Zrozumieć wymagania RODO

Jednym z większych problemów w stosowaniu RODO jest rozumienie jego wymagań. Mimo że są dość precyzyjnie opisane w artykułach, a wyjaśnione dodatkowo w motywach (oznaczone w nawiasach na początku aktu prawnego), wciąż stosowane bywają założenia i przekonania wypracowane przez 20 lat obowiązywania wcześniejszych rozwiązań prawnych.

Wykładnia słownikowa

Zaskakujące jest to, że wielu specjalistów RODO stosuje wykładnię słownikową, a więc dokładnie, wręcz co do przecinka, czytają akt prawny, który jednak w swoim założeniu jest napisany nieco inaczej niż polskie przepisy. Przypomnijmy, akt ten jest prawem europejskim, stosowane są do niego zasady europejskie. W Polsce zasady tworzenia przepisu prawnego (co powinien zawierać, czego nie powinien) określa natomiast tzw. technika prawodawcza. Jest ona szeregiem zasad zebranych w załączniku do Rozporządzenia Prezesa Rady Ministrów z dnia 20 czerwca 2002 r. w sprawie “Zasad techniki prawodawczej”.

Z powodu różnic w podejściu do aktów prawnych w różnych krajach i tego, że RODO musi być aktem uniwersalnym, możliwym do stosowania w krajach o różnym sposobie stanowienia i stosowania prawa, wykorzystanie naszych krajowych metod do „rozumienia” bywa nieco zdradliwe. Jednym z takich przykładów jest „wykładnia” jednego z prawników, dotycząca obowiązku podjęcia działań związanych z naruszeniem ochrony danych osobowych. Cytat z przepisu:

Art. 34.1 Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Otóż na podstawie literalnego i wręcz dosłownego przeczytania przepisu, zdaniem tego specjalisty nie wymaga poinformowania takie naruszenie, które dotyczy naruszenia praw jednej osoby. Ponieważ w przepisie jest napisane, że musi być wysokie ryzyko naruszania praw lub wolności osób, nie osoby.  Pozostawiamy czytelnikom zestawienie tej interpretacji z celem wdrożenia RODO, motywami wyjaśniającymi cel i zasady stosowania w tym też art. 33 i 34 RODO.

Reasumując ten krótki wstęp, RODO sprawia problemy interpretacyjne, utrudniające identyfikację wymagań, a więc tego, co należy zrealizować, czy jaki stan osiągnąć.

RODO jako kompletny poradnik?

RODO jest napisane w taki sposób, aby było kompletnym poradnikiem wdrożenia. Przypomina nieco normy ISO, które w jednym zeszycie zawierają zarówno wymagania do wdrożenia (requirements), jak i przewodnik, i poradnik (guidline). W zakresie wymagań natomiast skupia się na realizacji zasad fundamentalnych, zawartych w art. 5. Pozostałe artykuły, a w niektórych przypadkach całe rozdziały zawierają uszczegółowienie co do przedsięwzięć, jakie należy wdrożyć, aby uzyskać zgodność z przepisem, a w efekcie (to jest istotniejsze) ochronę osoby fizycznej w związku z przetwarzaniem jej danych osobowych,

Jednym z ciekawszych wymagań w RODO jest rozliczalność, co do której bywają problemy z wykazaniem. Zacytujmy przepis z art. 5 (jeden z fundamentów):

 Art. 5.2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Pozostając przy koncepcji, w której art. 5 stanowi fundamenty, a pozostałe przepisy określają, co należy robić, przyjrzyjmy się obowiązkowi rozliczalności. W trakcie jednego z warsztatów na szkoleniu Audytor RODO uczestnicy wybrali jako ćwiczenie zrozumienie wymagań art. 24. Zacytujmy:

Art. 24.1.   Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Co administrator ma zrobić? (zadania):

  • Przetwarzanie ma się odbywać zgodnie z rozporządzeniem (RODO),
  • Administrator musi udowodnić (wykazać), że tak się dzieje.

Jak ma to zrobić? (wymagania ogólne):

Wdrażając odpowiednie środki:

  • Techniczne,
  • Organizacyjne

Jak je dobrać (wymagania szczegółowe):

Uwzględniając:

  • Charakter przetwarzania,
  • Kontekst przetwarzania,
  • Cele przetwarzania,
  • Ryzyko naruszenia praw i wolności.

Spory zestaw wymagań praktycznie do każdego przepisu. Dla próby w trakcie szkolenia wykonaliśmy identyfikację wymagań z art. 12 RODO. Wstępnie miał być 13, ale jako że art. 13 jest przepisem instrukcyjnym, precyzyjnie określającym zawartość treści informacji dla osoby, wróciliśmy do art. 12.

Wymaganie art. 12.1

Co jest treścią wymagania z art. 12.1? Wbrew pozorom nie jest to dostarczenie informacji zwięzłej, jasnej, przejrzystej. Zacytujmy przepis:

12.1.   Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (…)

Ta część przepisu wymaga, aby administrator podjął odpowiednie środki do uzyskania efektu. Dlaczego wymaganiem tym nie jest efekt w postaci zrozumienia? Ponieważ ten jest określony jako cel wynikający z zasad fundamentalnych RODO, art. 5.1.a.

