Imię i nazwisko jako dane osobowe

Imię i nazwisko jako dane osobowe i.. nie tylko…

Temat jest w sumie głębszy, bo dotyczy wszelkich identyfikatorów, czy danych nadanych osobom. A więc numerom PESEL, imieniu i nazwisku, pseudonimowi, numerom kadrowym i innym.

Gdzie leży błąd?

Błędem w interpretacji co jest daną osobową, a co może być daną jest tutaj kwestia identyfikacji, którą wielu specjalistów uznaje za być albo nie być danych osobowych. A tymczasem to nie tak, bo mamy art. 11 RODO, który brzmi:

Artykuł 11

Przetwarzanie niewymagające identyfikacji

  1. Jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do niniejszego rozporządzenia.
  2. Jeżeli w przypadkach, o których mowa w ust. 1 niniejszego artykułu, administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.

Przepis ten oznacza, że w praktyce mogą występować dane osobowe, które nie identyfikują osoby. Dodatkowo administrator nie ma obowiązku pozyskać dodatkowych informacji (danych) tylko po to, aby spełnić wymagania RODO. Tak jest między innymi z numerem PESEL, który bezsprzecznie jest daną osobową, jak i imieniem i nazwiskiem.

Artykuł ten dotyczy fundamentów ochrony danych osobowych, który łączy się z wcześniej napisanym artykułem o identyfikatorach rzeczy, w tym o tablicach rejestracyjnych. Po tamtym artykule było wiele dyskusji w social mediach o rozumieniu danych osobowych. Dlatego podsumowując ten mikro-cykl dwa zdania wyjaśnienia czy tez klasyfikacji.

Dane osobowe występują w różnych formach i w związku z tym wymagają konkretnych działań. Mogą to być dane:

  • Dotyczące zidentyfikowanej osoby, ale administrator nie zawsze ma obowiązek ją identyfikować w swoich procesach (PESEL, imię i nazwisko),
  • Umożliwiające identyfikację osoby, w tym np. identyfikatory osoby (PESEL, imię i nazwisko) oraz identyfikatory rzeczy (np. numer rejestracyjny) występujące łącznie jako dane identyfikujące.
  • Dane dotyczące zidentyfikowanej osoby, nie będące bezpośrednio danymi osobowymi samoistnymi (identyfikatorami osoby) takie jak auto służbowe, miejsce wykonywania pracy, zakres zadań.

Podsumowanie

Zrozumienie tych fundamentów jest niezbędne do poprawnego zabezpieczenia danych osobowych. Pojawia się tutaj np. odpowiedź na „peselozę” Urzędu Ochrony Danych Osobowych, który wprost nakazuje ochronę numeru PESEL, niezależnie od różnych okoliczności. Wynika to z faktu, że numer PESEL jest numerem nazwijmy to o charakterze publicznym. Zastosowanie anonimizacji jako zabezpieczenia nie odniesie takiego skutku, jak w przypadku np. danych kadrowych i nadanego numeru SAP-143456_pl. Odczytanie numeru kadrowego wymaga dostępu do sieci przedsiębiorstwa i systemu, który wiąże te numery, podczas gdy numer PESEL występuje w wielu różnych miejscach i nie zawsze jest to tylko baza PESEL. Z tego powodu wyłączeniu z art. 11 podlegają tylko prawa osoby (informowanie, sprzeciw, ograniczenie, zapomnienie), pozostałe przepisy RODO należy stosować, aby nie doszło do sytuacji, w której wyciek danych numeru PESEL z określoną transakcją da się powiązać z osobą za pomocą wpisu do KRS.

Wdrożenie RODO – cykl szkoleń

Cykl powstał w celu zbudowania szkolenia obejmującego kompletne wdrożenie systemu ochrony danych osobowych w praktyce. Złożony jest z mikro-szkoleń dostępnych na naszej platformie oraz webinarów on-line. Po zakończeniu całego cyklu uczestnik będzie dysponował pełną wiedzą praktyczną w jaki sposób wdrożyć skuteczny system ochrony danych osobowych. Takie wdrożenie pozwala na realizowanie celów biznesowych lub organizacji, bez obaw o kontrole organów nadzorczych. 

W naszym przedsięwzięciu skupiamy się na tym, aby system był w pełni zaprojektowany i zrealizowany zgodnie z wymaganiami, a nie tylko w celu przygotowania się na kontrole i zaspokojenia potrzeb organu nadzorczego czy na dostosowany do orzeczeń sądów. Organ jest jednym z wielu interesariuszy w systemie ochrony danych osobowych, a przepis prawa jest prawem ochrony danych, a nie pełną ochroną. O prawie również będzie, tam gdzie być musi 

Częstotliwość spotkań

Spotkania w ramach webinarów odbywają się co dwa tygodnie, zgodnie z harmonogramem niżej. Celem około godzinnych webinarów jest omówienie treści, którą następnie uczestnik przerabia w ramach mikro-szkolenia. Po zakończeniu każdego z nich przeprowadzany jest test, który sprawdza wiedzę. 

Harmonogram webinarów i mikro-szkoleń w sezonie 1 (styczeń – marzec 2023). 

Poniżej przedstawione są spotkania oraz mikro-szkolenia zaplanowane na najbliższy kwartał. Mikroszkolenia dostępne będą od dnia spotkania on-line.

  • 17 stycznia, godz. 17:30 – cel przetwarzania danych osobowych. 
  • 31 stycznia, godz. 17:30 – inwentaryzacja, identyfikacja i wartościowanie danych osobowych.
  • 14 lutego, godz. 17:30 – dobór podstaw prawnych przetwarzania (zagadnienia podstawowe). 
  • 28 lutego, godz. 17:30 – Ryzyko w RODO – źródła ryzyka, analiza zagrożeń.
  • 14 marca, godz. 17:30 – Ryzyko w RODO – identyfikacja skutków dla osoby, której dane dotyczą. 
  • 28 marca, godz. 17:30 – Ryzyko w RODO – zarządzanie zabezpieczeniami.

