RODO – które dane są wrażliwe?

Autor: Łukasz Kolatorski

Ogólne rozporządzenie o ochronie danych osobowych osób fizycznych RODO wprowadziło drobną korektę w dotychczasowym podziale znanych nam od przeszło 20 lat rodzajów danych osobowych. Do momentu rozpoczęcia zastosowania RODO wyróżnialiśmy dwa rodzaje danych osobowych, funkcjonujące na gruncie wspólnotowej dyrektywy 95/46/WE z dnia 24 października 1995 roku oraz nieco rozszerzone w naszej krajowej ustawie o ochronie danych osobowych z 29 sierpnia 1997 roku.

Rys historyczny

Na gruncie poprzednich przepisów dane osobowe mogliśmy podzielić na dwa rodzaje, mianowicie: szczególne kategorie danych – dane wrażliwe/sensytywne oraz pozostałe dane, potocznie nazywane „zwykłymi”. W dyrektywie wspólnotowej z 1995 roku kategorie danych wrażliwych wyszczególnione były w art. 8 oraz odpowiednio w naszej ustawie krajowej z 1997 roku w artykule 27. Były to dane ujawniające:

  • pochodzenie rasowe lub etniczne;
  • poglądy polityczne;
  • przekonania religijne lub filozoficzne;
  • przynależność wyznaniową, partyjną lub związkową;
  • informacje o stanie zdrowia;
  • informacje o kodzie genetycznym;
  • informacje o nałogach;
  • informacje o życiu seksualnym;
  • informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (definicja UODO 97).

Zmiana podejścia do rodzajów danych

Wraz z nadejściem RODO, nastąpiła drobna korekta sklasyfikowania rodzajów danych osobowych. W ogólnym rozporządzeniu oddzielono lub wydzielono, jak kto woli, dane dotyczące wyroków skazujących i naruszeń prawa, umiejscowione poprzednio w zakresie danych szczególnych kategorii. Tym samym, od ponad dwóch lat dane osobowe klasyfikujemy wg 3 rodzajów:

  1. dane szczególnych kategorii – artykuł 9 RODO,
  2. dane dotyczące wyroków skazujących i naruszeń prawa – artykuł 10 RODO,
  3. dane pozostałe, potocznie nazywane „zwykłymi”.

Dane wrażliwe

Odpowiadając na pytanie postawione w tytule, dane wrażliwe to rodzaj danych szczególnych kategorii wymienione w artykule 9 RODO. Należą do nich dane ujawniające:

  • pochodzenie rasowe lub etniczne;
  • poglądy polityczne;
  • przekonania religijne lub światopoglądowe;
  • przynależność do związków zawodowych;
  • dane genetyczne;
  • dane biometryczne, wykorzystywane w celu jednoznacznego zidentyfikowania osoby fizycznej;
  • dane dotyczące zdrowia;
  • dane dotyczące seksualności lub orientacji seksualnej.

Przesłanki dla przetwarzania dla danych wrażliwych

Dane wrażliwe możemy przetwarzać, gdy zaistnieje jedna z przesłanek wymienionych w art. 9 w ustępie 2 i 4 RODO. Dopuszczalnymi przesłankami są (wersja skrócona na potrzeby niniejszego artykułu; do analizy pełnej treści zapraszam do rozporządzenia):

  • zgoda osoby;
  • wypełnianie obowiązków i wykonywanie szczególnych praw, w określonych dziedzinach;
  • ochrona żywotnych interesów osoby;
  • przetwarzanie w ramach uprawnionej działalności;
  • sytuacje, kiedy dane zostały upublicznione przez osobę;
  • ustalenie, dochodzenie lub obrona roszczeń, albo w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  • ważny interes publiczny;
  • profilaktyka zdrowotna lub medycyna pracy, zapewnienie opieki zdrowotnej lub zabezpieczenia społecznego, leczenie / zarządzanie systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;
  • interes publiczny w dziedzinie zdrowia publicznego, zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych;
  • cele archiwalne w interesie publicznym, cele badań naukowych, historycznych lub cele statystyczne.

„Wisienka na torcie” w zakresie owianej mistycyzmem i kreowanej nadrzędności RODO nad innymi przepisami prawa, zawarta w artykule 9 ustępie 4, którą pozwolę sobie zacytować w całości:

  • Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

W ramach dobrej praktyki zalecić mogę, aby dla wybranej przesłanki przetwarzania danych szczególnych kategorii z tzw. „9”, ze względu na zastosowane przez regulatora zapisy w tym artykule (m.in.:  o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego; na podstawie prawa Unii lub prawa państwa członkowskiego) połączyć z jedną z przesłanek wynikających z artykułu 6 RODO.

Dygresja na zakończenie

Pokłosiem artykułu o danych wrażliwych jest rozróżnienie rodzajów danych osobowych sklasyfikowanych w RODO. Dlatego też pozwolę sobie na małą dygresję dotycząca treści umów powierzenia i wymagań dla ich zawartości określonej w art. 28 ustęp 3 RODO. W umowach powierzenia mamy obowiązek wpisać m.in.: rodzaj danych oraz kategorie osób, których dane dotyczą, a nie kategorie danych osobowych, które z uporem maniaka nadal są wpisywane w umowach. Gdy ograniczamy się do zapisów dla kategorii danych wynikających z artykułu 9 lub 10 RODO, to nie widzę przeszkód, ale już w przypadku możliwych kategorii danych zwykłych, pojawia się problem. Jeśli dojdzie do przetwarzania danych przez podmiot przetwarzający, to pominięcie jakiejś kategorii danych przez IOD lub prawnika administratora stanowi realne zagrożenie dla wykonania umowy, gdy ta pominięta kategoria pojawi się w procesie przetwarzania.

Reklama

Jak zgłosić naruszenie RODO?

Autor: Łukasz Kolatorski

Naruszenie ochrony danych osobowych to coś, czego zapewne każdy Administrator, Podmiot Przetwarzający czy Inspektor Ochrony Danych, chcieliby uniknąć. Niestety jest wysoce prawdopodobne, iż patrząc przez pryzmat rozwoju nowych technologii i możliwości, jakie nam dają, nie unikniemy tego typu sytuacji. W przypadku naruszeń  ochrony danych osobowych należy sobie zadać pytanie nie „czy”, ale „kiedy” i „jak” do niego dojdzie oraz „kto” będzie za to odpowiedzialny; ewentualnie „jaka będzie skala naruszenia oraz skutków” dla osób, których dane dotyczą oraz dla organizacji.

Nawet jeśli jesteście organizacją o bardzo wysokiej kulturze bezpieczeństwa i strzeżecie swoich danych niczym najlepsze na świecie służby (celowo nazwy nie wymieniam, ponieważ każda z postrzeganych za najlepsze ma swoje plusy i minusy, więc to kwestia gustu, a o nim się nie dyskutuje), to i tak do wycieku danych i naruszenia u was doszło (gorzej, jeśli o tym nie wiecie) lub dojdzie (tu nie macie pewności kiedy, jak i kto). Można jednak przyjąć założenie, że będzie to wynikało z błędu ludzkiego (wewnątrz organizacji), celowego działania (ataku z zewnątrz, np. działania hakerów lub kradzież) lub w dalszej kolejności błędu systemowego (oprogramowania), przy czym katalog pozostawiam otwarty. Znane powiedzenie mówi, że „Polak potrafi”, a za naszą specjalność można uznać wyszukiwanie luk w systemie.

Stało się… i co teraz?

Pominę aspekt rozważań teoretycznych na temat samych naruszeń, ich genezy, podstaw i całej towarzyszącej im otoczki. Zajmiemy się natomiast zgłaszaniem naruszeń. Z reguły jest to bardzo proste. Wystarczy wejść na stronę Urzędu Ochrony Danych Osobowych i w zakładce dla Administratorów mamy link do artykułu: W jaki sposób powiadomić Prezesa UODO o naruszeniu. Mamy 4 możliwości zgłoszenia, a mianowicie:

  1. Elektronicznie, poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl, będącego odwzorowaniem formularza dostępnego w załączniku.
  2. Elektronicznie, poprzez wysłanie wypełnionego formularza na skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
  3. Elektronicznie, poprzez wysłanie wypełnionego formularza (dostępnego w załączniku poniżej) za pomocą pisma ogólnego, dostępnego na platformie biznes.gov.pl (Jak znaleźć Urząd w formularzu pisma ogólnego?) lub platformie epuap.gov.pl
  4. Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.

Dodatkowo, na stronie UODO znajdziemy potrzebne do wykonania zgłoszenia:

  1. Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego (WP 244 rew. 01);
  2. Zgłoszenie naruszenia ochrony danych osobowych – formularz alternatywny;
  3. Zgłoszenie naruszenia ochrony danych osobowych – formularz interaktywny.

Kolejny klickbajt?