Zasady fundamentalne mają określone sposoby wykonania, działania, wymagania, co do realizacji w dalszych przepisach RODO. Warto też pamiętać o art. 5.2 oraz 24, czyli o rozliczalności. W tym konkretnym aspekcie administrator musi „rozliczyć” podjęcie środków. Najczęstszą niezgodnością w tym zakresie jest brak jakiegokolwiek działania zmierzającego do tego, aby informacje były zrozumiałe, zwięzłe i napisane prostym i jasnym językiem. Użycie języka prawniczego, np. nazwanie informacji klauzulą informacyjną, przeniesienie bez wyjaśnienia definicji z przepisu w sytuacji, gdy odbiorcą komunikatu (osobą, której dane są przetwarzane) jest osoba bez wykształcenia prawniczego, z  wykształceniem ogólnym, jest tylko dowodem na niezrozumiałość komunikatu. Aby poprawnie określić niezgodność i wskazać rekomendacje, konieczne jest pozyskanie informacji, co administrator zrobił, aby ten komunikat był zrozumiały dla odbiorcy. Analogicznie do tego toku rozumowania pisane są uzasadnienia do decyzji i wskazane naruszenia z przepisów prawa przez organy nadzorcze. Wskazują one często naruszenie konkretnego przepisu z dalszej części RODO, jednocześnie odnosząc się do zasad fundamentalnych z art. 5 jako skutku.

Jak napisaliśmy na początku – RODO jest poradnikiem i wymaganiem w jednym.

Podsumowanie.

Zrozumienie wymagań jest kluczowe do poprawnego audytowania oraz poprawnego wdrożenia systemu ochrony danych osobowych w organizacji. Popularnie nazywa się to „wdrożeniem RODO”. Jednak to nie przepisy prawa są wdrażane, a system opracowany przez twórcę, spójny z organizacją, biorący pod uwagę kontekst, charakter i cele przetwarzania, wiedzę techniczną oraz wyniki pochodzące z szacowania i oceny ryzyka.

Przy tej ilości parametrów do spełnienia naturalnym efektem jest to, że system w każdej organizacji jest inny. Podobieństwo występuje jedynie w przebiegu procesu wdrożenia, a więc konkretne czynności, jakie należy wykonać, aby zidentyfikować wszystkie te parametry, uwzględnić je w założeniach do projektu, a następnie wdrożyć, a więc doprowadzić do stanu, w którym system będzie działał.

Reklama

Gdzie kończy się prywatność, a zaczynają dane osobowe?

Dynamiczny rozwój mediów społecznościowych, coraz większa świadomość wagi informacji jako zasobu oraz naturalna potrzeba człowieka do ochrony prywatności, przekładające się na kolejne regulacje prawne, normy i standardy, w tym ISO powodują, że specjaliści bezpieczeństwa informacji, ochrony prywatności czy danych osobowych zaczynają się czuć jak na kolejce górskiej. Chaos pogłębiać może też różne definiowanie zjawisk, stanów, zagadnień w przepisach prawa, standardach i normach międzynarodowych.

W artykule porównamy ochronę danych osobowych z prywatnością, wskazując, że cele ustanowienia ochrony tych dwóch obszarów wcale nie są identyczne, a jedynie zbieżne w niektórych przypadkach. I nie można przyjąć założenia, że ochrona danych jest tym samym, co ochrona prywatności. Aspektowi definicji prywatności z innych krajów poświęcimy inny artykuł.

RODO a prywatność

Celem RODO jest ochrona osoby fizycznej w związku z przetwarzaniem jej danych osobowych, ale czy to oznacza, że celem jest też ochrona prywatności? Zacytujmy dwa przepisy z Konstytucji, które mówią o prawach i wolnościach:

Art. 47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.

Oraz drugi przepis:

Art. 51.

Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.

Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.

Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.

Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

Nieco na skróty potraktujmy, że RODO = Ustawa, w przeciwnym razie artykuł zmieni cel i będzie omawiał źródła prawa w Polsce. A nie taka jest jego intencja.

Prywatność w naszym potocznym (i nie tylko) rozumieniu to art. 47. Natomiast RODO spełnia już w art. 5 (zasady fundamentalne), 6, 9 i 10 (podstawy przetwarzania danych osobowych) wymagania z art. 51, a więc ochrony osoby w związku z przetwarzaniem jej danych.

RODO a prywatność – cz. 1

Spójrzmy do RODO i zacznijmy od przesłanek, czyli podstaw przetwarzania. Są to okoliczności, które zezwalają na przetwarzanie danych. Jedna z nich, chyba najbardziej kontrowersyjna w kontekście prawa do prywatności to prawnie uzasadniony interes administratora:

Art. 6.1.f – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Na podstawie tej przesłanki wykonujemy test równowagi, który jest elementem oceny w pełni uzasadnionego prawnie interesu administratora. Gdy interes administratora „wygra” w analizie, dane będą przetwarzane. Przesłanek, które zezwalają na przetwarzanie danych, nawet wbrew sprzeciwowi osoby, której dane dotyczą, jest więcej. Jednak już ta jedna powinna udowodnić, że prywatność nie jest celem RODO; może być naruszona, jeśli interes prawny administratora lub strony trzeciej zostanie uznany za nadrzędny.

RODO a prywatność – cz.2

Art. 25 – wiele osób tłumaczy zapisy tego artykułu na j. angielski jako privacy by default – prywatność domyślnie i privacy by design, czyli prywatność w fazie projektowania, podczas gdy sam tytuł artykułu brzmi:

Artykuł 25

Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych

Szukając dalej prywatności w RODO, w wersji angielskiej nie ma mowy o prywatności, a właśnie o ochronie danych:

Article 25

Data protection by design and by default

Bardziej poprawnym działaniem, opisanym w anglojęzycznych materiałach, standardach i wytycznych jest security by design i security by default. Oznacza ochronę w fazie projektowania i ochronę ustawioną domyślnie, co spełnia wymagania RODO. Privacy, a więc prywatność może automatycznie być niezgodna z celem przetwarzania, np. z tym opartym o art. 6.1.f RODO, w związku z tym nie może stanowić podstawy domyślnej ochrony w fazie projektowania, bo nie o nią chodzi, a o ochronę osoby fizycznej.