Dalsze szkolenia będą podane pod koniec lutego. Nie chcemy, aby ktoś skopiował naszą wiedzę i podejście. Łącznie szkoleń w całym cyklu będzie około 15. Pierwsze 6 szkoleń prowadzonych jest krok po kroku, pojawiają się tzw. szkolenia wstępne. Oznacza to, że aby przejść do kolejnego szkolenia należy poza zakupem ukończyć szkolenie wstępne z wynikiem co najmniej 70%.  

Zapisy

Zapisy są możliwe poprzez zapis na webinar o danej tematyce, najłatwiej przez stronę Kalendarz. W cenie produktu czyli 79 złotych jest wówczas udział w wydarzeniu oraz dostęp do szkolenia. Drugim wariantem jest zakupienie samego szkolenia w cenie 60 złotych za jedno (mikro)szkolenie. Dostęp przez stronę szkolenia

Zapraszamy!

 

Prace techniczne – 24-27 grudnia

⚙️ Zmiany, zmiany, zmiany

Szanowni nasi #RODOmaniacy. Zakładamy, że musicie czasem odpocząć, naładować baterie i po prostu pobyć z Rodzinami, Bliskimi, osobami dla was Ważnymi. W tym czasie wyłączymy nasz serwis…

🤔 A jak wrócicie to już nic nie będzie tak samo…

Wyłączeniu ulega:

🛠️ Strona informacyjna – serwis pod adresem https://rodomaniacy.pl

▶️ Sklep internetowy – niemożliwe będą zakupy w sklepie w tym czasie.

Do zobaczenia wstępnie 27.12, ale może przedłużymy do 2 stycznia. Pracy mamy naprawdę dużo.

🎄 Dla tych, którzy obchodzą te święta jako osoby wyznające wiarę – Zdrowych, wesołych Świąt Bożego Narodzenia.

🎉 Dla tych, którzy nie obchodzą, dużo wypoczynku, spotkań i luzu.

Fundamenty w RODO

Dzisiejszy temat wynika z ciekawych dyskusji o RODO w różnych miejscach w sieci. Na tyle zaskakujących, że chyba wrócimy na łamach RODOmaniaków do podstaw. Dziś pierwsze z nich. Naprawdę fundamentalne i trochę historyczne. Mam nadzieję, że wstęp osadzony w fundamentach ekonomii pozwoli zrozumieć istotę zarządzania bezpieczeństwem informacji. Z których tylko część jest chroniona w oparciu o RODO, część w oparciu o inne wymagania prawne, a inne z przyczyn czysto ekonomicznych firm, organizacji czy państw. 

Czynniki produkcji – fundamenty ekonomii, czyli po co są nam informacje?

W klasycznej teorii ekonomii wyróżnione są trzy główne czynniki produkcji. Kapitał, praca i ziemia (zasoby ziemi). Dopiero w latach 70-tych ubiegłego wieku zaczęto dostrzegać informację jako coś, co również powinno zostać włączone w czynniki produkcji. Na początku była to wiedza – jak przekształcić kapitał, pracę i ziemię w produkt. Od tego czasu rozwój nauki o zarządzaniu informacjami przyspieszył. W latach 80-tych (niedługo później) dostrzeżono, że informacja może stanowić o przewadze konkurencyjnej. Po prostu jedne przedsiębiorstwa z podobnych czynników potrafiły zrobić coś super, a inne nie radziły sobie. 

Pierwsze standardy bezpieczeństwa informacji

Raport techniczny wydany jako Polska Norma

Wraz z rozwojem systemów zarządzania informacjami, systemów klasyfikowanych jako MIS – management information systems, które w tamtych czasach zaczęły wymuszać rozwój IT dostrzeżono wiele poważnych problemów i zagrożeń z tym związanych. ISO (Międzynarodowa Organizacja Standaryzacyjna) wraz z IEC (Międzynarodowa Komisja Elektrotechniczna) już w 1996 roku wydały raporty techniczne serii ISO/IEC 13335 – łącznie 5 zeszytów. Mówiły one o bezpieczeństwie informacji w systemach IT. Warto pamiętać to oznaczenie, ponieważ były to raporty poprzedzające normy serii ISO 27000. Nie jest to jedyny prekursor normy. Wielka Brytania w 1995 roku wydała standard brytyjski – BS 7799 (dwa zeszyty). To ten numer, który przez lata był nadany polskiej normie ISO 17799 i powodował co najmniej ból głowy. 

Polska nie była gorsza

Materiał poglądowy z TISM wersja 1.4.

Nieco później pojawiła się polska metodologia nazwana TISM – Total Information Security Management. Obok niej był również ciekawa publikacja TSM – Total Security Management, opracowanie celujące w bezpieczeństwo operacyjne (tak nazwane w tamtych czasach), a związane bardziej z ciągłością działania. TISM próbowałem użyć wdrażając system ochrony danych osobowych oraz bezpieczeństwa informacji w jednej z instytucji administracji rządowej w 2001 roku, jednak poziom skomplikowania na tamte czasy był zbyt duży. 

A co z danymi osobowymi?

Strona tytułowa poradnika GIODO z 2007 roku.

Tak, tutaj też nie byliśmy z tyłu. Generalny Inspektor Ochrony Danych Osobowych wydał kilka poradników z cyklu “ABC”. Było o podstawach danych, o ochronie, był również o transferze danych do państw trzecich. Co ważne, te informacje były mocno oparte o rozwiązania w zakresie bezpieczeństwa informacji, czerpały wiedzę ze środowisk zajmujących się ochroną informacji.

Nie tylko GIODO działało prężnie (choć może tego nie było widać). Również branża była aktywna. W podobnym czasie powstał UODO Survival Kit – narzędzie opracowanie przez zespół ODOSI, które było nazwane wytyczną.