W zasadzie w tym miejscu mógłbym zakończyć niniejszy artykuł, dodając, że pomocy możecie szukać w art. 33 i 34 RODO oraz motywach 85-88, ale z szacunku dla czytających tego nie zrobię. Przejdźmy zatem do analizy formularza.

  1. Typ zgłoszenia

Wskazujemy sygnaturę sprawy, przy okazji UODO sprawdza, czy mamy własny rejestr naruszeń. Określamy zgłoszenie jako kompletne, wstępne lub uzupełniające w zależności od okoliczności sprawy – informacje o naruszeniu możemy przekazywać stopniowo. Ponadto możemy poinformować, czy zgłoszenie miało miejsce dodatkowo w innym państwie oraz czy wymagane było poinformowanie innych organów, np. Policji czy któregoś z resortowych Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego.

  1. Podmiot zgłaszający

W dostępnych polach wpisujemy dane rejestrowe administratora zgłaszającego sprawę – chodzi o dane z KRS lub CEIDG oraz dane kontaktowe – w tym dane pełnomocnika i inspektora ochrony danych osobowych, jeśli został wyznaczony (tu UODO od razu sprawdzi, czy powołaliśmy IODa, gorzej dla nas, jeśli nasza działalność wymaga jego powołania, a jego brak) oraz podmiotu przetwarzającego, jeśli brał udział w zgłaszanym naruszeniu.

  1. Czas naruszenia

Opisujemy czas stwierdzenia naruszenia, to bardzo ważne w kontekście wymogu 72h na zgłoszenie od momentu jego stwierdzenia – celowo podkreślam to słowo, co wynika z zawodowej traumy po przerobieniu licznych umów powierzenia i jałowych dyskusji na temat tego, czym jest faktycznie stwierdzenie naruszenia. Ponadto sposób stwierdzenia naruszenia, datę powiadomienia przez podmiot przetwarzający oraz ewentualnie powód opóźnienia, jeśli od momentu stwierdzenia do momentu zgłoszenia upłynęło wspomniane 72h (przy rozsądnym powodzie opóźnienia, możemy złożyć zgłoszenie później). Na koniec opisujemy czas trwania naruszenia- od kiedy do kiedy miało miejsce lub wskazujemy, iż trwa nadal, co w przypadku ataków ransomware i braku odpowiednich zabezpieczeń danych jest wysoce prawdopodobną sytuacją.

  1. Charakter naruszenia

W tym miejscu opisujemy szczegółowo naruszenie, podajemy, z jakim zdarzeniem było powiązane (mamy możliwość wybrania ze wskazanych przez UODO w formularzu opcji). Jeśli naruszenie wynikło z działania złośliwego oprogramowania, możemy to w tym punkcie opisać. Dodatkowo wskazujemy przyczyny naruszenia i jego charakter oraz zaznaczamy, czy dotyczy ono dzieci, jeśli miało związek ze świadczeniem usług w ramach społeczeństwa informacyjnego (dla przypomnienia- w Polsce granicę wieku ustalono na lat 16). Swoją drogą, zapisy niniejszego punktu w formularzu można wykorzystać do podnoszenia świadomości pracowników w ramach szkoleń i akcji informacyjnych. Nie spotkałem się, aby dało się prościej zobrazować współpracownikom, co rozumieć przez naruszenie, a przede wszystkim, że to już naruszenie, a nie incydent.

  1. Lista osób i wpisów

Jak nazwa wskazuje, określamy ilościowo osoby oraz wpisy, jakich dotyczy naruszenie. Warto zapoznać się z wyjaśnieniem dla liczy wpisów.

  1. Kategorie danych osobowych

Z kolei w tym miejscu wskazujemy na kategorie danych, które UODO podzieliło wg przyjętej klasyfikacji rodzajów danych osobowych w RODO – w tym, na dane szczególnych kategorii, dane dotyczące wyroków skazujących i naruszeń prawa oraz dane podstawowe (w naszej nomenklaturze bardziej rozpoznawalne jako dane zwykłe).

  1. Kategorie osób

Wybieramy z zaproponowanych przez UODO w formularzu, ewentualnie mamy możliwość dodatkowego opisania kategorii osób zastosowanej na nasze wewnętrzne potrzeby organizacji. Tu RODO daje nam swobodę, a UODO podpowiada.

  1. Możliwe konsekwencje

Opisujemy, jakie możliwe konsekwencje naruszenia mogą dotknąć osoby, których danych dotyczy naruszenie. W tym miejscu UODO kolejny raz wychodzi naprzeciw zgłaszającym, zamieszczając listę konsekwencji do wyboru wraz z pozostawieniem miejsca do wpisania innej potencjalnej konsekwencji, jeśli taka wyszła nam przy ocenie skutków dla ochrony danych osobowych, wynikłej z analizy ryzyka dla operacji przetwarzania danych – zwłaszcza tych z użyciem nowych technologii. Ponadto wskazujemy, czy naruszenie, jakie miało miejsce, stwarza wysokie ryzyko naruszenia praw i wolności osób.

  1. Środki bezpieczeństwa i środki zaradcze

W tym punkcie mamy za zadanie opisać trzy rzeczy, odnoszące się do zastosowanych w naszej organizacji technicznych i organizacyjnych środków bezpieczeństwa, mających zabezpieczyć przetwarzane przez organizację dane osobowe. Musimy wskazać, jakie działania naprawcze podjęliśmy, aby „uszczelnić” system na przyszłość oraz wskazać, jakie środki zaradcze podjęliśmy i zaproponowaliśmy poszkodowanym po naruszeniu. W celu zminimalizowania negatywne skutków dla osób, których dane dotyczą, a które zostały dotknięte naruszeniem. Przy okazji w połączeniu z pkt. 8 mamy wstęp do punktu 10 i powiadomienia osób.

  1. Czy osoby, których dane dotyczą, zostały zawiadomione o naruszeniu?

Jeśli powaga sytuacji tego dotyczy to mamy w tym punkcie określić, czy poinformowaliśmy osoby o wycieku danych osobowych vide wymagania art. 34 RODO. Opisujemy podjęte czynności i czas, a także formę powiadomienia. W punkcie tym możemy dodatkowo wskazać, iż nie poinformowaliśmy osób, jeśli sytuacja tego nie wymaga lub że jeszcze nie analizowaliśmy potrzeby poinformowania osób, których dane dotyczą.

  1. Przetwarzanie transgraniczne

Na koniec wskazujemy – o ile dotyczy – czy naruszenie, które zgłaszamy, ma charakter przetwarzania transgranicznego. Niech Was nie zmyli fakt, iż do wyboru mamy kraje EOG, ponieważ w punkcie tym chodzi o „przetwarzanie”, a nie „przekazanie” do państw trzecich. Swoja drogą w formularzu brakuje mi osobnego miejsca do wskazania, że naruszenie miało miejsce w związku z przekazaniem danych – modne w kontekście wyroku ws. Schrems II i unieważnienia Privacy Shield oraz wykazania zastrzeżeń co do zasad ochrony danych osobowych rezydentów UE przekazywanych do USA. Można sobie jednak i z tym poradzić, opisując szczegóły, np. w punkcie 4 formularza.

Podsumowanie

Tym sposobem docieramy do końca naszego zgłoszenia. Pozostał już tylko podpis tradycyjny lub elektroniczny i możemy wysyłać formularz, a potem czekać na dalszą komunikację ze strony Urzędu. Na pewno sam fakt wystąpienia naruszenia nie będzie działał na naszą korzyść. Jednakże  fakt złożenia zawiadomienia do UODO będzie środkiem łagodzącym przy ewentualnej wysokości kary, jaką UODO może na nas nałożyć na gruncie art. 83 RODO. Co wcale nie oznacza, że musi karę nałożyć vide art. 58 RODO.

Reklama

Konsekwencje niespełnienia wymagań RODO

Autor: Łukasz Kolatorski

Myśląc o RODO, często pomijanym lub zapominanym zagadnieniem są uprawnienia naprawcze organów nadzorczych. Zazwyczaj skupiamy się na niebotycznych karach finansowych- działających na wyobraźnię 10-20 mln euro lub 2-4% całkowitych światowych obrotów organizacji.

Powodów takiego przedstawiania konsekwencji nieprzestrzegania RODO może być kilka m.in.: uprawnienia naprawcze nie zwiększają poczytności i klik bajtów; same organy nadzorcze po rozpoczęciu obowiązywania RODO skupiły się raczej na nakładaniu kar finansowych, niżeli na korzystaniu z owych uprawnień naprawczych.

Patrząc na te uprawnienia przez pryzmat krajowego „podwórka”, mamy ciekawy przypadek, który przy wprowadzeniu ograniczenia lub zakazu przetwarzania danych, mógłby zmienić optykę postrzegania konsekwencji nieprzestrzegania przepisów o ochronie danych osobowych osób fizycznych.