RODO a prywatność – cz.3

Motyw 4 również wskazuje na to, że prywatność i ochrona danych to dwa różne obszary ochrony:

Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych – zapisanych w Traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego.

Holistyczne podejście – czyli jak pogodzić RODO, prywatność i bezpieczeństwo informacji firmy.

Holistyczne podejście do bezpieczeństwa jest ideą, jaką wdrażamy we wszystkich naszych działaniach. Polega na „otwieraniu drzwi”, a więc identyfikacji wszystkich prowadzonych działań, szukaniu synergii i rozumieniu powiązań. Na podstawie tej identyfikacji możliwe jest określenie zabezpieczeń dla wiodącego obszaru, ale oddziałujące też na inne obszary ochrony, dla których nie były dedykowane. Tak jest między innym z RODO i prywatnością. W obszarach, w których prywatność jest „zgodna” z RODO (ten sam obszar ochrony, narzędzia, rozwiązania), zabezpieczenia wdrażane na podstawie wymagań przepisu o ochronie danych dostarczają bezpieczeństwa w obszarze prywatności. Mimo tego efektu nadal systemy te mają dwa różne cele. Podobnie jest np. we wdrożeniach ISO 27000. System zarządzania bezpieczeństwem informacji (SZBI) oparty o ISO 27001 ma przede wszystkim chronić przedsiębiorcę, który go wdraża. Celem ochrony są interesy, w tym ekonomiczny, reputacja i inne, opisane w trakcie tworzenia zakresu systemu (jeden z etapów). Ochrona danych osobowych, a nawet ochrona prywatności są rozpatrywane z punktu widzenia firmy, nie osób.

Zestrojenie interesu, a więc ochrona przed utratą atrybutów (poufność, dostępność, integralność) danych osobowych, informacji prywatnych i informacji firmowych objętych tajemnicą przedsiębiorstwa nie oznacza zmiany celu wdrożenia systemu. Nadal ochrona jest przewidziana dla firmy, nie dla osoby, której dane dotyczą. To, że rozwiązania spełniają wymagania RODO czy ochrony prywatności jest po prostu celem synergicznym, nie celem głównym.

Przykładowo wdrożenie rozwiązań opartych o ISO 27701 rozwija tylko kwestie ochrony danych, w tym zakresie zapewnienia prywatności, ale w celu, dla którego SZBI został ustanowiony, a nie w celu, który został określony w przepisie prawa. ISO 27701 jest normą z rodziny norm ISO 27000, a nie samodzielnym bytem. Ochrona prywatności to norma ISO 29100 i powiązane z nią normy. Niemniej, to nadal będzie prywatność, a nie ochrona danych osobowych.

Przykłady:

  • Bank i zdolność kredytowa. Wymagane jest podanie informacji o ilości osób na utrzymaniu, czy informacji o sytuacji ekonomicznej. Czy prywatność jest zapewniona?
  • COVID19 i epidemia. Obowiązkowe przykazywanie informacji, z kim się miało kontakt w ostatnich godzinach. Czy prywatność jest zapewniona?

RODO zezwala na te dwa działania wprost. A jest ich zdecydowanie więcej.

Podsumowanie

RODO, prywatność, ochrona informacji nie są łatwymi zagadnieniami. Aby się po nich precyzyjnie poruszać, warto pamiętać o jednej, fundamentalnej zasadzie:

Cel systemu determinuje efekty, jakie chcemy uzyskać.

Wdrażając RODO, nie uzyskamy ochrony prywatności w 100%, bo są wyjątki, które zezwalają, a nawet nakazują jej naruszenie. Wdrażając SZBI oparte o ISO 27001, rozwijane z ISO 27701 nie wdrożymy ochrony danych osobowych w 100%, bo celem jest ochrona organizacji, a nie osoby, której dane dotyczą czy prywatności jej danych.

Obserwując burzę wokół RODO, można dojść do wniosku, że przyjęto jako zasadę, iż dane osobowe mają chronić zawsze w 100% osobę, której dane dotyczą, a więc prywatność jest zrównana z ochroną osoby fizycznej w związku z przetwarzaniem danych. Niestety, to nie ten zakres ochrony, o czym mówią wspomniane przesłanki zawarte w art. 6, 9 i 10 RODO, które w wielu przypadkach naruszać będą prywatność, zezwalając lub wręcz nakazując (przepisy epidemiczne). Naruszenie to nie zawsze będzie oparte na zgodzie, bo wspomniana wyżej umowa z bankiem o kredyt ma zupełnie inną podstawę.

Zrozumienie tej różnicy w celach ochrony jest fundamentem prawidłowego i poprawnego wdrożenia RODO w organizacji. W przeciwnym razie możemy mieć do czynienia z Żandarmem, o którym pisałem w artykule na RODOmaniakach. Żandarm nie zwraca uwagi na cel administratora, zawsze w domyśle stawiając wyżej cel, jakim jest niemalże bezwzględna ochrona informacji o osobie. A to nie o to chodzi w RODO.

Reklama

Wyciek danych z LinkedIn?