Strona tytułowa UODO survival kit – v. 2.1

Tak naprawdę było to bardzo ciekawe narzędzie do audytowania systemów.

Zarządzanie informacjami

Po tym rysie historycznym o rozwoju nauki o bezpieczeństwie informacji oraz o ochronie danych osobowych czas na dwa zdania dotyczące informacji. W publikacjach występuje wiele opisów cyklu życia informacji. Ten, który mi odpowiada spełnia zasadę:

Coś jest kompletne wtedy, gdy nie da się z tego już nic odjąć, a nie dodać. 

Cykl życia informacji

Cykl o podobnym przebiegu nałożony jest na procesy biznesowe w jednym z poradników nowego już Urzędu Ochrony Danych Osobowych. Zawiera cztery podstawowe etapy:

  • Wytworzenie, pozyskanie informacji
  • Wdrożenie informacji do użytkowania
  • Użytkowanie informacji
  • Wycofanie informacji, zniszczenie.

Ten cykl jest kluczowy do zrozumienia tzw. atrybutów bezpieczeństwa informacji. 

Bezpieczeństwo informacji – atrybuty bezpieczeństwa informacji

W literaturze oraz w RODO jest mowa tylko o trzech atrybutach. Są to:

  • Poufność
  • Integralność
  • Dostępność

Specjaliści bezpieczeństwa informacji wykorzystują więcej aspektów, które nie są bezpośrednio związane z informacjami, ale z ich bezpieczeństwem. Są to w zależności od potrzeb. 

  • Autentyczność
  • Niezaprzeczalność
  • Niezawodność

Atrybuty służą nam do opisu informacji, która jest bytem niefizycznym. Jest wyrażona na nośniku lub w innej formie (np. wypowiedziana). Bez nośnika nie istnieje, ale to nie znaczy, że zagrożona jest tylko w taki sposób, jak zagrożony jest nośnik. Integralność informacji nie jest zależna tylko od nośnika, tak jak np. dostępność, a raczej utrata w wyniku zniszczenia. 

Ważnym jest, aby zapamiętać z tej części artykułu, że informacja bezpieczna to taka, która posiada wszystkie trzy podstawowe atrybuty bezpieczeństwa informacji:

  • Jest poufna, a więc dostarczana i eksploatowana tylko przez te podmioty i procesy, którym została udostępniona. 
  • Jest integralna, a więc poprawna i jej użycie nie będzie powodowało negatywnych skutków dla procesu (w RODO dla osoby, której dane dotyczą). 
  • Jest dostępna, a więc w czasie w którym oczekujemy jej dostarczenia otrzymujemy ją. Jeśli otrzymamy po tym zadanym czasie znów dojdzie lub może dojść do negatywnych skutków. 

Podkreślam jeszcze raz – aby uznać informację za bezpieczną konieczne jest spełnienie jej wszystkich trzech atrybutów. Dlaczego nie tylko poufność?  

Tajemnica, ochrona

Aby zrozumieć RODO i to czym tak naprawdę jest w środowisku informacyjnym należy omówić pojęcie ochrony oraz tajemnicy. Jest to o tyle ważne, że w środowisku myli się te dwa pojęcia, co ma potem negatywne skutki dla ochrony danych. 

  • Tajemnica – w dużym uproszczeniu jest to zbiór informacji oraz danych, których ujawnienie nieuprawnionym jest zakazane na mocy prawa.
  • Ochrona danych – jest to tak naprawdę ochrona osoby fizycznej w związku z przetwarzaniem jej danych osobowych. Obejmuje zarówno tajemnicę z “definicji” wyżej, jak i pozostałe dwa główne atrybuty – integralność (poprawność) oraz dostępność.

Pomyłka, z jaką często mamy do czynienia skutkuje tym, że w ochronie danych osobowych nadmierną wagę przykłada się do poufności (zachowania tajemnicy) z pominięciem pozostałych dwóch atrybutów. Oznacza to, że ochronę danych zastępuje się tajemnicą danych osobowych.

Dane – informacje – wiedza

Zanim przejdę do podsumowania, ostatni kawałek teorii związanej z zarządzaniem informacjami, a bardziej wiedzą.

  • Dane – to najmniejsze kawałeczki. Wzrost, płeć, wiek.
  • Informacje – to tak naprawdę to, co jest objęte RODO (zresztą w definicji jest to ujęte), a więc dane identyfikujące osobę (zbiór danych tworzący informację dającą możliwość zidentyfikowania osoby) lub te, które dotyczą zidentyfikowanej osoby. W drugim przypadku są to nie informacje, a dane. Każdy najmniejszy kawałeczek, który dotyczy zidentyfikowanej osoby jest daną osobową.
  • Wiedza – obszar “zapomniany” definicyjne w RODO, choć w nim występuje. W art. 9 jest mowa o “danych dotyczących zdrowia”. Nie są to tylko informacje o osobie (dane osobowe) ponieważ do wytworzenia tej wiedzy konieczne są dane i informacje nie dotyczące osoby. A więc te, które pochodzą z medycyny (informacje czym charakteryzuje się choroba bądź schorzenie). Informacje o osobie (dane osobowe) wraz z informacją o “obrazie” choroby (lub zdrowia) budują wiedzę, czy osoba jest zdrowa czy nie. Czyli dostarcza wiedzy o stanie zdrowia.

Subiektywizm wiedzy

O ile dane osobowe, informacje o osobie są dość obiektywne, o tyle wiedza o osobie może być mocno subiektywna. Może być pewnym wyobrażeniem, ale tak to prawodawca określił (szczególnie w art. 9), że teraz musimy się z tym mierzyć.

Podsumowanie

W punktach, aby było przejrzyście:

  • W organizacji wykorzystuje się wiele informacji i danych.
  • Informacje te są chronione z różnych powodów i w różnych formach (tajemnica przedsiębiorstwa, ochrona informacji przedsiębiorstwa, informacje powierzone przez kontrahenta i inne). 
  • Jednym z obszarów ochrony (nie tajemnicy) jest ochrona danych w celu ochrony osoby fizycznej, w związku z przetwarzaniem jej danych. 
  • Dla osób zajmujących się profesjonalnie bezpieczeństwem informacji RODO oznacza wprowadzenie dodatkowej klasyfikacji dla ochrony informacji, z wyznaczeniem celu oraz parametrów tej ochrony. 