Czym są uprawnienia naprawcze?

Uprawnienia naprawcze to nic innego, jak katalog specjalnych uprawnień organów nadzorczych, z których mogą i powinny korzystać krajowe organy, zajmujące się ochroną danych osobowych osób fizycznych przebywających na terytorium UE, w przypadku kiedy w ramach prowadzonego postępowania sprawdzającego, wyjaśniającego lub kontrolnego stwierdzą niezgodności w zakresie wymogów stawianych przez RODO dla przetwarzania danych osobowych. Katalog ten możemy znaleźć w artykule 58 ust. 2 RODO. Zanim przejdę do analizy zapisów, poniżej przedstawiam wspomniany katalog:

  1. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu, dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;

b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;

c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;

d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych, lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;

i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;

j) nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Z powyższego katalogu możemy całkowicie pominąć zapis z punktu „h”, ponieważ certyfikacja na gruncie RODO na chwilę obecną znajduje się w dziale baśni i legend.

Uprawnienia naprawcze- co i kiedy?

Uprawnienia naprawcze możemy podzielić według reakcji organu nadzorczego na wysokie prawdopodobieństwo wystąpienia naruszenia lub naruszenie przepisów.

Rozpocząć należy od ostrzeżenia, co do możliwości naruszenia przepisów. To nic innego, jak wskazanie potencjalnych niezgodności dla planowanych operacji przetwarzania, które organ wychwycił na etapie prowadzonych konsultacji z administratorem lub podmiotem przetwarzającym, gdy jeden z nich zgłosił się do organu z wykorzystaniem trybu przewidzianego w art. 36 RODO, po przeprowadzeniu oceny skutków dla ochrony danych – DPIA (data protection impact asesment). W tym przypadku już na wstępie dowiadujemy się, że planowane przez nas operacje przetwarzania w kształcie, jaki zaproponowaliśmy w konsultacjach z organem nadzorczym, nie spełniają wymogów rozporządzenia, a zastosowane przez nas środki minimalizujące ryzyko naruszenia praw i wolności są nadal niedostateczne, abyśmy mogli rozpocząć przetwarzanie danych. Z punktu widzenia biznesu to zarówno źle, jak  i dobrze. Źle, bo musimy zmodyfikować nasz proces i dostosować go do przepisów, co opóźni rozpoczęcie naszych działań. Dobrze, ponieważ mamy pewność, że odpowiednio zarządzamy ryzykiem, mitygujemy je i nie narażamy się na karę finansową.

Organ nadzorczy, w ramach przeprowadzonego postępowania wyjaśniającego, sprawdzającego lub kontrolnego w momencie, gdy uzna, iż naruszone zostały przepisy RODO, może upomnieć przetwarzającego, iż ten naruszył przepisy rozporządzenia. Jest to jeden z najłagodniejszych i najmniej inwazyjnych środków naprawczych, jakie organ może zastosować. Wykorzystywany powinien być w sytuacjach, gdy okoliczności naruszenia nie stanowią istotnego zagrożenia dla praw i wolności osób, których dane dotyczą, a wychwycona niezgodność wymaga jedynie korekty ze strony przetwarzającego.

Kolejnym uprawnieniem jest nakazanie spełnienia żądania osoby, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia. W tym przypadku jeszcze nie jest źle, ale powinniśmy jako organizacja mieć się na baczności, ponieważ nie dość, że nie realizujemy wymagań rozporządzenia, to jeszcze podmiot danych – zapewne odbijając się ze swymi żądaniami od przyjętych przez nas założeń – postanowił skorzystać z pomocy organu nadzorczego, aby ten zainterweniował w jego sprawie i, co gorsza, miał rację. W tym przypadku nie mamy innego wyjścia, jak tylko spełnić żądanie osoby bez zbędnej zwłoki, aby nie sprowadzić na siebie kontroli organu nadzorczego w naszej organizacji. Istnieje duże prawdopodobieństwo, że w przypadku kontroli, gdy organ zacznie szukać, to znajdzie coś, co będzie niekorzystne dla naszej organizacji.

Następnym uprawnieniem naprawczym organów nadzorczych jest nakaz dostosowania operacji przetwarzania do przepisów rozporządzenia, gdzie w niektórych przypadkach może to zostać  „ubrane” we wskazanie sposobu i terminu wykonania. Tu zaczynają się robić dla nas, jako organizacji, schody. Organ nadzorczy może zacząć nam dyktować warunki, według których mamy spełnić jego żądanie. Dla organizacji z miernym pojęciem o ochronie danych osobowych i niedostatecznym budżetem może to być dopiero początek krętej drogi, skazanej na niepowodzenie. Szycie rozwiązań na miarę pod presją czasu, pod rygorem wymagań kogoś, kto nie zna realiów naszej działalności, może być poprzeczką zawieszoną za wysoko, potęgowaną dodatkowo przez ograniczony zasób czasu w momencie, gdy organ nadzorczy wyznaczy nam określony termin.

Zawiadomienie osoby o naruszeniu jej dóbr z reguły jest łatwą sprawą, ale tutaj istotne znaczenie odegra kontekst naszego przetwarzania i dane kontaktowe, które posiadamy. Jeśli dysponujemy mailem lub telefonem, sprawa jest w miarę prosta. Natomiast w przypadku braku wymienionych danych, rozsyłanie listów papierowych, gdy znamy tylko np. adresy korespondencyjne, może być kłopotliwe, a wręcz niewykonalne, zwłaszcza gdy te dane nie są aktualne (jeszcze gorzej dla nas, gdy wyjdzie to na jaw podczas kontroli).

Podpunkt „f” art. 58 ust. 2 to swoista „wisienka na torcie” uprawnień naprawczych organów nadzorczych. Dlaczego? Wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania – nie trzeba chyba tłumaczyć, co to oznacza. Przy „złotym strzale” organu, zastosowanie tego środka naprawczego oznacza koniec działalności firmy. Więc jeśli ktoś obawia się kary finansowej, którą ostatecznie nawet po odrzuceniu zaskarżenia jakoś się zapłaci, firma będzie działać dalej, a poniesione koszty w przyszłości się odrobi (przy założeniu, że sytuacja finansowa nie jest w tragicznym stanie), niech lepiej przewartościuje postrzeganie konsekwencji, jakie może za sobą nieść nieprzestrzeganie, a wręcz łamanie przepisów RODO z premedytacją.

Nakazanie zastosowania się do szczególnych praw podmiotu danych wynikających z art. od 16 do 19, a mianowicie: sprostowanie danych, usunięcie danych, ograniczenie przetwarzania oraz powiadomienie osoby, której dane dotyczą o wykonaniu wymienionych czynności. Prawa osób są dość obszerne, aby je streścić w jednym artykule, należy zawsze brać pod uwagę kontekst, charakter i cel przetwarzania. Natomiast wątek, na jaki należy zwrócić w tym miejscu uwagę, to obowiązek poinformowania odbiorców danych, którym te dane udostępniono m.in. nasi partnerzy, dostawcy itp.

Zbliżając się ku końcowi, żeby nie było zbyt łatwo, organy nadzorcze mogą, „oprócz” zastosowanych uprawnień naprawczych, dołożyć w uzasadnionych przypadkach karę finansową przewidzianą na mocy art. 83. Jeśli będziemy mieli szczęście, to karę otrzymamy zamiast uprawnień naprawczych.

Ostatnim uprawnieniem, które przysługuje organom nadzorczym, jest nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej. Może to być kłopotliwe pod kątem realizacji naszych podstawowych procesów wiążących się z przetwarzaniem danych, jeśli są one uzależnione od przepływu danych, abyśmy mogli prowadzić określoną działalność zarobkową.

Podsumowanie

Myśląc o RODO jako przepisach i wymaganiach, nie ograniczajmy się jedynie do postrzegania rozporządzenia poprzez pryzmat samych kar finansowych. Co zatem mogę Wam polecić? Pamiętajcie o solidnym przeglądzie Waszych procesów oraz dodatkowo o kilku poniżej zawartych punktach:

  1. Ilu prawników, inspektorów czy specjalistów, tyle będzie opinii i punktów widzenia – dodatkowo to, jak wspomniana osoba podejdzie do sprawy, zależy również od Was- w jaki sposób sprawę przedstawicie, tzn. co powiecie, a czego nie.
  2. Zwykle obowiązują dwie zasady- po pierwsze organ nadzorczy wie wszystko najlepiej, po drugie jest autorytetem.
  3. Jeśli nie będziecie się zgadzać z decyzją organu nadzorczego i dojdziecie do etapu sądowego, zawsze pogodzić Was i Waszych reprezentantów z organem nadzorczym może sędzia, który może zauważyć więcej niż organ nadzorczy – tu przyda się analiza pierwszej nałożonej w Polsce kary z RODO.
  4. Niezależnie od szybkich i lukratywnych zysków, jakie może przynieść Wam niedozwolone przetwarzanie, przeanalizujcie dobrze własne ryzyko i oszacujcie potencjalne straty; będzie dobrze, jak w najlepszym przypadku wyjdziecie na zero.
Reklama

Zrozumieć wymagania RODO

Jednym z większych problemów w stosowaniu RODO jest rozumienie jego wymagań. Mimo że są dość precyzyjnie opisane w artykułach, a wyjaśnione dodatkowo w motywach (oznaczone w nawiasach na początku aktu prawnego), wciąż stosowane bywają założenia i przekonania wypracowane przez 20 lat obowiązywania wcześniejszych rozwiązań prawnych.