W ostatnim czasie media obiegła informacja o tym, że dwa portale społecznościowe padły ofiarami incydentów bezpieczeństwa, a w ich wyniku wyciekły dane osobowe. O ile w przypadku Facebooka miejsce miał rzeczywiście incydent bezpieczeństwa informacji, o tyle na LinkedIn nie do końca można mówić o naruszeniu ochrony w rozumieniu RODO, czy incydentu bezpieczeństwa informacji, którego skutkiem jest utrata poufności. Wystawiona na sprzedaż baza danych użytkowników LinkedIn oparta jest o publiczne, ujawnione dane. Dla przypomnienia, nawet jeśli są to dane szczególnej kategorii, to zgodnie z przepisami z art. 9 takie przetwarzanie jest dozwolone (dane ujawnione w sposób oczywisty).

Metoda, jaką dane zostały pozyskane, nazywa się scrapping i polega na ekstrakcji, czy wręcz pobraniu danych z portali, najczęściej za pomocą aplikacji. Wykonując to w „ręczny” sposób, jest to nieco żmudne, choć są aplikacje, które wspierają np. kolekcjonowanie danych z LinkedIn i importowanie ich bezpośrednio do systemów CRM (customer relationship management, zarządzania relacjami z klientami).

Wróćmy do LinkedIn i ryzyka. Jeśli nie było więc incydentu, który można zaklasyfikować jako naruszenie, czy taki temat w ogóle w RODO nie istnieje?

Ryzyko, a ryzyko

Motyw 75 jest doskonałym poradnikiem klasyfikacji ryzyka w ochronie osób fizycznych w związku z przetwarzaniem ich danych. Wskazuje na 4 podstawowe kategorie, dostarcza przykładów skutków rzędu 2 i 3 (kolejne poziomy ryzyka). Jedną z tych klas jest to, co w naszej pracy nazywamy ryzykiem z przetwarzania, a więc takie ryzyko, które może wynikać z dozwolonego, uprawnionego przetwarzania danych osobowych. Może to być przetwarzanie danych o wyznaniu, zarejestrowane w monitoringu firmy. Może to być właśnie ujawnienie informacji kontaktowych na portalu typu LinkedIn.

Audytem w ryzyko

W trakcie audytów zawsze sprawdzamy proces szacowania i oceny ryzyka. Pominę dziś kwestię właściwych zasobów informacyjnych, czy oceny kompetencji analityków bezpieczeństwa (standard w audycie). W kontekście LinkedIn i scrappingu należy stwierdzić, że do tej pory rzadko, naprawdę rzadko udało nam się znaleźć elementy oceny związane właśnie z dozwolonym przetwarzaniem. Większość firm ma monitoring wizyjny, na którym rejestruje niepełnosprawność, przynależność do konkretnych organizacji (wpinki, piny), czasem nawet poglądy polityczne (artefakty fizyczne popierające partie), wyznanie (poprzez ubiór, czy noszone artefakty). W analizie ryzyka niestety jest tylko skutek z incydentu, a więc niedozwolonego działania.

Sytuację broni nieco obowiązkowe wykonanie analizy wpływu na ochronę danych w przypadku, gdy monitoring wizyjny wyczerpuje zakres przetwarzania, określony w komunikacie Prezesa Urzędu Ochrony Danych Osobowych. Pozostałe obszary są nieco zapomniane. Jak widać na przykładzie LinkedIn- trochę niesłusznie, bo zestaw danych wystawionych w bazach daje naprawdę spore możliwości.

Garść porad

W ocenie ryzyka z przetwarzania:

  • Rozważ, czy dane, które przetwarzasz mogą generować skutki opisane w motywie 75 RODO, nawet jeśli ich przetwarzanie, w tym ujawnienie, jest w pełni dozwolone.
  • Jeśli tak, oszacuj, jak poważne mogą to być skutki. LinkedIn umożliwia pobranie maila, numeru telefonu, stanowiska (oczywiście zależy to od ustawień). To podstawa dużo mocniejsza do próby podszycia się pod inną osobę niż wyciek za jaki np. Energa została ukarana.
  • Jeśli skutki są poważne, opracuj zabezpieczenia. Niech to będzie chociażby informacja dla osoby, której dane dotyczą, gdzie i jak można wykorzystać konkretne dane (przykłady).
  • W budowaniu świadomości rozważ zastosowanie programów i kampanii security awareness.

Podsumowanie

Organ nadzorczy nie może nas ukarać za skutek, jeśli doszło do niego w sposób niezawiniony przez administratora. Szukając natomiast podstaw skutków, nawet tych z dozwolonego przetwarzania, może rozważyć, czy oceniliśmy ryzyko z przetwarzania dozwolonego i czy podjęliśmy jakiekolwiek działania, zmierzające do ochrony osoby, której dane dotyczą, przed tymi skutkami.

Takie podejście miało już miejsce. Ukarano firmę, która wysłała informacje do niewłaściwej osoby. Mimo że osoba, której dane dotyczyły wpisała błędny mail, a więc to ona zawiniła. Istotą „zawinienia” administratora może być brak zabezpieczeń dla integralności (poprawności) danych w trakcie ich zbierania, czyli brak jakiejkolwiek czynności, która pozwoli przyjąć, że dane są poprawne. Przykładowo zapytanie, czy mail jest prawidłowy, odczytanie go, prośba o wpisanie wielkimi literami (zestaw zabezpieczeń organizacyjnych). Można też wysłać maila testowego, wpiętego w proces sprzedaży, do podziękowania za wizytę z dołączoną informacją, że dopiero mail zwrotny będzie stanowić podstawę wysłania dokumentów.

