Dynamiczny rozwój mediów społecznościowych, coraz większa świadomość wagi informacji jako zasobu oraz naturalna potrzeba człowieka do ochrony prywatności, przekładające się na kolejne regulacje prawne, normy i standardy, w tym ISO powodują, że specjaliści bezpieczeństwa informacji, ochrony prywatności czy danych osobowych zaczynają się czuć jak na kolejce górskiej. Chaos pogłębiać może też różne definiowanie zjawisk, stanów, zagadnień w przepisach prawa, standardach i normach międzynarodowych.
W artykule porównamy ochronę danych osobowych z prywatnością, wskazując, że cele ustanowienia ochrony tych dwóch obszarów wcale nie są identyczne, a jedynie zbieżne w niektórych przypadkach. I nie można przyjąć założenia, że ochrona danych jest tym samym, co ochrona prywatności. Aspektowi definicji prywatności z innych krajów poświęcimy inny artykuł.
RODO a prywatność
Celem RODO jest ochrona osoby fizycznej w związku z przetwarzaniem jej danych osobowych, ale czy to oznacza, że celem jest też ochrona prywatności? Zacytujmy dwa przepisy z Konstytucji, które mówią o prawach i wolnościach:
Art. 47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.
Oraz drugi przepis:
Art. 51.
Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Nieco na skróty potraktujmy, że RODO = Ustawa, w przeciwnym razie artykuł zmieni cel i będzie omawiał źródła prawa w Polsce. A nie taka jest jego intencja.
Prywatność w naszym potocznym (i nie tylko) rozumieniu to art. 47. Natomiast RODO spełnia już w art. 5 (zasady fundamentalne), 6, 9 i 10 (podstawy przetwarzania danych osobowych) wymagania z art. 51, a więc ochrony osoby w związku z przetwarzaniem jej danych.
RODO a prywatność – cz. 1
Spójrzmy do RODO i zacznijmy od przesłanek, czyli podstaw przetwarzania. Są to okoliczności, które zezwalają na przetwarzanie danych. Jedna z nich, chyba najbardziej kontrowersyjna w kontekście prawa do prywatności to prawnie uzasadniony interes administratora:
Art. 6.1.f – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Na podstawie tej przesłanki wykonujemy test równowagi, który jest elementem oceny w pełni uzasadnionego prawnie interesu administratora. Gdy interes administratora „wygra” w analizie, dane będą przetwarzane. Przesłanek, które zezwalają na przetwarzanie danych, nawet wbrew sprzeciwowi osoby, której dane dotyczą, jest więcej. Jednak już ta jedna powinna udowodnić, że prywatność nie jest celem RODO; może być naruszona, jeśli interes prawny administratora lub strony trzeciej zostanie uznany za nadrzędny.
RODO a prywatność – cz.2
Art. 25 – wiele osób tłumaczy zapisy tego artykułu na j. angielski jako privacy by default – prywatność domyślnie i privacy by design, czyli prywatność w fazie projektowania, podczas gdy sam tytuł artykułu brzmi:
Artykuł 25
Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych
Szukając dalej prywatności w RODO, w wersji angielskiej nie ma mowy o prywatności, a właśnie o ochronie danych:
Article 25
Data protection by design and by default
Bardziej poprawnym działaniem, opisanym w anglojęzycznych materiałach, standardach i wytycznych jest security by design i security by default. Oznacza ochronę w fazie projektowania i ochronę ustawioną domyślnie, co spełnia wymagania RODO. Privacy, a więc prywatność może automatycznie być niezgodna z celem przetwarzania, np. z tym opartym o art. 6.1.f RODO, w związku z tym nie może stanowić podstawy domyślnej ochrony w fazie projektowania, bo nie o nią chodzi, a o ochronę osoby fizycznej.
RODO a prywatność – cz.3
Motyw 4 również wskazuje na to, że prywatność i ochrona danych to dwa różne obszary ochrony:
Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych – zapisanych w Traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego.
Holistyczne podejście – czyli jak pogodzić RODO, prywatność i bezpieczeństwo informacji firmy.