Czy numer rejestracyjny jest daną osobową

W mediach przetoczyły się w ostatnim czasie dyskusje dotyczące głośnego orzeczenia NSA, w którym padło stwierdzenie:

Numer rejestracyjny pojazdu nie jest daną osobową. 

Oczywiście, że nie jest. Numer rejestracyjny jest nadany pojazdowi. Analogicznie numer PESEL jest nadany osobie i jest daną osobową (o tym co z PESEL innym razem). 

Czy numer rejestracyjny MOŻE być daną osobową? 

Oczywiście, że tak. Zarówno tą, która identyfikuje osobę, jak i tą, która dotyczy zidentyfikowanej osoby. Co ważne, auto wcale nie musi być własnością osoby, aby ją identyfikować. Brzmi skomplikowanie, jednak nie jest skomplikowane. Po prostu wymaga zrozumienia RODO i zasad ochrony danych osobowych. Szczególnie tego, że nie jest to matematyka i aksjomaty, a zrozumienie po co i w jakim celu przetwarzamy dane (kawałki i składowe informacji). Które mogą być danymi osobowymi.

Różne konteksty

Zanim przejdę do kilku przykładów, które mają za zadanie nie tylko udowodnić, że numer rejestracyjny może być danymi osobowymi (nie że jest) a jeśli nawet jest, to RODO nie wymaga wobec nich niczego, warto zrozumieć jedną istotną kwestię. Dane osobowe poza tym, że dotyczą osoby zidentyfikowanej (jeden z typów) lub umożliwiają identyfikację osoby (drugi z typów) mogą jeszcze mówić coś o osobie fizycznej. Nie tylko identyfikować, nie tylko dotyczyć, ale wprost informować. Model dane-informacje-wiedza-mądrość omówię w przyszłości. Dziś warto pamiętać, że dane osobowe, to nie tylko te, które identyfikują, te które dotyczą zidentyfikowanej osoby (czyli jak mówi definicja), ale też i te, które mówią coś więcej. A więc tworzą nie tylko informacje o osobie, ale też wiedzę, która z tych informacji jest wytworzona. 

Ta wiedza nie jest tak bardzo wyraźnie opisana w RODO, które kończy na informacjach o osobie (dość niefortunnie, a nawet błędnie nazywanych łącznie danymi osobowymi). Przykłady wiedzy o osobie znajdziemy zarówno w motywie 75, który stanowi czy stanowić powinien podstawę do szacowania skutków jak i np, w art. 9. Mowa o zapisach, które odnoszą się do sytuacji ekonomicznej osoby czy stanu zdrowia, czy wyniku profilowania – preferencje zakupowe. Nie są to suche informacje, a bardziej wiedza o osobie fizycznej zbudowana na podstawie informacji, które zostały wytworzone na bazie danych jednostkowych. Ale… nie tylko tych, które stanowią dane osobowe. 

Teorię rozwinę innym razem, czas na praktykę. Kilka przykładowych okoliczności. 

Urzędnik wydziału ruchu drogowego

Rejestracja pojazdu na osobę fizyczną. Na podstawie danych: marki, modelu tworzy wiedzę (może tworzyć) na temat sytuacji ekonomicznej osoby rejestrującej pojazd. To jaka to jest sytuacja wynika z dodatkowych informacji np. o wpisie współwłaściciela pojazdu, którym może być instytucja finansująca. Wnioski urzędnika nie są informacją, są wnioskami czyli czymś, co nazywane jest wiedzą. Wiedza nie musi być precyzyjnym wyrażeniem okoliczności, jest raczej opisem stanu na który składają się interpretacje danych – samodzielny właściciel, stać go na auto w danej klasie. Wiedza nie jest precyzyjnym wyrażeniem stanu, a raczej wnioskiem na podstawie informacji. 

Dla porównania informacje o stanie zdrowia, a tak naprawdę w rozumieniu RODO wiedza o stanie zdrowia. Dane to jednostkowe wyniki badań, które łącznie składają się na informacje np. dotyczące chorób układu krążenia. Informacja o chorobach układu krążenia wraz z informacją o wieku osoby może wskazywać na to, jaki jest ogólny dobrostan osoby, ale aby uznać, czy osoba jest w dobrym stanie konieczne jest nam jeszcze nieco więcej, a więc wiedza branżowa (informacje branżowe), czyli to jak interpretować takie wyniki. Dopiero wtedy możemy powiedzieć jaki jest stan zdrowia osoby, czyli wytworzyć wiedzę o osobie. 

Wracając do przykładu i tym razem NIE dane osobowe. Co powie urzędnikowi rejestracja pojazdu na firmę (leasing)? Znów może wytworzyć wiedzę (po zasileniu dodatkowymi informacjami np. komu udzielany jest leasing i czy tak łatwo) o sytuacji ekonomicznej osoby rejestrującej pojazd. Ale TYLKO gdy jest to jednoosobowa działalność gospodarcza. Przy innych podmiotach naprawdę trudno cokolwiek powiedzieć. 

Pracownik ochrony i numer rejestracyjny

Zacznijmy od danych w postaci numeru rejestracyjnego. Nadal jest to identyfikator pojazdu czy zestawu pojazdów (numery). Nie osoby fizycznej. Zależnie jednak od tego, gdzie ów pracownik ochrony pracuje dane te będą dostarczać informacji, a czasem wiedzy o:

Tym, że ktoś ma prawo parkować na danym parkingu. Ma prawo korzystania z lokalu, ale nie o tym, że jest właścicielem, więc o sytuacji ekonomicznej niewiele. Gdy ów pracownik będzie dysponował kontaktem do przedstawiciela firmy wynajmującej lokal dowie się, gdzie użytkownik lokalu korzystający z miejsca parkingowego pracuje (lub być może pracuje, bo może to być kolega prezesa lub brat i korzystać tak po prostu). Są to dalej dane osobowe, ale nadal tylko dotyczące osoby, a nie dostarczające wiedzy o osobie.