Rozwiązań jest wiele. Warto pamiętać, że RODO wymaga szacowania i oceny ryzyka nie tylko do incydentów, ale również do codziennego, dozwolonego przetwarzania danych. Skutki mogą zaś wynikać nie tylko z naruszenia, ale też z dozwolonego przetwarzania.

Reklama

Polecenie, młodszy brat upoważnienia

Art. 29 RODO doprecyzował wymaganie związane z przetwarzaniem danych osobowych. O ile upoważnienia funkcjonowały w poprzednim stanie prawnym, o tyle polecenie jest nowym wymaganiem wyrażonym wprost w przepisie. Nie jest to jednak całkiem nowe wymaganie. Wynika ono z zasad fundamentalnych RODO, choć wcześniej nie było opisane wprost. Cytując art. 29:

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

W kontekście identyfikacji wymagań, czy to do wdrożenia ochrony, czy audytu RODO warto zauważyć, że wymagań jest tutaj więcej niż jedno. Znajdują się w tym przepisie też pewne uprawnienia, których nie można przenieść. Wynotujmy:

  • Przepis dotyczy każdego, kto przetwarza dane osobowe, niezależnie czy upoważnienie (jeszcze nie polecenie) wydał administrator czy procesor (podmiot przetwarzający).
  • Osoba musi mieć dostęp do danych.
  • Polecenie przetwarzania może wydać tylko administrator.

Omówmy dwa ostatnie wymagania, pierwsze jest oczywiste.

Dostęp do danych

Wyjaśnienia dają najlepszy efekt, gdy są realizowane na przykładach. Na początek przykład przez analogię do innego obszaru bezpieczeństwa informacji – ochrony informacji niejawnych. To, że osoba przejdzie pozytywnie sprawdzenie i otrzyma dostęp do informacji o klauzuli „ściśle tajne”, nie oznacza, że ma dostęp do wszystkich informacji ściśle tajnych. Trudno byłoby uznać, że pracownik firmy prywatnej, który uzyskał poświadczenie bezpieczeństwa (indywidualny certyfikat uprawniający do dostępu do informacji niejawnych o klauzuli „ściśle tajne”), może mieć dostęp np. do instrukcji operacyjnych ABW (dokument regulujący zasady wykonywania zadań przez funkcjonariuszy). Z punktu widzenia poziomu dostępu można uznać, że tak, ale jest jeszcze drugi element, czyli właśnie uprawniony dostęp do informacji.

Analogicznie jest we wszystkich obszarach ochrony informacji, w tym także RODO. Przykładowo  pracownik kadr ma upoważnienie do przetwarzania danych osobowych (zgodę na te czynności), ale wolno mu przetwarzać tylko te, do których ma dostęp (nadanie dostępu). Zawężając przykład osoba pracująca w dziale HR odpowiedzialna za rekrutację, nie powinna mieć dostępu do danych związanych z wypadkami (dotyczy dużych działów, w których można podzielić funkcje). Podział może być również oparty o strukturę. Zespół z CUW – centrum usług wspólnych obsługujący np. Polskę nie powinien mieć dostępu do danych pracowników Rumunii, Niemiec czy Francji.

Polecenie przetwarzania

Pojawia się jako tytuł artykułu i jest bardzo istotne, na tyle, że doczekało się regulacji prawodawcy wprost (wyraźnie określone wymaganie w przepisie prawa). Polecenie przetwarzania należy rozumieć jako wskazanie przetwarzania dokładnie w ten sposób. Podkreśla to fundamentalną zasadę RODO i ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych.

Przetwarzanie musi być celowe, nie może być dziełem przypadku czy chwilowej fanaberii administratora, procesora czy osoby.

Mimo wielkiego bogactwa języka polskiego dość trudno jest wyjaśnić istotę różnicy upoważnienia i polecenia używając pojedynczych słów. Poniżej próba nieco szerszego zdefiniowania:

  • Można – a więc przetwarzanie jest dozwolone (upoważnienie, a wcześniej przesłanka przetwarzania z art. 6, 9, 10),
  • Trzeba – a więc przetwarzanie jest niezbędne dla procesu (biznesowego, prawnego).

Aby uzyskać zgodność z RODO, oba te wymagania muszą być spełnione. Art. 29, jak większość przepisów kierowanych do administratorów i procesorów rozwija zasady fundamentalne RODO, zawarte w art. 5:

  • Można – 5.1.a, czyli zgodność z prawem.
  • Trzeba – 5.1.a, czyli przejrzystość (wiemy, po co i do jakich procesów), 5.1.b- tylko do konkretnych celów (jak wcześniej), 5.1.c- minimalizacja danych (tylko te dane, które w procesie czy jego etapie są niezbędne), 5.1.e- w zakresie przechowywania danych, tylko te, które są niezbędne.

Podsumowanie

Polecenie jako czynność bywa często przeoczone, czy to we wdrożeniach, czy to w audytach RODO. Skupienie się na upoważnieniu powoduje, że mamy spełnioną tylko część wymagań z art. 29 – po prostu zezwoliliśmy na przetwarzanie danych osobowych konkretnej grupie naszych pracowników. Pozostaje część wymagań, które jednocześnie realizują zasady fundamentalne RODO, co jest szczególnie istotne w przypadku nakładanych kar. Uważna lektura pozwala na zauważenie, że decyzje Prezesa UODO zaczynają się dość często ze wskazania konkretnego artykułu z RODO, kończąc jednak na konkluzji wskazującej, która z zasad z art. 5 (fundamentalnych) została naruszona.

Administrator czy kontroler?