Wykładnia słownikowa

Zaskakujące jest to, że wielu specjalistów RODO stosuje wykładnię słownikową, a więc dokładnie, wręcz co do przecinka, czytają akt prawny, który jednak w swoim założeniu jest napisany nieco inaczej niż polskie przepisy. Przypomnijmy, akt ten jest prawem europejskim, stosowane są do niego zasady europejskie. W Polsce zasady tworzenia przepisu prawnego (co powinien zawierać, czego nie powinien) określa natomiast tzw. technika prawodawcza. Jest ona szeregiem zasad zebranych w załączniku do Rozporządzenia Prezesa Rady Ministrów z dnia 20 czerwca 2002 r. w sprawie “Zasad techniki prawodawczej”.

Z powodu różnic w podejściu do aktów prawnych w różnych krajach i tego, że RODO musi być aktem uniwersalnym, możliwym do stosowania w krajach o różnym sposobie stanowienia i stosowania prawa, wykorzystanie naszych krajowych metod do „rozumienia” bywa nieco zdradliwe. Jednym z takich przykładów jest „wykładnia” jednego z prawników, dotycząca obowiązku podjęcia działań związanych z naruszeniem ochrony danych osobowych. Cytat z przepisu:

Art. 34.1 Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Otóż na podstawie literalnego i wręcz dosłownego przeczytania przepisu, zdaniem tego specjalisty nie wymaga poinformowania takie naruszenie, które dotyczy naruszenia praw jednej osoby. Ponieważ w przepisie jest napisane, że musi być wysokie ryzyko naruszania praw lub wolności osób, nie osoby.  Pozostawiamy czytelnikom zestawienie tej interpretacji z celem wdrożenia RODO, motywami wyjaśniającymi cel i zasady stosowania w tym też art. 33 i 34 RODO.

Reasumując ten krótki wstęp, RODO sprawia problemy interpretacyjne, utrudniające identyfikację wymagań, a więc tego, co należy zrealizować, czy jaki stan osiągnąć.

RODO jako kompletny poradnik?

RODO jest napisane w taki sposób, aby było kompletnym poradnikiem wdrożenia. Przypomina nieco normy ISO, które w jednym zeszycie zawierają zarówno wymagania do wdrożenia (requirements), jak i przewodnik, i poradnik (guidline). W zakresie wymagań natomiast skupia się na realizacji zasad fundamentalnych, zawartych w art. 5. Pozostałe artykuły, a w niektórych przypadkach całe rozdziały zawierają uszczegółowienie co do przedsięwzięć, jakie należy wdrożyć, aby uzyskać zgodność z przepisem, a w efekcie (to jest istotniejsze) ochronę osoby fizycznej w związku z przetwarzaniem jej danych osobowych,

Jednym z ciekawszych wymagań w RODO jest rozliczalność, co do której bywają problemy z wykazaniem. Zacytujmy przepis z art. 5 (jeden z fundamentów):

 Art. 5.2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Pozostając przy koncepcji, w której art. 5 stanowi fundamenty, a pozostałe przepisy określają, co należy robić, przyjrzyjmy się obowiązkowi rozliczalności. W trakcie jednego z warsztatów na szkoleniu Audytor RODO uczestnicy wybrali jako ćwiczenie zrozumienie wymagań art. 24. Zacytujmy:

Art. 24.1.   Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Co administrator ma zrobić? (zadania):

  • Przetwarzanie ma się odbywać zgodnie z rozporządzeniem (RODO),
  • Administrator musi udowodnić (wykazać), że tak się dzieje.

Jak ma to zrobić? (wymagania ogólne):

Wdrażając odpowiednie środki:

  • Techniczne,
  • Organizacyjne

Jak je dobrać (wymagania szczegółowe):

Uwzględniając:

  • Charakter przetwarzania,
  • Kontekst przetwarzania,
  • Cele przetwarzania,
  • Ryzyko naruszenia praw i wolności.

Spory zestaw wymagań praktycznie do każdego przepisu. Dla próby w trakcie szkolenia wykonaliśmy identyfikację wymagań z art. 12 RODO. Wstępnie miał być 13, ale jako że art. 13 jest przepisem instrukcyjnym, precyzyjnie określającym zawartość treści informacji dla osoby, wróciliśmy do art. 12.

Wymaganie art. 12.1

Co jest treścią wymagania z art. 12.1? Wbrew pozorom nie jest to dostarczenie informacji zwięzłej, jasnej, przejrzystej. Zacytujmy przepis:

12.1.   Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (…)

Ta część przepisu wymaga, aby administrator podjął odpowiednie środki do uzyskania efektu. Dlaczego wymaganiem tym nie jest efekt w postaci zrozumienia? Ponieważ ten jest określony jako cel wynikający z zasad fundamentalnych RODO, art. 5.1.a.

Zasady fundamentalne mają określone sposoby wykonania, działania, wymagania, co do realizacji w dalszych przepisach RODO. Warto też pamiętać o art. 5.2 oraz 24, czyli o rozliczalności. W tym konkretnym aspekcie administrator musi „rozliczyć” podjęcie środków. Najczęstszą niezgodnością w tym zakresie jest brak jakiegokolwiek działania zmierzającego do tego, aby informacje były zrozumiałe, zwięzłe i napisane prostym i jasnym językiem. Użycie języka prawniczego, np. nazwanie informacji klauzulą informacyjną, przeniesienie bez wyjaśnienia definicji z przepisu w sytuacji, gdy odbiorcą komunikatu (osobą, której dane są przetwarzane) jest osoba bez wykształcenia prawniczego, z  wykształceniem ogólnym, jest tylko dowodem na niezrozumiałość komunikatu. Aby poprawnie określić niezgodność i wskazać rekomendacje, konieczne jest pozyskanie informacji, co administrator zrobił, aby ten komunikat był zrozumiały dla odbiorcy. Analogicznie do tego toku rozumowania pisane są uzasadnienia do decyzji i wskazane naruszenia z przepisów prawa przez organy nadzorcze. Wskazują one często naruszenie konkretnego przepisu z dalszej części RODO, jednocześnie odnosząc się do zasad fundamentalnych z art. 5 jako skutku.

Jak napisaliśmy na początku – RODO jest poradnikiem i wymaganiem w jednym.

Podsumowanie.

Zrozumienie wymagań jest kluczowe do poprawnego audytowania oraz poprawnego wdrożenia systemu ochrony danych osobowych w organizacji. Popularnie nazywa się to „wdrożeniem RODO”. Jednak to nie przepisy prawa są wdrażane, a system opracowany przez twórcę, spójny z organizacją, biorący pod uwagę kontekst, charakter i cele przetwarzania, wiedzę techniczną oraz wyniki pochodzące z szacowania i oceny ryzyka.

Przy tej ilości parametrów do spełnienia naturalnym efektem jest to, że system w każdej organizacji jest inny. Podobieństwo występuje jedynie w przebiegu procesu wdrożenia, a więc konkretne czynności, jakie należy wykonać, aby zidentyfikować wszystkie te parametry, uwzględnić je w założeniach do projektu, a następnie wdrożyć, a więc doprowadzić do stanu, w którym system będzie działał.

Reklama

Gdzie kończy się prywatność, a zaczynają dane osobowe?

Dynamiczny rozwój mediów społecznościowych, coraz większa świadomość wagi informacji jako zasobu oraz naturalna potrzeba człowieka do ochrony prywatności, przekładające się na kolejne regulacje prawne, normy i standardy, w tym ISO powodują, że specjaliści bezpieczeństwa informacji, ochrony prywatności czy danych osobowych zaczynają się czuć jak na kolejce górskiej. Chaos pogłębiać może też różne definiowanie zjawisk, stanów, zagadnień w przepisach prawa, standardach i normach międzynarodowych.

W artykule porównamy ochronę danych osobowych z prywatnością, wskazując, że cele ustanowienia ochrony tych dwóch obszarów wcale nie są identyczne, a jedynie zbieżne w niektórych przypadkach. I nie można przyjąć założenia, że ochrona danych jest tym samym, co ochrona prywatności. Aspektowi definicji prywatności z innych krajów poświęcimy inny artykuł.