Kierowca ma uprawnienia do prowadzenia zestawu pojazdów (uprawnienia przy konkretnym typie pojazdu). Tym autem jeździ Zenek (kryptonim operacyjny). Tu mamy raczej do czynienia z danymi osobowymi i informacjami o osobie. Jest też wiedza o osobie, kierowca prowadzący zestaw ciągnik + naczepa jest zawodowym kierowcą ponieważ do prowadzenia takiego zestawu niezbędne są uprawnienia w postaci prawa jazdy kategorii C+E oraz świadectwo kwalifikacji. Te informacje o wymaganiach będące podstawą wytworzenia wiedzy są zestawem nie związanym z osobą, a wynikające z przepisów prawa i łącznie z zapisem w CMR (dokumenty przewozowe) będzie nam dostarczać wiedzy – to zawodowy kierowca. Nadal jednak jest to wnioskowanie, a nie informacja bezpośrednia (są to dane przetworzone). 

Krótkie podsumowanie

Dla wielu osób opis powyżej może być dość skomplikowany, co mnie nie dziwi specjalnie. RODO i jego otoczenie konsultingowe charakteryzuje się próbą uproszczenia rozumienia danych, co tak naprawdę nie jest dopuszczalne. O tym, że nie jest dopuszczalne mówi konieczność rozważania kontekstu przetwarzania, którego przykładowy zakres znajdziemy w art 88 RODO. Tam mamy czynniki, które składają się przetwarzanie danych osobowych w kontekście zatrudnienia. Przykład z kierowcą – to przetwarzanie danych w kontekście świadczenia usługi transportowej. A więc nie jest tak prosto. 

Natomiast uznawanie, że identyfikator przedmiotu jest daną osobową prowadzi naprawdę na manowce. 

MOŻE BYĆ, a nie JEST. 

Podobnie jest z numerem IP urządzeń, czy numerem biletu. To są identyfikatory konkretnych przedmiotów (materialnych lub nie), a nie osób. Inaczej dojdziemy do wniosku, że numer seryjny lodówki jest daną osobową samoistną. Bo zakupił ją konkretny człowiek. Pralka, suszarka, odkurzacz też, telefon, czy wszystko inne co ma nadane unikalne numery. Nie, to nie są dane osobowe same w sobie. One MOGĄ nimi być. 

Dla osoby identyfikatory, które są wprost daną osobową to nadany jej numer. Nie tylko PESEL, bo tak samo unikalne numery nadawane są w systemach kadrowych, płacowych, sklepach internetowych. To są identyfikatory osoby – wprost dane osobowe, bo są nadane osobie. Ale na to będzie inny artykuł, bo to też nie jest tak, że do nich wszystkich musimy stosować RODO. Mamy przepisy o przetwarzaniu danych nie wymagających identyfikacji. O czym wielu specjalistów chyba zapomniało. 

Wiążące reguły korporacyjne

Na stronie Urzędu Ochrony Danych Osobowych można przeczytać o przyjęciu nowych wytycznych w sprawie wiążących reguł korporacyjnych. W wytycznych pojawia się nowy wzór wniosku do organu. Tryb postępowania jest opisany w przepisach prawa, więc nie będę ich przepisywał w całości. Warto pamiętać, że nie jest to szybka procedura, ponieważ poza zatwierdzeniem reguł przez właściwy organ nadzorczy niezbędne jest zatwierdzenie przez Europejską Radę Ochrony Danych (EROD), na mocy art 65.1.f. 

Nowe wytyczne

Nowe wytyczne związane z WRK (wiążącymi regułami korporacyjnymi) zostały przyjęte przez Europejską Radę Ochrony Danych Osobowych pod koniec listopada. Nie oznacza to, że zaktualizowane listy kontrolne i wzory obowiązują już dziś. Obecnie trwają konsultacje, w których można wziąć udział. Informacje zamieszczone są na stronie https://uodo.gov.pl/pl/138/2498

Reguły korporacyjne, a standardowe klauzule umowne

W wielu miejscach w sieci można natknąć się na informacje z których wynika, że administrator może sobie dowolnie wybierać między regułami a klauzulami umownymi. Nie jest to do końca poprawne stwierdzenie, ponieważ narzędzia te, na podstawie których dochodzi do przekazywania danych do państwa trzeciego są dedykowane do konkretnych rodzajów współpracy i związane są z organizacją ochrony danych. Wiążące reguły korporacyjne to nic innego jak grupowa polityka bezpieczeństwa – zbiór informacji i zasad związanych z ochroną danych osobowych, obowiązujące w grupie przedsiębiorstw lub przedsiębiorców. 

Cel wspólna działalność – jako wyznacznik

Ważnym elementem, który pojawił się w RODO jest wskazanie, że WRK mogą być stosowane w grupie nie tylko przedsiębiorstw, ale też przedsiębiorców. Oznacza to, że mogą to być różni przedsiębiorcy, ale łączy ich wspólna działalność gospodarcza. W tym przypadku WKR są nieocenione, ponieważ zasady są jednolite. Aspekt ten nie zawsze jest dostrzegany, więc przykład z bliższego, lepiej nam znanego obszaru – powierzenie przetwarzania danych. W przypadku powierzenia przetwarzania podmiot przetwarzający, procesor funkcjonuje w oparciu o własne regulacje i zasady. Są one poddawane audytom, a podpisanie umowy powierzenia powinno być poprzedzone oceną procesora.

