD - to się dobrze przekazuje

Co, jeżeli odmówimy?

Możemy być albo nie być wpuszczeni do kraju, do którego chcemy się udać. Może także zdarzyć się sytuacja, iż zostaniemy wpuszczeni, ale nasz sprzęt zostanie zarekwirowany na długie miesiące. W tym czasie nie będziemy mieć dostępu do urządzenia, ani danych na nim. Musimy liczyć się z tym, że zostaniemy odznaczeni w systemie kontroli i podczas następnych wizyt w danym kraju zawsze będziemy poddawani kontroli.

Oczywiście zdarzają się odstępstwa od normy i jeżeli posiadamy uzasadniony powód, aby nie okazywać zawartości naszych danych (np. zabraniają nam tego wewnętrzne procedury pracodawcy, szczególnie wrażliwa korespondencja, np. prawnik-klient, lekarz-pacjent itp.), możemy przekonać agentów granicznych do wpuszczenia nas na terytorium państwa bez ingerencji w naszą prywatność.

Jak możemy zabezpieczyć naszą prywatność?

  • Korzystanie z chmury

Przede wszystkim zastanówmy się, czy wrażliwe informacje, które posiadamy na naszym urządzeniu – a nie chcemy, aby miały do nich dostęp chociażby służby graniczne innego państwa – są nam potrzebne podczas podróży. Być może dobrym sposobem byłoby usunięcie ich z pamięci naszego urządzenia, a na czas podróży – przechowywanie ich np. w chmurze. Postarajmy się wybrać bezpiecznego dostawcę, a przed przesłaniem ich do wybranego Cloud’a zaszyfrujmy dane. Po kontrolach na lotnisku i dotarciu na miejsce docelowe bez problemu będziemy mogli uzyskać do nich dostęp.

Nawet gdyby podczas podróży dane byłyby nam w którymś momencie potrzebne, wystarczy dostęp do Internetu, aby uzyskać cenne dla nas informacje. Oczywiście, należy usunąć z urządzenia wszelkie pliki, odnośniki czy linki sugerujące, iż jakąś część danych możemy trzymać u zewnętrznych dostawców.

Pamiętajmy, że często samo wybranie opcji „usuń” nie wystarczy. W szczególnych przypadkach urządzenie może zostać zarekwirowane, a dane – odzyskane przy wykorzystaniu rozmaitych technik. Najlepszym rozwiązaniem byłoby posiadanie laptopa przeznaczonego tylko do używania podczas podróży. Nie posiadałby on żadnych wrażliwych danych, dzięki czemu nie musielibyśmy nigdy specjalnie przygotowywać naszego głównego urządzenia do podróży. Zabezpieczyłoby to również nas przed kradzieżą czy zniszczeniem naszego sprzętu.

CZYTAJ WIĘCEJ: Jak trwale usunąć dane?
  • Bezpieczne przeglądanie Internetu – tryb incognito

Nawet jeżeli wyczyścimy historię przeglądanych stron z poziomu przeglądarki, dane o nich mogą pozostać na dysku. Warto wtedy używać trybu prywatnego/incognito. Aplikacje działające w tym trybie nie zapisują historii przeglądanych stron na dysku, przez co ślad po naszej aktywności w Internecie jest bardziej ograniczony.

Chcę zaryzykować i nie pozwolę na kontrolę mojego laptopa na granicy.

Warto zabezpieczyć się na ewentualność, kiedy strażnicy, co prawda, wpuszczą nas do kraju, ale postanowią na jakiś czas zatrzymać nasze urządzenie do weryfikacji.

  • Szyfrowanie urządzenia

Nie mylmy szyfrowania urządzenia, jego pamięci z ustawieniem hasła blokującego dostęp do komputera. Oczywiście, kontrola dostępu do urządzenia – jego systemu jest ważna, ale nawet pomimo niej dane znajdujące się na dysku nie są zaszyfrowane, a więc nadal istnieje duże ryzyko nieautoryzowanego dostępu do naszych danych.

Warto używać metod gwarantujących pełne szyfrowanie dysków urządzeń opierających się na sprawdzonych algorytmach (np. AES) oraz odpowiedniej długości klucza (przynajmniej 128-256 bitów w przypadku algorytmu AES), tak aby żadne inne urządzenie czy oprogramowanie nie mogło uzyskać dostępu do naszych danych bez odpowiedniego klucza zabezpieczeń. Będzie to jedna z podstawowych metod obrony naszej prywatności podczas konfiskaty sprzętu.