Samo upoważnienie powoduje, że nie mamy nadzoru nad tym, kto, kiedy, jakie dane przetwarza. Nie mamy więc kontroli, a to już może być poważny problem, który bywa nie do końca zauważany. Być może z powodu dość swobodnego stosowania definicji.

W języku angielskim, w GDPR administrator danych to controller. Trudno być controllerem, nie mając kontroli nad przetwarzaniem. Administrator mimo wszystko oznacza coś zupełnie innego. Uważajmy więc na pułapki językowe, bo one również wprowadzają nieco zamieszania.

Reklama

Alkomat, badanie temperatury – a jednak można?

W wielu artykułach na łamach RODOmaniaków pisaliśmy o nieco błędnym rozumieniu podstawy prawnej pozyskiwania od pracowników niektórych informacji, w kontekście BHP i zapewnienia ochrony pracowników. Ale nie tego, który stanowi zagrożenie, a tych którym zagraża. 

Stanowisko Prezesa Urzędu Ochrony Danych od lat jest niezmienne. Nie wolno, bo przepis nie zezwala. 

Nasze stanowisko od lat też jest niezmienne. I kształtuje się wokół kilku punktów:

  • Po pierwsze – do przetwarzania danych osobowych pracowników można stosować przesłanki z art 6 i 9 RODO, a więc dotyczące zwykłych i szczególnych kategorii danych. Wszystkie, jakie są uzasadnione do CELU przetwarzania danych osobowych i nie ma wyraźnego zakazu ich stosowania (też zgoda i uzasadniony interes administratora). Organ nadzorczy nie może subiektywnie decydować, które przepisy RODO stosować, a których nie, jeśli nie został do tego uprawniony przepisem. Tu nie został (W szkole w Gdańsku również). 
  • Po drugie – przesłanką do przetwarzania danych osobowych wskazujących na stan zdrowia (dane szczególnych kategorii) jest art 9.2.b. Tym bardziej, że przepis mówi o szczególnych PRAWACH, a więc też ochronie swojego interesu (w treści orzeczenia wskazane między innymi w podstawie rozwiązania umowy o pracę). 
  • Po trzecie Urząd Ochrony Danych Osobowych w swoich publikacjach odpowiada nie na temat. Pytanie brzmi o przesłankę dla pracodawcy, zezwalającą na przetwarzanie zgodnie z obowiązkami pracodawcy w zakresie BHP, odpowiedzi UODO dotyczą NAKAZU przetwarzania w związku z realizacją obowiązków. Zupełnie dwa inne cele przetwarzania danych osobowych. 
  • Po czwarte – ZAWSZE, ale to ZAWSZE należy ocenić równowagę (choć my idziemy dalej, wykonując pełną ocenę prawnie uzasadnionego interesu administratora. 

Linki do naszych przykładowych artykułów:

COVID19 i badanie

Alkomat:

Dalsze cytaty

W istocie więc sprawa niniejsza sprowadzała się do ustalenia, czy prawo do prywatności (choć w incydentalnym zakresie, bowiem ponownie wskazać należy, że pracodawca nie wymagał od pracownika szczegółowych informacji na temat pobytu w określonych miejscach, a jedynie samej informacji o wystąpieniu takiej okoliczności) pracownika stanowi wyższą wartość niż ochrona interesu zbiorowego w postaci zdrowia wszystkich pracowników zakładu pracy.

W ocenie Sądu Okręgowego odpowiedź na te pytanie jest jednoznaczna – priorytetem jest zdrowie i życie wszystkich pracowników zakładu pracy.

Zapis chyba nie wymaga komentarza. Ale warto dodać jeszcze jeden:

Prawo do prywatności nie przedstawia wartości wyższej od zdrowia i życia innych.

Treść orzeczenia znajdziecie na stronie:

http://orzeczenia.olsztyn.so.gov.pl/content/$N/150515000002015_IV_Pa_000079_2020_Uz_2021-01-29_003 

Podsumowując

RODO nie może być postrzegane jako bezwzględna ochrona jednostki. Jest to ogromny błąd, widoczny nie tylko w doborze przesłanki i ograniczeniach w ich stosowaniu. 

Widoczny jest często w szacowaniu i ocenie ryzyka dla ochrony danych osobowych. Wielu specjalistów skupia się na skutkach z naruszenia ochrony, a więc co się stanie w związku z ujawnieniem danych, zniekształceniem czy zniszczeniem. 

A tymczasem motyw 75 pokazuje, że powinny być też rozważane tzw. ryzyka z przetwarzania, a więc z samych czynności, w których nie zawsze podmiot danych (osoba, której dane dotyczą) wyraża zgodę na ich przetwarzanie. 

To jest istota wykonywanych analiz zarówno w ramach pełnej oceny uzasadnionego prawnie interesu administratora (nie tylko testu równowagi), ale również w zakresie analizy DPIA – oceny wpływu na ochronę danych. W obu tych działaniach rozpatrujemy sytuacje, w których podmiot danych chętnie by powiedział – NIE ZGADZAM SIĘ. Ale nie może. Bo są inne osoby, podmioty, dla których przetwarzanie danych jest niezbędne aby osiągnąć prawnie uzasadniony cel. 

Przykładów w RODO na uzasadnienie tezy, że nie jest to bezwzględna ochrona osoby można znaleźć wiele. Dobrze, że wyrok się pojawił, ja czekam z niecierpliwością na Naczelny Sąd Administracyjny w sprawie szkoła vs UODO. 