RODO a prywatność

Celem RODO jest ochrona osoby fizycznej w związku z przetwarzaniem jej danych osobowych, ale czy to oznacza, że celem jest też ochrona prywatności? Zacytujmy dwa przepisy z Konstytucji, które mówią o prawach i wolnościach:

Art. 47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.

Oraz drugi przepis:

Art. 51.

Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.

Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.

Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.

Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

Nieco na skróty potraktujmy, że RODO = Ustawa, w przeciwnym razie artykuł zmieni cel i będzie omawiał źródła prawa w Polsce. A nie taka jest jego intencja.

Prywatność w naszym potocznym (i nie tylko) rozumieniu to art. 47. Natomiast RODO spełnia już w art. 5 (zasady fundamentalne), 6, 9 i 10 (podstawy przetwarzania danych osobowych) wymagania z art. 51, a więc ochrony osoby w związku z przetwarzaniem jej danych.

RODO a prywatność – cz. 1

Spójrzmy do RODO i zacznijmy od przesłanek, czyli podstaw przetwarzania. Są to okoliczności, które zezwalają na przetwarzanie danych. Jedna z nich, chyba najbardziej kontrowersyjna w kontekście prawa do prywatności to prawnie uzasadniony interes administratora:

Art. 6.1.f – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Na podstawie tej przesłanki wykonujemy test równowagi, który jest elementem oceny w pełni uzasadnionego prawnie interesu administratora. Gdy interes administratora „wygra” w analizie, dane będą przetwarzane. Przesłanek, które zezwalają na przetwarzanie danych, nawet wbrew sprzeciwowi osoby, której dane dotyczą, jest więcej. Jednak już ta jedna powinna udowodnić, że prywatność nie jest celem RODO; może być naruszona, jeśli interes prawny administratora lub strony trzeciej zostanie uznany za nadrzędny.

RODO a prywatność – cz.2

Art. 25 – wiele osób tłumaczy zapisy tego artykułu na j. angielski jako privacy by default – prywatność domyślnie i privacy by design, czyli prywatność w fazie projektowania, podczas gdy sam tytuł artykułu brzmi:

Artykuł 25

Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych

Szukając dalej prywatności w RODO, w wersji angielskiej nie ma mowy o prywatności, a właśnie o ochronie danych:

Article 25

Data protection by design and by default

Bardziej poprawnym działaniem, opisanym w anglojęzycznych materiałach, standardach i wytycznych jest security by design i security by default. Oznacza ochronę w fazie projektowania i ochronę ustawioną domyślnie, co spełnia wymagania RODO. Privacy, a więc prywatność może automatycznie być niezgodna z celem przetwarzania, np. z tym opartym o art. 6.1.f RODO, w związku z tym nie może stanowić podstawy domyślnej ochrony w fazie projektowania, bo nie o nią chodzi, a o ochronę osoby fizycznej.

RODO a prywatność – cz.3

Motyw 4 również wskazuje na to, że prywatność i ochrona danych to dwa różne obszary ochrony:

Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych – zapisanych w Traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego.

Holistyczne podejście – czyli jak pogodzić RODO, prywatność i bezpieczeństwo informacji firmy.

Holistyczne podejście do bezpieczeństwa jest ideą, jaką wdrażamy we wszystkich naszych działaniach. Polega na „otwieraniu drzwi”, a więc identyfikacji wszystkich prowadzonych działań, szukaniu synergii i rozumieniu powiązań. Na podstawie tej identyfikacji możliwe jest określenie zabezpieczeń dla wiodącego obszaru, ale oddziałujące też na inne obszary ochrony, dla których nie były dedykowane. Tak jest między innym z RODO i prywatnością. W obszarach, w których prywatność jest „zgodna” z RODO (ten sam obszar ochrony, narzędzia, rozwiązania), zabezpieczenia wdrażane na podstawie wymagań przepisu o ochronie danych dostarczają bezpieczeństwa w obszarze prywatności. Mimo tego efektu nadal systemy te mają dwa różne cele. Podobnie jest np. we wdrożeniach ISO 27000. System zarządzania bezpieczeństwem informacji (SZBI) oparty o ISO 27001 ma przede wszystkim chronić przedsiębiorcę, który go wdraża. Celem ochrony są interesy, w tym ekonomiczny, reputacja i inne, opisane w trakcie tworzenia zakresu systemu (jeden z etapów). Ochrona danych osobowych, a nawet ochrona prywatności są rozpatrywane z punktu widzenia firmy, nie osób.

Zestrojenie interesu, a więc ochrona przed utratą atrybutów (poufność, dostępność, integralność) danych osobowych, informacji prywatnych i informacji firmowych objętych tajemnicą przedsiębiorstwa nie oznacza zmiany celu wdrożenia systemu. Nadal ochrona jest przewidziana dla firmy, nie dla osoby, której dane dotyczą. To, że rozwiązania spełniają wymagania RODO czy ochrony prywatności jest po prostu celem synergicznym, nie celem głównym.

Przykładowo wdrożenie rozwiązań opartych o ISO 27701 rozwija tylko kwestie ochrony danych, w tym zakresie zapewnienia prywatności, ale w celu, dla którego SZBI został ustanowiony, a nie w celu, który został określony w przepisie prawa. ISO 27701 jest normą z rodziny norm ISO 27000, a nie samodzielnym bytem. Ochrona prywatności to norma ISO 29100 i powiązane z nią normy. Niemniej, to nadal będzie prywatność, a nie ochrona danych osobowych.

Przykłady:

  • Bank i zdolność kredytowa. Wymagane jest podanie informacji o ilości osób na utrzymaniu, czy informacji o sytuacji ekonomicznej. Czy prywatność jest zapewniona?
  • COVID19 i epidemia. Obowiązkowe przykazywanie informacji, z kim się miało kontakt w ostatnich godzinach. Czy prywatność jest zapewniona?

RODO zezwala na te dwa działania wprost. A jest ich zdecydowanie więcej.

Podsumowanie

RODO, prywatność, ochrona informacji nie są łatwymi zagadnieniami. Aby się po nich precyzyjnie poruszać, warto pamiętać o jednej, fundamentalnej zasadzie:

Cel systemu determinuje efekty, jakie chcemy uzyskać.

Wdrażając RODO, nie uzyskamy ochrony prywatności w 100%, bo są wyjątki, które zezwalają, a nawet nakazują jej naruszenie. Wdrażając SZBI oparte o ISO 27001, rozwijane z ISO 27701 nie wdrożymy ochrony danych osobowych w 100%, bo celem jest ochrona organizacji, a nie osoby, której dane dotyczą czy prywatności jej danych.

Obserwując burzę wokół RODO, można dojść do wniosku, że przyjęto jako zasadę, iż dane osobowe mają chronić zawsze w 100% osobę, której dane dotyczą, a więc prywatność jest zrównana z ochroną osoby fizycznej w związku z przetwarzaniem danych. Niestety, to nie ten zakres ochrony, o czym mówią wspomniane przesłanki zawarte w art. 6, 9 i 10 RODO, które w wielu przypadkach naruszać będą prywatność, zezwalając lub wręcz nakazując (przepisy epidemiczne). Naruszenie to nie zawsze będzie oparte na zgodzie, bo wspomniana wyżej umowa z bankiem o kredyt ma zupełnie inną podstawę.

Zrozumienie tej różnicy w celach ochrony jest fundamentem prawidłowego i poprawnego wdrożenia RODO w organizacji. W przeciwnym razie możemy mieć do czynienia z Żandarmem, o którym pisałem w artykule na RODOmaniakach. Żandarm nie zwraca uwagi na cel administratora, zawsze w domyśle stawiając wyżej cel, jakim jest niemalże bezwzględna ochrona informacji o osobie. A to nie o to chodzi w RODO.

Reklama

Wyciek danych z LinkedIn?

W ostatnim czasie media obiegła informacja o tym, że dwa portale społecznościowe padły ofiarami incydentów bezpieczeństwa, a w ich wyniku wyciekły dane osobowe. O ile w przypadku Facebooka miejsce miał rzeczywiście incydent bezpieczeństwa informacji, o tyle na LinkedIn nie do końca można mówić o naruszeniu ochrony w rozumieniu RODO, czy incydentu bezpieczeństwa informacji, którego skutkiem jest utrata poufności. Wystawiona na sprzedaż baza danych użytkowników LinkedIn oparta jest o publiczne, ujawnione dane. Dla przypomnienia, nawet jeśli są to dane szczególnej kategorii, to zgodnie z przepisami z art. 9 takie przetwarzanie jest dozwolone (dane ujawnione w sposób oczywisty).

Metoda, jaką dane zostały pozyskane, nazywa się scrapping i polega na ekstrakcji, czy wręcz pobraniu danych z portali, najczęściej za pomocą aplikacji. Wykonując to w „ręczny” sposób, jest to nieco żmudne, choć są aplikacje, które wspierają np. kolekcjonowanie danych z LinkedIn i importowanie ich bezpośrednio do systemów CRM (customer relationship management, zarządzania relacjami z klientami).