To wystarczające rozwiązanie, aby zabezpieczyć nasze dane, nie tylko w przypadku ewentualnej kontroli, ale także fizycznej utraty sprzętu.

  • Silne hasła

Nie ma głupich pytań RODO.
Są darmowe odpowiedzi

Skorzystaj z bezpłatnej porady prawnej lub IT.
MAM PYTANIE
Używajmy długich haseł; pamiętajmy, aby były one złożone i w żaden sposób nie powiązane z nami. Dobrze, jeżeli jest to przynajmniej 12-znakowy ciąg losowych liter, cyfr oraz znaków. Do generowania i przechowywania haseł polecamy używania managerów haseł potrafiących wygenerować trudne, złożone hasła, zgodne z wybraną przez nas metodą oraz długością klucza.

Pamiętajmy, że silne hasła mają kluczowe znaczenie dla szyfrowania oraz ochrony dostępu do naszych aplikacji czy chmury.

  • Aplikacje instalowane na telefonie

Mimo, iż niektóre aplikacje zapewniają pełne szyfrowanie, to w momencie, kiedy agent graniczny uzyska dostęp do naszego urządzenia, a co za tym idzie – do konkretnej aplikacji- komunikatora, będzie mógł odczytać nasze wiadomości zapisane w postaci zwykłego tekstu. Dobrym rozwiązaniem byłoby wylogowanie się z danych aplikacji oraz chwilowe ich usunięcie oraz wszelkich związanych z nimi plików z pamięci urządzenia.

  • Kopie zapasowe

Podczas podróży mogą czekać nas rozmaite sytuacje; być może będziemy chcieli szybko usunąć dane, a backup da nam poczucie bezpieczeństwa, gdyż będziemy w stanie je odzyskać. W momencie, kiedy podczas kontroli nasze dane ulegną zniszczeniu albo sprzęt zostanie ukradziony, również będziemy w stanie odzyskać cenne dla nas informacje.

Pamiętajmy również o kopiach zapasowych kluczy odzyskiwania do naszego managera haseł oraz programu szyfrującego nasze dane.

  • Wyłącz urządzenie przed przekroczeniem granicy

W przypadku, gdy nasz sprzęt ulegnie przejęciu przez strażników, będą oni na starcie pobawieni kilku metod wyodrębnienia naszych haseł do urządzenia oraz odszyfrowania danych.

Byłeś kontrolowany na granicy? Zmień hasła!

Jeżeli kiedykolwiek byliśmy przesłuchiwani na granicach, a przy tym podawaliśmy swoje hasła agentom, natychmiast je zmieńmy. Według Rejestru Federalnego w USA, dane w tym systemie, a w tym hasła podróżnych wprowadzane do tego systemu, mogą być przechowywane nawet do 75 lat albo przez czas trwania „innych działań związanych z egzekwowaniem prawa”.

Aby lepiej zobrazować wagę i skalę gromadzonych przez agentów granicznych informacji posłużę się historią Kanadyjczyka – pana Andre. W październiku 2016 r., podczas przekraczania granicy, służby poprosiły go o sprzęt elektroniczny oraz wszelkie hasła. Mężczyzna przekazał informację agentom i przez dwie godziny jego cyfrowe życie zostało prześwietlone.

Po inspekcji sprzętu Kanadyjczyk był szczegółowo wypytywany o historię wymienianych mejli, odwiedzanych stron internetowych oraz zainstalowane aplikacje. Według relacji pana Andre, najbardziej upokarzające były szczegółowe pytania o aplikację SCRUFF, która jest poświęcona gejom. Wskutek przesłuchania Kanadyjczyk zrezygnował z wjazdu na teren USA.

Po miesiącu pan Andre znów chciał dostać się do USA i znowu został wytypowany do kontroli. Co ciekawe, funkcjonariusze poprosili o urządzenia, ale nie zapytali o hasła. Jak łatwo się domyślić, nadal mieli je zapisane w swoim systemie. Kanadyjczyk wyczyścił wcześniej pamięć urządzenia, co służby uznały za podejrzane wobec ostatniej kontroli i nie wpuściły mężczyzny do USA.

Opisany w artykule problem znów stawia nas przed konfliktem „bezpieczeństwo kontra prywatność”. Aby nie demonizować amerykańskich agencji, warto również odnotować, iż kontrola urządzeń elektronicznych odbywa się na podstawie określonych procedur, przeprowadzana jest również ocena wpływu tych działań na prywatność (Privacy Impact Assessment) – pytanie, na ile te przepisy są przestrzegane przez poszczególnych strażników.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".