W przypadku WRK jest to przygotowanie zasad zgodnie z wytycznymi z art. 47 oraz wytyczne Grupy Roboczej 29. Oczywiście rozważyć trzeba zakres, tryb współpracy, kontekst przetwarzania, zakres danych o podstawy ich transferu. 

Niemniej łatwiej jest utrzymać poziom bezpieczeństwa, gdy wszystkie podmioty działają według tych samych zasad. Proszę wyobrazić sobie audyt w grupie przedsiębiorstw złożonych z 10 organizacji. Jest to 10 audytów na tych samych listach kontrolnych, dowodach z audytu. Mało tego, można od razu budować interaktywne grupy IOD-ów lub managerów bezpieczeństwa, którzy wspólnie będą rozwijać ten sam system ochrony danych osobowych. Bardzo wygodnie z punktu widzenia organizatora ochrony danych i osób nadzorujących.

Łyżka dziegciu – trzy modele współpracy

Mechanizmem identycznym jest powołanie grupy przedsiębiorstw (w obszarze EOG). Tu również obowiązuje jednolity system ochrony danych osobowych.

Drugi z modeli to znany i powszechnie stosowane powierzenie przetwarzania danych osobowych. Czasem przerost formy nad treścią szczególnie w zakresie umów, które potrafią liczyć 17 stron i składają się z bezrefleksyjnego cytowania RODO (w technice prawodawczej jest to błąd).

Trzeci z modeli, zostawiłem na koniec bo jest jedną z dwóch łyżek dziegciu w beczce miodu. Jest nim współadministracja. Niezwykle rzadko stosowana, choć również upraszczająca wiele zagadnień. Uproszczenie organizacji powoduje większą sprawność systemu (teoria systemów).

Niestety WRK jak i współadministracja są to modele, które spotykają się (choć nieoficjalnie) z niechęcią organów nadzorczych. Jest to o tyle ciekawe, że sprawność zarządzania ochroną w jednym i drugim przypadku jest wyższa. A więc bezpieczeństwo, tryb wykonywania praw przez osobę, której dane dotyczą, skuteczność audytów i nadzoru, wspólne szkolenia są dużo łatwiejsze i efektywniejsze. 

Początek roku 2023 poświęcimy na bliższe przyjrzenie się modelom ochrony danych osobowych, w przypadku przepływów między organizacjami. Może zainspirujemy do porzucenia dość sztywnych i nie zawsze skutecznych umów powierzenia na rzecz współadministracji bądź grupy przedsiębiorstw. 

Niezbędność

Termin, określenie, wymaganie często pojawiające się w RODO. Co ciekawe mimo posiadania niezłego narzędzia, wielu specjalistów nie dostrzega możliwości jego zastosowania w szerszym aspekcie. Mowa o teście niezbędności (ocenie konieczności przetwarzania), który jest składową oceny prawnie uzasadnionego interesu administratora, czyli możliwości zastosowania przesłanki z art. 6.1.f. 

Struktura testu niezbędności

W naszych warsztatach posługujemy się narzędziami opracowanymi przez brytyjski organ nadzorczy – ICO, z czasów gdy Wielka Brytania była częścią Unii Europejskiej. Składa się z dosłownie kilku pytań, których odpowiedzi dostarczą nam informacji, czy przetwarzanie jest niezbędne. Podstawowe pytania w teście:

  • Czy przetwarzanie danych pozwala rzeczywiście uzyskać założony efekt?
  • Czy przetwarzanie danych jest proporcjonalne do celu?
  • Czy cel może zostać osiągnięty, jeśli będzie mniejszy zakres danych lub bez przetwarzania danych?
  • Czy cel może być osiągnięty w inny, bardziej oczywisty sposób?
  • Czy cel może być osiągnięty w sposób mniej ingerujący w prywatność i ochronę danych?

Są to podstawowe pytania, a sam test można rozwijać i dostosowywać do potrzeb swojej organizacji.

Zespół oceniający

Ważnym aspektem związanym z wykonaniem tego testu jest skład zespołu, który będzie dokonywał oceny. Nie może być tak, że jest to tylko specjalista ochrony danych czy IOD, bo ich cel jest zupełnie inny – ochrona osoby fizycznej w związku z przetwarzaniem danych. Natomiast dane mają być przetwarzane do realizacji celów organizacji naszej lub innej i to przedstawiciele działów, które realizują konkretne zadania powinni odpowiadać na te pytania. IOD lub specjalista jest tylko konsultantem lub nadzorcą nad spełnieniem wymagań RODO. Ale nie może być żandarmem, o czym pisaliśmy w artykule:

Dlaczego to takie ważne?

Przetwarzanie danych osobowych odbywa się w procesach biznesowych (głównych, pomocniczych lub zarządczych). Próba narzucania rozwiązań i ograniczeń “bo RODO” jest najgorszym ze sposobów funkcjonowania, nie tylko dlatego, że biznes i tak zrealizuje swoje cele. Przede wszystkim dlatego, że specjalista  czy manager ds. ochrony danych osobowych czy IOD nie są ekspertami w tych procesach, nie realizują ich, nie znają ich zawiłości. A stąd już dwa kroki do dwóch systemów – jeden dla organu (stojący na półce) i drugi, nieformalny dla biznesu. Tak niestety przez lata działały systemy zarządzania oparte o ISO i niestety czasem (często?) ten sam model występuje w RODO. 

Jak realizować ocenę testu?