Wróćmy do LinkedIn i ryzyka. Jeśli nie było więc incydentu, który można zaklasyfikować jako naruszenie, czy taki temat w ogóle w RODO nie istnieje?

Ryzyko, a ryzyko

Motyw 75 jest doskonałym poradnikiem klasyfikacji ryzyka w ochronie osób fizycznych w związku z przetwarzaniem ich danych. Wskazuje na 4 podstawowe kategorie, dostarcza przykładów skutków rzędu 2 i 3 (kolejne poziomy ryzyka). Jedną z tych klas jest to, co w naszej pracy nazywamy ryzykiem z przetwarzania, a więc takie ryzyko, które może wynikać z dozwolonego, uprawnionego przetwarzania danych osobowych. Może to być przetwarzanie danych o wyznaniu, zarejestrowane w monitoringu firmy. Może to być właśnie ujawnienie informacji kontaktowych na portalu typu LinkedIn.

Audytem w ryzyko

W trakcie audytów zawsze sprawdzamy proces szacowania i oceny ryzyka. Pominę dziś kwestię właściwych zasobów informacyjnych, czy oceny kompetencji analityków bezpieczeństwa (standard w audycie). W kontekście LinkedIn i scrappingu należy stwierdzić, że do tej pory rzadko, naprawdę rzadko udało nam się znaleźć elementy oceny związane właśnie z dozwolonym przetwarzaniem. Większość firm ma monitoring wizyjny, na którym rejestruje niepełnosprawność, przynależność do konkretnych organizacji (wpinki, piny), czasem nawet poglądy polityczne (artefakty fizyczne popierające partie), wyznanie (poprzez ubiór, czy noszone artefakty). W analizie ryzyka niestety jest tylko skutek z incydentu, a więc niedozwolonego działania.

Sytuację broni nieco obowiązkowe wykonanie analizy wpływu na ochronę danych w przypadku, gdy monitoring wizyjny wyczerpuje zakres przetwarzania, określony w komunikacie Prezesa Urzędu Ochrony Danych Osobowych. Pozostałe obszary są nieco zapomniane. Jak widać na przykładzie LinkedIn- trochę niesłusznie, bo zestaw danych wystawionych w bazach daje naprawdę spore możliwości.

Garść porad

W ocenie ryzyka z przetwarzania:

  • Rozważ, czy dane, które przetwarzasz mogą generować skutki opisane w motywie 75 RODO, nawet jeśli ich przetwarzanie, w tym ujawnienie, jest w pełni dozwolone.
  • Jeśli tak, oszacuj, jak poważne mogą to być skutki. LinkedIn umożliwia pobranie maila, numeru telefonu, stanowiska (oczywiście zależy to od ustawień). To podstawa dużo mocniejsza do próby podszycia się pod inną osobę niż wyciek za jaki np. Energa została ukarana.
  • Jeśli skutki są poważne, opracuj zabezpieczenia. Niech to będzie chociażby informacja dla osoby, której dane dotyczą, gdzie i jak można wykorzystać konkretne dane (przykłady).
  • W budowaniu świadomości rozważ zastosowanie programów i kampanii security awareness.

Podsumowanie

Organ nadzorczy nie może nas ukarać za skutek, jeśli doszło do niego w sposób niezawiniony przez administratora. Szukając natomiast podstaw skutków, nawet tych z dozwolonego przetwarzania, może rozważyć, czy oceniliśmy ryzyko z przetwarzania dozwolonego i czy podjęliśmy jakiekolwiek działania, zmierzające do ochrony osoby, której dane dotyczą, przed tymi skutkami.

Takie podejście miało już miejsce. Ukarano firmę, która wysłała informacje do niewłaściwej osoby. Mimo że osoba, której dane dotyczyły wpisała błędny mail, a więc to ona zawiniła. Istotą „zawinienia” administratora może być brak zabezpieczeń dla integralności (poprawności) danych w trakcie ich zbierania, czyli brak jakiejkolwiek czynności, która pozwoli przyjąć, że dane są poprawne. Przykładowo zapytanie, czy mail jest prawidłowy, odczytanie go, prośba o wpisanie wielkimi literami (zestaw zabezpieczeń organizacyjnych). Można też wysłać maila testowego, wpiętego w proces sprzedaży, do podziękowania za wizytę z dołączoną informacją, że dopiero mail zwrotny będzie stanowić podstawę wysłania dokumentów.

Rozwiązań jest wiele. Warto pamiętać, że RODO wymaga szacowania i oceny ryzyka nie tylko do incydentów, ale również do codziennego, dozwolonego przetwarzania danych. Skutki mogą zaś wynikać nie tylko z naruszenia, ale też z dozwolonego przetwarzania.

Reklama

Polecenie, młodszy brat upoważnienia

Art. 29 RODO doprecyzował wymaganie związane z przetwarzaniem danych osobowych. O ile upoważnienia funkcjonowały w poprzednim stanie prawnym, o tyle polecenie jest nowym wymaganiem wyrażonym wprost w przepisie. Nie jest to jednak całkiem nowe wymaganie. Wynika ono z zasad fundamentalnych RODO, choć wcześniej nie było opisane wprost. Cytując art. 29:

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

W kontekście identyfikacji wymagań, czy to do wdrożenia ochrony, czy audytu RODO warto zauważyć, że wymagań jest tutaj więcej niż jedno. Znajdują się w tym przepisie też pewne uprawnienia, których nie można przenieść. Wynotujmy:

  • Przepis dotyczy każdego, kto przetwarza dane osobowe, niezależnie czy upoważnienie (jeszcze nie polecenie) wydał administrator czy procesor (podmiot przetwarzający).
  • Osoba musi mieć dostęp do danych.
  • Polecenie przetwarzania może wydać tylko administrator.

Omówmy dwa ostatnie wymagania, pierwsze jest oczywiste.

Dostęp do danych

Wyjaśnienia dają najlepszy efekt, gdy są realizowane na przykładach. Na początek przykład przez analogię do innego obszaru bezpieczeństwa informacji – ochrony informacji niejawnych. To, że osoba przejdzie pozytywnie sprawdzenie i otrzyma dostęp do informacji o klauzuli „ściśle tajne”, nie oznacza, że ma dostęp do wszystkich informacji ściśle tajnych. Trudno byłoby uznać, że pracownik firmy prywatnej, który uzyskał poświadczenie bezpieczeństwa (indywidualny certyfikat uprawniający do dostępu do informacji niejawnych o klauzuli „ściśle tajne”), może mieć dostęp np. do instrukcji operacyjnych ABW (dokument regulujący zasady wykonywania zadań przez funkcjonariuszy). Z punktu widzenia poziomu dostępu można uznać, że tak, ale jest jeszcze drugi element, czyli właśnie uprawniony dostęp do informacji.

Analogicznie jest we wszystkich obszarach ochrony informacji, w tym także RODO. Przykładowo  pracownik kadr ma upoważnienie do przetwarzania danych osobowych (zgodę na te czynności), ale wolno mu przetwarzać tylko te, do których ma dostęp (nadanie dostępu). Zawężając przykład osoba pracująca w dziale HR odpowiedzialna za rekrutację, nie powinna mieć dostępu do danych związanych z wypadkami (dotyczy dużych działów, w których można podzielić funkcje). Podział może być również oparty o strukturę. Zespół z CUW – centrum usług wspólnych obsługujący np. Polskę nie powinien mieć dostępu do danych pracowników Rumunii, Niemiec czy Francji.

Polecenie przetwarzania

Pojawia się jako tytuł artykułu i jest bardzo istotne, na tyle, że doczekało się regulacji prawodawcy wprost (wyraźnie określone wymaganie w przepisie prawa). Polecenie przetwarzania należy rozumieć jako wskazanie przetwarzania dokładnie w ten sposób. Podkreśla to fundamentalną zasadę RODO i ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych.

Przetwarzanie musi być celowe, nie może być dziełem przypadku czy chwilowej fanaberii administratora, procesora czy osoby.

Mimo wielkiego bogactwa języka polskiego dość trudno jest wyjaśnić istotę różnicy upoważnienia i polecenia używając pojedynczych słów. Poniżej próba nieco szerszego zdefiniowania:

  • Można – a więc przetwarzanie jest dozwolone (upoważnienie, a wcześniej przesłanka przetwarzania z art. 6, 9, 10),
  • Trzeba – a więc przetwarzanie jest niezbędne dla procesu (biznesowego, prawnego).