Holistyczne podejście do bezpieczeństwa jest ideą, jaką wdrażamy we wszystkich naszych działaniach. Polega na „otwieraniu drzwi”, a więc identyfikacji wszystkich prowadzonych działań, szukaniu synergii i rozumieniu powiązań. Na podstawie tej identyfikacji możliwe jest określenie zabezpieczeń dla wiodącego obszaru, ale oddziałujące też na inne obszary ochrony, dla których nie były dedykowane. Tak jest między innym z RODO i prywatnością. W obszarach, w których prywatność jest „zgodna” z RODO (ten sam obszar ochrony, narzędzia, rozwiązania), zabezpieczenia wdrażane na podstawie wymagań przepisu o ochronie danych dostarczają bezpieczeństwa w obszarze prywatności. Mimo tego efektu nadal systemy te mają dwa różne cele. Podobnie jest np. we wdrożeniach ISO 27000. System zarządzania bezpieczeństwem informacji (SZBI) oparty o ISO 27001 ma przede wszystkim chronić przedsiębiorcę, który go wdraża. Celem ochrony są interesy, w tym ekonomiczny, reputacja i inne, opisane w trakcie tworzenia zakresu systemu (jeden z etapów). Ochrona danych osobowych, a nawet ochrona prywatności są rozpatrywane z punktu widzenia firmy, nie osób.
Zestrojenie interesu, a więc ochrona przed utratą atrybutów (poufność, dostępność, integralność) danych osobowych, informacji prywatnych i informacji firmowych objętych tajemnicą przedsiębiorstwa nie oznacza zmiany celu wdrożenia systemu. Nadal ochrona jest przewidziana dla firmy, nie dla osoby, której dane dotyczą. To, że rozwiązania spełniają wymagania RODO czy ochrony prywatności jest po prostu celem synergicznym, nie celem głównym.
Przykładowo wdrożenie rozwiązań opartych o ISO 27701 rozwija tylko kwestie ochrony danych, w tym zakresie zapewnienia prywatności, ale w celu, dla którego SZBI został ustanowiony, a nie w celu, który został określony w przepisie prawa. ISO 27701 jest normą z rodziny norm ISO 27000, a nie samodzielnym bytem. Ochrona prywatności to norma ISO 29100 i powiązane z nią normy. Niemniej, to nadal będzie prywatność, a nie ochrona danych osobowych.
Przykłady:
- Bank i zdolność kredytowa. Wymagane jest podanie informacji o ilości osób na utrzymaniu, czy informacji o sytuacji ekonomicznej. Czy prywatność jest zapewniona?
- COVID19 i epidemia. Obowiązkowe przykazywanie informacji, z kim się miało kontakt w ostatnich godzinach. Czy prywatność jest zapewniona?
RODO zezwala na te dwa działania wprost. A jest ich zdecydowanie więcej.
Podsumowanie
RODO, prywatność, ochrona informacji nie są łatwymi zagadnieniami. Aby się po nich precyzyjnie poruszać, warto pamiętać o jednej, fundamentalnej zasadzie:
Cel systemu determinuje efekty, jakie chcemy uzyskać.
Wdrażając RODO, nie uzyskamy ochrony prywatności w 100%, bo są wyjątki, które zezwalają, a nawet nakazują jej naruszenie. Wdrażając SZBI oparte o ISO 27001, rozwijane z ISO 27701 nie wdrożymy ochrony danych osobowych w 100%, bo celem jest ochrona organizacji, a nie osoby, której dane dotyczą czy prywatności jej danych.
Obserwując burzę wokół RODO, można dojść do wniosku, że przyjęto jako zasadę, iż dane osobowe mają chronić zawsze w 100% osobę, której dane dotyczą, a więc prywatność jest zrównana z ochroną osoby fizycznej w związku z przetwarzaniem danych. Niestety, to nie ten zakres ochrony, o czym mówią wspomniane przesłanki zawarte w art. 6, 9 i 10 RODO, które w wielu przypadkach naruszać będą prywatność, zezwalając lub wręcz nakazując (przepisy epidemiczne). Naruszenie to nie zawsze będzie oparte na zgodzie, bo wspomniana wyżej umowa z bankiem o kredyt ma zupełnie inną podstawę.
Zrozumienie tej różnicy w celach ochrony jest fundamentem prawidłowego i poprawnego wdrożenia RODO w organizacji. W przeciwnym razie możemy mieć do czynienia z Żandarmem, o którym pisałem w artykule na RODOmaniakach. Żandarm nie zwraca uwagi na cel administratora, zawsze w domyśle stawiając wyżej cel, jakim jest niemalże bezwzględna ochrona informacji o osobie. A to nie o to chodzi w RODO.