Z doświadczenia w realizacji takich testów wynika, że tzw. biznes, czyli osoby realizujące procesy pomocnicze, zarządcze i główne wcale nie uciekają od RODO (pod warunkiem, że nie mówimy im, że to RODO). Mój model działania:

  1. Wyślij ankietę wraz z informacją, że będziemy chcieli taką ocenę zrobić. Adresatem niech będą osoby, w których procesach dochodzi (twoim zdaniem) do przetwarzania danych w których dochodzi do niezbędności (większość tych, które nie są oparte na zgodzie).
  2. Zaproponuj spotkanie, informując, że chcesz poznać proces. 
  3. Zacznij spotkanie od wprowadzenia przez osobę, która realizuje proces biznesowy w to jakie są kroki, jakie są dane osobowe. 
  4. Wstępnie zdefiniuj dane osobowe w tych procesach i przedstaw je osobie, z którą wykonujesz test. 
  5. Przedyskutuj niezbędność, w oparciu o test powyżej.
  6. Zakończcie pracę w formie szkicu analizy. 
  7. Spotkajcie się po tygodniu (lub dwóch, ale nie dłużej) i ponownie dokonajcie oceny. 
  8. Zamknijcie test podpisami. Tu zawsze mamy dwie główne rubryki – wykonujący ocenę oraz IOD (jeśli jest). Trzecie pole to akceptacja przedstawiciela administratora danych. 

Podsumowanie

Partnerskie podejście do ochrony danych osobowych daje naprawdę dobre rezultaty. Powyższy przebieg pracy zazwyczaj kończy się stwierdzeniem – to RODO to nie takie straszne. I tego wam życzę. 

PS w przypadku niektórych osób, które mogą mieć znamiona Żandarma z cytowanego wyżej artykułu mogą się pojawić objawy wyparcia. Spokojnie, po kilku czynnościach z rzeczywistym udziałem osób odpowiadających za procesy i ochronę danych w nich przetwarzanych objawy ustępują. 

Styczeń z RODOmaniakami

Udało nam się wrócić do starego sposobu planowania spotkań, a więc takich, w których to uczestnicy wskazują na najbardziej palące problemy czy … w drugą stronę – na realizacje projektów, które mogą wesprzeć pozostałą część społeczności w realizacji codziennych zadań.

Wydarzenia kalendarzowo

Pierwsza prezentacja naszych wydarzeń to kolejność:

  • 05 stycznia 2023, godz. 18:00 – Webinar: współadministracja.
  • 10 stycznia 2023, godz. 17:30 – Warsztat: audyt otwarcia RODO, faza I (brak miejsc, informujemy zapisanych).
  • 11 stycznia 2023, godz. 18:00 – #RODOrozkminki – art. 12… być może o nim będzie też w kolejnym terminie, bo nie jest to prosty temat.
  • 16 stycznia 2023, godz. 11:30 – #HotShotsRODO. Jak klient się walnął wpisując swój mail…
  • 18 stycznia 2023, godz. 18:00 – #RODOrozkminki – art. 13.
  • 24 stycznia 2023, godz. 17:30 – Warsztat. Ocena relacji z innym podmiotem, wypracowanie oceny administrator czy procesor?
  • 25 stycznia 2023, godz. 18:00 – #RODOrozkminki – art. 14.
  • 26 stycznia 2023, godz. 17:30 – Warsztat: audyt otwarcia RODO, faza I – analiza dokumentacji.
  • 30 stycznia 2023, godz. 18:00 – Webinar jakiego nie znacie. Dwóch prowadzących… G&G i monitorowanie (pojazdów), praktyczne wdrożenia.

Wydarzenia w cyklach

Zauważyliście zapewne, że część wydarzeń ma swoiste cykle, które nazywamy edukacyjnymi. I tak jest tym razem.

  • Audyt otwarcia – Due dilligence. Zaczynamy go w grudniu, skończymy w lutym. Będzie bardzo praktycznie w obszarze audytu RODO w ciekawej odmianie – IOD przyjmuje funkcję. I nie chce dostać batów za błędy poprzednika. Wydarzenia warsztatowe – 10 i 26 stycznia.
  • #RODOrozkminki – tu dalej pracujemy nad rozłożeniem na śrubki i podkładki przepisów i zrozumienie… o co w nich tak naprawdę chodzi. A często nie o to, co się wydaje. 11, 18 i 25 stycznia.
  • Współadministracja. Zaczniemy standardowo od webinara. A potem będzie warsztat w styczniu, kolejny w lutym i następny w marcu. Terminy styczniowe – 5 i 24 stycznia.

Nowość

Na zakończenie miesiąca mamy dla was nową formułę, którą będziemy sprawdzać. Webinar, który jeszcze nie ma nazwy jako formuła. Prowadzony z praktykiem, który coś fajnego zrobił i chce się podzielić wrażeniami.

Alkomaty raz jeszcze

Alkomaty raz jeszcze

W trakcie ostatniego naszego spotkania z cyklu #RODOrozkminka sporo rozmawialiśmy o alkomatach. Konkluzja ze spotkania była bardzo… mocna.

Otóż w całej dyskusji wielu komentatorów odwróciło całkowicie sposób myślenia o alkomatach, prawach i obowiązkach. Przygotowując się do spotkania wybrałem szczegółowe przepisy nie tylko z Kodeksu Pracy, ale również Ustawy o wychowaniu w trzeźwości i zapobieganiu alkoholizmowi oraz Kodeksu Wykroczeń i Kodeksu Karnego.

Na podstawie tych aktów prawnych, dostępnych dla każdego prawnika w systemach informacji prawnej zarówno tych, które są płatne jak i bezpłatnych można stwierdzić:

Ocena stanu psychofizycznego osoby przystępującej do pracy jest OBOWIĄZKIEM kierownika zakładu pracy.

Specjalnie to zaznaczam, ponieważ w przestrzeni publicznej z sprawa wielu publikacji pojawiło się stwierdzenie, że pracodawca nie ma prawa. Prawa… Wszak tu jest OBOWIĄZEK, nie prawo.

Pokrótce:

Art.  17.  [Obowiązek niedopuszczenia do pracy pracownika pod wpływem alkoholu]

Kierownik zakładu pracy lub osoba przez niego upoważniona mają obowiązek niedopuszczenia do pracy pracownika, jeżeli zachodzi uzasadnione podejrzenie, że stawił się on do pracy w stanie po użyciu alkoholu albo spożywał alkohol w czasie pracy. Okoliczności stanowiące podstawę decyzji powinny być podane pracownikowi do wiadomości. (…)

Wielokrotnie mówiłem, że ocena STANU trzeźwości nie jest w tym przypadku konieczna. Badanie alkomatem nie ma żadnego znaczenia dla pracodawcy, ponieważ to nie on jest organem prowadzącym późniejsze postepowanie. To nie pracodawca dokonuje tzw. kwalifikacji prawnej czynu.