Reklama

UODO utwardza stanowisko w sprawie zgłoszenia naruszeń

W ostatnim czasie Prezes Urzędu Ochrony Danych Osobowych nie ma lekko. Wojewódzki Sąd Administracyjny orzekł, że kara nałożona na szkołę w Gdańsku oparta była na naruszeniu prawa przez organ nadzorczy w zakresie interpretacji przepisów. Naruszenie polegało na zastosowaniu interpretacji niezgodnej z zasadami prawa europejskiego.

Organ upierał się na stanowisku, w którym zgoda nie może być uznana za prawidłowo wyrażoną. Warto zacytować:

W tej sytuacji, Sąd uznał, że – wbrew stanowisku organu nadzorczego – skarżąca Szkoła nie naruszyła generalnego zakazu przetwarzania danych osobowych ustanowionego w przepisie art. 9 ust. 1 RODO, albowiem legitymowała się wyraźną zgodą na przetwarzanie danych biometrycznych uczniów udzieloną przez ich rodziców.

Naruszenia w praktyce UODO

Powyższe wskazuje na wyjątkowo twardą linię interpretacyjną organu (nie pierwszy już raz), w której wszelkie wyjątki, uzasadnienia do nich są traktowane jako niedozwolone lub jako próby obejścia prawa.

Podobnie zaczyna sprawa wyglądać w przypadku zgłoszenia naruszeń. Przepis art. 33 RODO stanowi, że nie trzeba zgłaszać naruszenia organowi, jeśli jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw i wolności. Na swojej stronie organ publikuje artykuł o wymownym tytule:

O naruszeniu ochrony danych trzeba powiadomić organ nadzorczy

Link do artykułu: Aktualności – UODO

A następnie opisuje przykład spółki ENEA, jako ukaranej za brak zgłoszenia. Pytanie tylko, z jakiego powodu organ odrzucił tłumaczenie spółki, w którym ta wyjaśniała, że po przeprowadzeniu postępowania doszła do wniosku, że jest małe prawdopodobieństwo naruszenia.

Wydaje się, że po raz kolejny inspektorzy organu zdają się nie zauważać, że elementem ryzyka jest prawdopodobieństwo. Estymacja skutku, czyli wymyślanie co się może stać, jakie będą efekty to jest jedna ze składowych. Drugą jest prawdopodobieństwo.

Czy naprawdę prawdopodobieństwo wykorzystania danych przez normalnego obywatela, działającego zgodnie z prawem będzie wysokie? Jeśli dowie się, że posiadanie tych danych może stanowić przestępstwo z art. 107 UODO?

Podsumowanie

Jak widać to już drugi obszar działania, w którym organ stawia na twarde stanowisko. Warto przygotować się dobrze do naruszeń, jak i do przetwarzania w oparciu o różne przesłanki.

A czy zgłaszać wszystkie naruszenia? Zapewne urząd tak by chciał.

Reklama

Żandarm czy doradca?

Wiele osób z zaskoczeniem przyjęło wyrok WSA w sprawie szkoły podstawowej, która używała biometrii do weryfikacji uprawnienia do korzystania ze stołówki. Myślę, że potrzebne jest kilka zdań wprowadzenia w tematykę, aby zrozumieć tytuł dzisiejszego felietonu. 

Biometria nie była przymusem. Było kilkoro dzieci, których rodzice nie zgodzili się na używanie odcisku palca do weryfikacji i one miały bardziej klasyczne sposoby. Za wiele w Internecie nie ma, załóżmy że był to kwit z kasy lub coś podobnego. 

Wprowadzenie do przepisów prawa

Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

Czy możemy je przetwarzać? Tak, po spełnieniu co najmniej jednej z przesłanek, określonych w art 9 RODO:

osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

Podsumowując krótko te dwa przepisy w punktach:

  1. Zgoda jest wystarczającą przesłanką do przetwarzania danych osobowych, w tym danych biometrycznych;
  2. Zgoda według informacji została wyrażona poprawnie. 

Przetwarzanie danych dzieci jest chronione w RODO w sposób szczególny. Zgoda wyrażona przez prawnych opiekunów, czy dokładniej jej weryfikacja opisana została też w art 9. Choć dotyczy społeczeństwa informacyjnego, a więc przetwarzania danych dzieci w sieci Internet możemy znaleźć w niej pewną wskazówkę. Ocenie ma podlegać to, czy została wyrażona. Absolutnie nie ma tutaj zapisu o ograniczeniu praw do opieki, bo tym nieco trąci wiele komentarzy w Internecie, dotyczących tego przypadku. 

Żandarm, czy doradca?

Wiele osób ze środowiska RODO, często prawników stosuje pewne niepisane zasady traktując je jako prawo. Tak też odbieram komentarze o tej decyzji. Zaskoczenie to najsłabsza z reakcji. W tym momencie wracam do kwestii czytania przepisu jak jest. A w cytacie wyżej jest przecież bardzo znamienna fraza:

chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

Oznacza to, że prawodawca krajowy może zakazać przetwarzania danych biometrycznych w konkretnych przypadkach. A skoro nie zakazał, to nie zakazał. Zgoda jest jak najbardziej poprawna.

Warsztat RODO

W ramach wielu działań związanych z tworzeniem systemów ochrony danych osobowych realizuje tzw. ocenę prawnie uzasadnionego interesu administratora. Jednym z jego elementów jest ocena przez test równowagi. Jednym z, bo narzędzie zostało opracowane tak, aby korzystać z niego w innych przypadkach. W takich, w których często są “nigdzie nie wyrażone zasady” (nieuprawnione zawężanie przepisu prawa, wprowadzanie dodatkowych zakazów) takie jak:

  • Zgoda nie może być podstawą przetwarzania w stosunku pracy
  • Dane biometryczne nie mogą być podstawą weryfikacji uprawnień
  • Alkomat nie może być stosowany przez pracodawcę

I wiele innych. A teraz weźmy do ręki test równowagi i rozważmy go w szkole. 