Aby uzyskać zgodność z RODO, oba te wymagania muszą być spełnione. Art. 29, jak większość przepisów kierowanych do administratorów i procesorów rozwija zasady fundamentalne RODO, zawarte w art. 5:

  • Można – 5.1.a, czyli zgodność z prawem.
  • Trzeba – 5.1.a, czyli przejrzystość (wiemy, po co i do jakich procesów), 5.1.b- tylko do konkretnych celów (jak wcześniej), 5.1.c- minimalizacja danych (tylko te dane, które w procesie czy jego etapie są niezbędne), 5.1.e- w zakresie przechowywania danych, tylko te, które są niezbędne.

Podsumowanie

Polecenie jako czynność bywa często przeoczone, czy to we wdrożeniach, czy to w audytach RODO. Skupienie się na upoważnieniu powoduje, że mamy spełnioną tylko część wymagań z art. 29 – po prostu zezwoliliśmy na przetwarzanie danych osobowych konkretnej grupie naszych pracowników. Pozostaje część wymagań, które jednocześnie realizują zasady fundamentalne RODO, co jest szczególnie istotne w przypadku nakładanych kar. Uważna lektura pozwala na zauważenie, że decyzje Prezesa UODO zaczynają się dość często ze wskazania konkretnego artykułu z RODO, kończąc jednak na konkluzji wskazującej, która z zasad z art. 5 (fundamentalnych) została naruszona.

Administrator czy kontroler?

Samo upoważnienie powoduje, że nie mamy nadzoru nad tym, kto, kiedy, jakie dane przetwarza. Nie mamy więc kontroli, a to już może być poważny problem, który bywa nie do końca zauważany. Być może z powodu dość swobodnego stosowania definicji.

W języku angielskim, w GDPR administrator danych to controller. Trudno być controllerem, nie mając kontroli nad przetwarzaniem. Administrator mimo wszystko oznacza coś zupełnie innego. Uważajmy więc na pułapki językowe, bo one również wprowadzają nieco zamieszania.

Reklama

Alkomat, badanie temperatury – a jednak można?

W wielu artykułach na łamach RODOmaniaków pisaliśmy o nieco błędnym rozumieniu podstawy prawnej pozyskiwania od pracowników niektórych informacji, w kontekście BHP i zapewnienia ochrony pracowników. Ale nie tego, który stanowi zagrożenie, a tych którym zagraża. 

Stanowisko Prezesa Urzędu Ochrony Danych od lat jest niezmienne. Nie wolno, bo przepis nie zezwala. 

Nasze stanowisko od lat też jest niezmienne. I kształtuje się wokół kilku punktów:

  • Po pierwsze – do przetwarzania danych osobowych pracowników można stosować przesłanki z art 6 i 9 RODO, a więc dotyczące zwykłych i szczególnych kategorii danych. Wszystkie, jakie są uzasadnione do CELU przetwarzania danych osobowych i nie ma wyraźnego zakazu ich stosowania (też zgoda i uzasadniony interes administratora). Organ nadzorczy nie może subiektywnie decydować, które przepisy RODO stosować, a których nie, jeśli nie został do tego uprawniony przepisem. Tu nie został (W szkole w Gdańsku również). 
  • Po drugie – przesłanką do przetwarzania danych osobowych wskazujących na stan zdrowia (dane szczególnych kategorii) jest art 9.2.b. Tym bardziej, że przepis mówi o szczególnych PRAWACH, a więc też ochronie swojego interesu (w treści orzeczenia wskazane między innymi w podstawie rozwiązania umowy o pracę). 
  • Po trzecie Urząd Ochrony Danych Osobowych w swoich publikacjach odpowiada nie na temat. Pytanie brzmi o przesłankę dla pracodawcy, zezwalającą na przetwarzanie zgodnie z obowiązkami pracodawcy w zakresie BHP, odpowiedzi UODO dotyczą NAKAZU przetwarzania w związku z realizacją obowiązków. Zupełnie dwa inne cele przetwarzania danych osobowych. 
  • Po czwarte – ZAWSZE, ale to ZAWSZE należy ocenić równowagę (choć my idziemy dalej, wykonując pełną ocenę prawnie uzasadnionego interesu administratora. 

Linki do naszych przykładowych artykułów:

COVID19 i badanie

Alkomat:

Dalsze cytaty

W istocie więc sprawa niniejsza sprowadzała się do ustalenia, czy prawo do prywatności (choć w incydentalnym zakresie, bowiem ponownie wskazać należy, że pracodawca nie wymagał od pracownika szczegółowych informacji na temat pobytu w określonych miejscach, a jedynie samej informacji o wystąpieniu takiej okoliczności) pracownika stanowi wyższą wartość niż ochrona interesu zbiorowego w postaci zdrowia wszystkich pracowników zakładu pracy.

W ocenie Sądu Okręgowego odpowiedź na te pytanie jest jednoznaczna – priorytetem jest zdrowie i życie wszystkich pracowników zakładu pracy.

Zapis chyba nie wymaga komentarza. Ale warto dodać jeszcze jeden:

Prawo do prywatności nie przedstawia wartości wyższej od zdrowia i życia innych.

Treść orzeczenia znajdziecie na stronie:

http://orzeczenia.olsztyn.so.gov.pl/content/$N/150515000002015_IV_Pa_000079_2020_Uz_2021-01-29_003 

Podsumowując

RODO nie może być postrzegane jako bezwzględna ochrona jednostki. Jest to ogromny błąd, widoczny nie tylko w doborze przesłanki i ograniczeniach w ich stosowaniu. 

Widoczny jest często w szacowaniu i ocenie ryzyka dla ochrony danych osobowych. Wielu specjalistów skupia się na skutkach z naruszenia ochrony, a więc co się stanie w związku z ujawnieniem danych, zniekształceniem czy zniszczeniem. 

A tymczasem motyw 75 pokazuje, że powinny być też rozważane tzw. ryzyka z przetwarzania, a więc z samych czynności, w których nie zawsze podmiot danych (osoba, której dane dotyczą) wyraża zgodę na ich przetwarzanie. 

To jest istota wykonywanych analiz zarówno w ramach pełnej oceny uzasadnionego prawnie interesu administratora (nie tylko testu równowagi), ale również w zakresie analizy DPIA – oceny wpływu na ochronę danych. W obu tych działaniach rozpatrujemy sytuacje, w których podmiot danych chętnie by powiedział – NIE ZGADZAM SIĘ. Ale nie może. Bo są inne osoby, podmioty, dla których przetwarzanie danych jest niezbędne aby osiągnąć prawnie uzasadniony cel. 

Przykładów w RODO na uzasadnienie tezy, że nie jest to bezwzględna ochrona osoby można znaleźć wiele. Dobrze, że wyrok się pojawił, ja czekam z niecierpliwością na Naczelny Sąd Administracyjny w sprawie szkoła vs UODO. 

Reklama

UODO utwardza stanowisko w sprawie zgłoszenia naruszeń

W ostatnim czasie Prezes Urzędu Ochrony Danych Osobowych nie ma lekko. Wojewódzki Sąd Administracyjny orzekł, że kara nałożona na szkołę w Gdańsku oparta była na naruszeniu prawa przez organ nadzorczy w zakresie interpretacji przepisów. Naruszenie polegało na zastosowaniu interpretacji niezgodnej z zasadami prawa europejskiego.

Organ upierał się na stanowisku, w którym zgoda nie może być uznana za prawidłowo wyrażoną. Warto zacytować:

W tej sytuacji, Sąd uznał, że – wbrew stanowisku organu nadzorczego – skarżąca Szkoła nie naruszyła generalnego zakazu przetwarzania danych osobowych ustanowionego w przepisie art. 9 ust. 1 RODO, albowiem legitymowała się wyraźną zgodą na przetwarzanie danych biometrycznych uczniów udzieloną przez ich rodziców.

Naruszenia w praktyce UODO

Powyższe wskazuje na wyjątkowo twardą linię interpretacyjną organu (nie pierwszy już raz), w której wszelkie wyjątki, uzasadnienia do nich są traktowane jako niedozwolone lub jako próby obejścia prawa.

Podobnie zaczyna sprawa wyglądać w przypadku zgłoszenia naruszeń. Przepis art. 33 RODO stanowi, że nie trzeba zgłaszać naruszenia organowi, jeśli jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw i wolności. Na swojej stronie organ publikuje artykuł o wymownym tytule:

O naruszeniu ochrony danych trzeba powiadomić organ nadzorczy

Link do artykułu: Aktualności – UODO

A następnie opisuje przykład spółki ENEA, jako ukaranej za brak zgłoszenia. Pytanie tylko, z jakiego powodu organ odrzucił tłumaczenie spółki, w którym ta wyjaśniała, że po przeprowadzeniu postępowania doszła do wniosku, że jest małe prawdopodobieństwo naruszenia.

Wydaje się, że po raz kolejny inspektorzy organu zdają się nie zauważać, że elementem ryzyka jest prawdopodobieństwo. Estymacja skutku, czyli wymyślanie co się może stać, jakie będą efekty to jest jedna ze składowych. Drugą jest prawdopodobieństwo.