Czym jest kwalifikacja prawna czynu?

Na początek sama kwalifikacja prawna czynu. Uprawniony funkcjonariusz uprawnionego organu, na podstawie tzw. przesłanek czynu zabronionego dokonuje przypisania go do konkretnego przepisu. Przesłanki czynu zabronionego są różne, w przypadku przepisów formalnych, jak np. art. 220 Kodeksu Karnego wystarczy samo wypełnienie znamion czynu (okoliczności opisanych w artykule). A więc narażenie na bezpośrednie zagrożenie utraty zdrowia lub życia. W przypadku czynów skutkowych musi zaistnieć skutek, aby można było poprawnie zakwalifikować czyn do danego przestępstwa czy wykroczenia. Z przyczyn technicznych dziś pominę kwestię usiłowania, czyli gdy nie dochodzi do skutku w czynach skutkowych.

Stan trzeźwości jest niezbędny do kwalifikacji prawnej czynu, ponieważ dany czyn popełniony w stanie po użyciu alkoholu może być wykroczeniem, a ten sam czyn popełniony w stanie nietrzeźwości będzie przestępstwem. Właśnie do tego uprawnionym instytucjom jest konieczność zbadania stanu trzeźwości.

Pracodawcy nie jest to do niczego potrzebne, ponieważ czy osoba jest w stanie po użyciu, czy nietrzeźwości, jej stan psychofizyczny nie zezwala na dopuszczenie do pracy. I to jest OBOWIĄZEK pracodawcy, aby nie dopuścić do pracy osoby w takim stanie.

Możemy poszukać jeszcze dodatkowych przepisów i znajdziemy je w przytoczonym Kodeksie Karnym. Art. 220 jest czynem formalnym.

Kto, będąc odpowiedzialny za bezpieczeństwo i higienę pracy, nie dopełnia wynikającego stąd obowiązku i przez to naraża pracownika na bezpośrednie niebezpieczeństwo utraty życia albo ciężkiego uszczerbku na zdrowiu (…)

Podsumuję

Smutne i bardzo niebezpieczne jest to, że w przestrzeni publicznej dysputa o alkomatach zeszła w kierunku tego, czy pracodawca ma UPRAWNIENIE w postaci badania tylko dlatego, że używano urządzeń wskazujących na zawartość alkoholu w wydychanym powietrzu.

Stanu trzeźwości – NIE i co do tego nie mam wątpliwości. Ponieważ zakres danych nie jest mu niezbędny do zrealizowania, podkreślę jeszcze raz, OBOWIĄZKU wynikającego nie tylko z Kodeksu Pracy (który celowo pominąłem w cytatach), ale również z Ustawy o wychowaniu w trzeźwości.

Sam obowiązek podkreśliłem na początku dzisiejszego artykułu.

Cykl – naruszenia i incydenty w ochronie danych osobowych.

Standardem już staje się w naszych wydarzeniach podchodzenie do zagadnienia w sposób pełny. Nie do końca jeszcze kompleksowo, ponieważ 3 wydarzenia w ramach omówienia konkretnego zagadnienia nie może być “kompleksowe”. Jednak efektywność tych wydarzeń jest dla nas budująca. 

Z tego powodu postanowiliśmy większość wydarzeń realizować w taki sposób, aby zagadnienie było omówione w pełni na tyle, aby RODOmaniak (uczestnik naszych wydarzeń) wiedział co ma z danym zakresem zrobić. Tak, aby nie przeoczyć niczego. 

Cyklem, który realizujemy jako kolejny po transferze danych jest postępowanie z incydentami, naruszeniami i … co tu dużo mówić – kryzysami w RODO. Standardowo zaczniemy od wprowadzenia:

  • Webinar: 29.11.2022 godzina 14:00. Zrobimy wprowadzenie w incydenty i naruszenia. Hasło główne – każde naruszenie jest incydentem, nie każdy incydent naruszeniem. Ale każdy incydent może eskalować do naruszenia. 
  • Warsztat: 06.12.2022 godzina 10:00. Tym razem zmierzymy się z incydentami. Nie tylko tymi, które są u nas, ale też w IT czy bezpieczeństwie fizycznym. Tak, aby przygotować się na wykrycie incydentu (aktywatory) i wiedzieć, czego mogą dotyczyć. Po prostu wziąć z półki rozwiązanie i działać. 
  • Warsztat: 13.12.2022 godzina 17:30. Celowo, bo tutaj możemy dość długo pracować. A więc nie możemy ryzykować, że nie odbierzemy dziecka z przedszkola, czy ucieknie nam autobus. tu już musimy mieć rezerwę czasową (standard 90 minut, ale raczej nie skończymy w tym czasie). W tym warsztacie poszukamy luk między tym, co nam PUODO mówi o obsłudze, a tym co powinniśmy. Wielu IOD, specjalistów czy managerów bezpieczeństwa bezrefleksyjnie podchodzi do publikacji PUODO. Na zasadzie – jeśli zrobię jak PUODO napisał na stronie i formularz wypełnię, to będzie OK. Nie, nie będzie. To tylko spełnienie JEDNEGO z wielu obowiązków. 
  • Zdecydowany?

    To na zakupy!

    Możesz też:

    • Wysłać zgłoszenie na adres e-mail: info@rodomaniacy.pl
    • Dokonać opłaty w wysokości 229 złotych brutto, na dane podane w informacji zwrotnej, a do nas wysłać potwierdzenie. Jednak… szybciej i pewnie jest dokonanie zakupu przez kartę lub PayPal.

    Uwaga, ze względu na formułę warsztatową obowiązuje limit miejsc!