Czy naprawdę prawdopodobieństwo wykorzystania danych przez normalnego obywatela, działającego zgodnie z prawem będzie wysokie? Jeśli dowie się, że posiadanie tych danych może stanowić przestępstwo z art. 107 UODO?

Podsumowanie

Jak widać to już drugi obszar działania, w którym organ stawia na twarde stanowisko. Warto przygotować się dobrze do naruszeń, jak i do przetwarzania w oparciu o różne przesłanki.

A czy zgłaszać wszystkie naruszenia? Zapewne urząd tak by chciał.

Reklama

Żandarm czy doradca?

Wiele osób z zaskoczeniem przyjęło wyrok WSA w sprawie szkoły podstawowej, która używała biometrii do weryfikacji uprawnienia do korzystania ze stołówki. Myślę, że potrzebne jest kilka zdań wprowadzenia w tematykę, aby zrozumieć tytuł dzisiejszego felietonu. 

Biometria nie była przymusem. Było kilkoro dzieci, których rodzice nie zgodzili się na używanie odcisku palca do weryfikacji i one miały bardziej klasyczne sposoby. Za wiele w Internecie nie ma, załóżmy że był to kwit z kasy lub coś podobnego. 

Wprowadzenie do przepisów prawa

Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

Czy możemy je przetwarzać? Tak, po spełnieniu co najmniej jednej z przesłanek, określonych w art 9 RODO:

osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

Podsumowując krótko te dwa przepisy w punktach:

  1. Zgoda jest wystarczającą przesłanką do przetwarzania danych osobowych, w tym danych biometrycznych;
  2. Zgoda według informacji została wyrażona poprawnie. 

Przetwarzanie danych dzieci jest chronione w RODO w sposób szczególny. Zgoda wyrażona przez prawnych opiekunów, czy dokładniej jej weryfikacja opisana została też w art 9. Choć dotyczy społeczeństwa informacyjnego, a więc przetwarzania danych dzieci w sieci Internet możemy znaleźć w niej pewną wskazówkę. Ocenie ma podlegać to, czy została wyrażona. Absolutnie nie ma tutaj zapisu o ograniczeniu praw do opieki, bo tym nieco trąci wiele komentarzy w Internecie, dotyczących tego przypadku. 

Żandarm, czy doradca?

Wiele osób ze środowiska RODO, często prawników stosuje pewne niepisane zasady traktując je jako prawo. Tak też odbieram komentarze o tej decyzji. Zaskoczenie to najsłabsza z reakcji. W tym momencie wracam do kwestii czytania przepisu jak jest. A w cytacie wyżej jest przecież bardzo znamienna fraza:

chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

Oznacza to, że prawodawca krajowy może zakazać przetwarzania danych biometrycznych w konkretnych przypadkach. A skoro nie zakazał, to nie zakazał. Zgoda jest jak najbardziej poprawna.

Warsztat RODO

W ramach wielu działań związanych z tworzeniem systemów ochrony danych osobowych realizuje tzw. ocenę prawnie uzasadnionego interesu administratora. Jednym z jego elementów jest ocena przez test równowagi. Jednym z, bo narzędzie zostało opracowane tak, aby korzystać z niego w innych przypadkach. W takich, w których często są “nigdzie nie wyrażone zasady” (nieuprawnione zawężanie przepisu prawa, wprowadzanie dodatkowych zakazów) takie jak:

  • Zgoda nie może być podstawą przetwarzania w stosunku pracy
  • Dane biometryczne nie mogą być podstawą weryfikacji uprawnień
  • Alkomat nie może być stosowany przez pracodawcę

I wiele innych. A teraz weźmy do ręki test równowagi i rozważmy go w szkole. 

Model klasyczny: dziecko posiada potwierdzenie płatności. Czy to jest zaszyte w karcie zbliżeniowej, czy na dokumencie, który dziecko musi okazać. Nie ma znaczenia, choć elektronicznie będzie szybciej.

Są jednak pewne “ale”:

  • Dziecko może zgubić lub zapomnieć, karty kartki. A przerwa leci. 
  • Ktoś może dziecku to ukraść. I nie zje. 

Co jest tutaj interesem osoby, której dane dotyczą? Przesadna i nadmierna ochrona danych w imię poprawności prawie-prawnej (bo to przekonania środowiska, nie przepis) czy jednak to, aby dziecko zjadło obiad? 

Przypomnę tytuł aktu prawnego, bo naprawdę wiele osób zapomina:

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych

A nie 

W sprawie ochrony danych osobowych 

A więc może poprawnie będzie najpierw rozważyć interes osoby, których dane dotyczą, a dopiero potem bezpieczeństwo tej osoby związane z przetwarzaniem jej danych, a nie zaczynamy od danych i niepisanych zasad? I stawiamy, jakże powszechnie w RODO, zakaz “na wszelki wypadek”. Z “co do zasady można, ale nie”.

Dane wrażliwe

To termin, który kryje za sobą wiele ciekawych wątków. Otóż w wielu przypadkach młodzi eksperci RODO (tak do 2-3 lat doświadczenia) uważają, że są to dane opisane właśnie jako biometryczne, genetyczne, dotyczące zdrowia, w skrócie opisane w art. 9 i 10 RODO. A to nie do końca tak, bo wrażliwość w podejściu do danych wynika z wrażliwości zasobu chronionego, a więc osoby której dotyczą. Nie będę za bardzo dziś wchodził w kwestię szacowania i oceny ryzyka, żeby nie zgubić wątku głównego. Jednak z ryzykiem to jest powiązane. 

  • Dlaczego karta kredytowa, jej numer z numerem CCV/CVC to dane wrażliwe? Bo jej nieautoryzowane wykorzystanie może grozić obniżeniem warunków ekonomicznych osoby. 
  • Dlaczego dane biometryczne są wrażliwe? Bo identyfikują osobę w sposób bezpośredni i jednostkowy, całkowicie niezaprzeczalny. Każda osoba ma własny krój odciska palca, w kryminalistyce te wszystkie linie, zagięcia, węzełki mają swoje nazwy. Dodatkowo do pełnej identyfikacji używa się co najmniej kilku-kilkunastu z nich. 

To o odciskach palców to wiedza ze szkolenia z technik kryminalistycznych, jakie przechodziłem spory czas temu, ale pamiętam. Pamiętam też, z tego samego szkolenia organizowanego między innymi przez Centralne Laboratorium Kryminalistyczne KGP, że w identyczny sposób identyfikowana jest osoba po piśmie. Nacisk na długopis, zawijasy, kropki, odległości, skupienie liter, szczyty – one wszystkie są tak, jak w odcisku palca. Katalog podstawowy cech pisma zawiera aż sześć grup. 

  • Dlaczego podpis może być wrażliwy? Bo w zestawieniu z numerem dowodu i numerem PESEL stanowić może podstawę wypłaty gotówki z banku. 

Podsumowanie

Podgrzanie Internetu decyzją sądu jest dla mnie dość zrozumiałe i powtarzalne. Po raz kolejny dotyczy rozkładania na części aktu prawnego, często w odniesieniu do “niepisanych zasad”, które wiele osób myli z prawem. Rozkminianie w lewo i prawo czy wykładnia celowościowa, czy słownikowa, a tymczasem w przepisie jest wprost. MOŻNA. I prawodawca może ograniczyć. Jeśli nie ograniczył, znaczy drugi raz – MOŻNA. Tak samo jak zgodę w relacji pracownik-pracodawca. Ograniczyć za to nie może organ nadzorczy, ani doradca RODO, ani IOD. Co wynika wprost z wyroku. 

W tych dyskusjach mam wrażenie, że zapomina się o istocie RODO, czyli ochronie osoby fizycznej. To też wygoda osoby fizycznej, w posługiwaniu się danymi. Też uprawnienie korzystania. 

PS czyli podsumowanie 2. Czy ujmujecie w swoich “klauzulach informacyjnych”  przetwarzanie unikalnych danych, jakimi są podpisy? Np., w Instrukcji Bezpieczeństwa Pożarowego, w dokumencie z dziedziny BHP, na karcie zapoznania z czynnikami ryzyka na obiekcie, z listami na bramie u ochrony fizycznej, czy w recepcji. Wiele tych miejsc jest. Ale najciekawsze dla mnie to podpisanie zapoznania się z klauzulą informacyjną. Bez informacji, że wzór mojego podpisu będzie przechowywany razem z klauzulą. Podstawy prawnej na to też nie dostałem. A IOD do dziś tworzy odpowiedź. Czyżby sposób na ciekawe zawiadomienie? 

Reklama

#RODOmaniacy w Social

804FaniLubię
1,981ObserwującyObserwuj
27SubskrybującySubskrybuj
- Advertisement -

Ostatnio dodane

error: Zawartość jest chroniona !!