Model klasyczny: dziecko posiada potwierdzenie płatności. Czy to jest zaszyte w karcie zbliżeniowej, czy na dokumencie, który dziecko musi okazać. Nie ma znaczenia, choć elektronicznie będzie szybciej.

Są jednak pewne “ale”:

  • Dziecko może zgubić lub zapomnieć, karty kartki. A przerwa leci. 
  • Ktoś może dziecku to ukraść. I nie zje. 

Co jest tutaj interesem osoby, której dane dotyczą? Przesadna i nadmierna ochrona danych w imię poprawności prawie-prawnej (bo to przekonania środowiska, nie przepis) czy jednak to, aby dziecko zjadło obiad? 

Przypomnę tytuł aktu prawnego, bo naprawdę wiele osób zapomina:

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych

A nie 

W sprawie ochrony danych osobowych 

A więc może poprawnie będzie najpierw rozważyć interes osoby, których dane dotyczą, a dopiero potem bezpieczeństwo tej osoby związane z przetwarzaniem jej danych, a nie zaczynamy od danych i niepisanych zasad? I stawiamy, jakże powszechnie w RODO, zakaz “na wszelki wypadek”. Z “co do zasady można, ale nie”.

Dane wrażliwe

To termin, który kryje za sobą wiele ciekawych wątków. Otóż w wielu przypadkach młodzi eksperci RODO (tak do 2-3 lat doświadczenia) uważają, że są to dane opisane właśnie jako biometryczne, genetyczne, dotyczące zdrowia, w skrócie opisane w art. 9 i 10 RODO. A to nie do końca tak, bo wrażliwość w podejściu do danych wynika z wrażliwości zasobu chronionego, a więc osoby której dotyczą. Nie będę za bardzo dziś wchodził w kwestię szacowania i oceny ryzyka, żeby nie zgubić wątku głównego. Jednak z ryzykiem to jest powiązane. 

  • Dlaczego karta kredytowa, jej numer z numerem CCV/CVC to dane wrażliwe? Bo jej nieautoryzowane wykorzystanie może grozić obniżeniem warunków ekonomicznych osoby. 
  • Dlaczego dane biometryczne są wrażliwe? Bo identyfikują osobę w sposób bezpośredni i jednostkowy, całkowicie niezaprzeczalny. Każda osoba ma własny krój odciska palca, w kryminalistyce te wszystkie linie, zagięcia, węzełki mają swoje nazwy. Dodatkowo do pełnej identyfikacji używa się co najmniej kilku-kilkunastu z nich. 

To o odciskach palców to wiedza ze szkolenia z technik kryminalistycznych, jakie przechodziłem spory czas temu, ale pamiętam. Pamiętam też, z tego samego szkolenia organizowanego między innymi przez Centralne Laboratorium Kryminalistyczne KGP, że w identyczny sposób identyfikowana jest osoba po piśmie. Nacisk na długopis, zawijasy, kropki, odległości, skupienie liter, szczyty – one wszystkie są tak, jak w odcisku palca. Katalog podstawowy cech pisma zawiera aż sześć grup. 

  • Dlaczego podpis może być wrażliwy? Bo w zestawieniu z numerem dowodu i numerem PESEL stanowić może podstawę wypłaty gotówki z banku. 

Podsumowanie

Podgrzanie Internetu decyzją sądu jest dla mnie dość zrozumiałe i powtarzalne. Po raz kolejny dotyczy rozkładania na części aktu prawnego, często w odniesieniu do “niepisanych zasad”, które wiele osób myli z prawem. Rozkminianie w lewo i prawo czy wykładnia celowościowa, czy słownikowa, a tymczasem w przepisie jest wprost. MOŻNA. I prawodawca może ograniczyć. Jeśli nie ograniczył, znaczy drugi raz – MOŻNA. Tak samo jak zgodę w relacji pracownik-pracodawca. Ograniczyć za to nie może organ nadzorczy, ani doradca RODO, ani IOD. Co wynika wprost z wyroku. 

W tych dyskusjach mam wrażenie, że zapomina się o istocie RODO, czyli ochronie osoby fizycznej. To też wygoda osoby fizycznej, w posługiwaniu się danymi. Też uprawnienie korzystania. 

PS czyli podsumowanie 2. Czy ujmujecie w swoich “klauzulach informacyjnych”  przetwarzanie unikalnych danych, jakimi są podpisy? Np., w Instrukcji Bezpieczeństwa Pożarowego, w dokumencie z dziedziny BHP, na karcie zapoznania z czynnikami ryzyka na obiekcie, z listami na bramie u ochrony fizycznej, czy w recepcji. Wiele tych miejsc jest. Ale najciekawsze dla mnie to podpisanie zapoznania się z klauzulą informacyjną. Bez informacji, że wzór mojego podpisu będzie przechowywany razem z klauzulą. Podstawy prawnej na to też nie dostałem. A IOD do dziś tworzy odpowiedź. Czyżby sposób na ciekawe zawiadomienie? 

Reklama

Kamery na zajęciach, czy są dozwolone?

Do napisania tego artykułu zainspirowało mnie kilka publikacji w ostatnim czasie. Zanim przejdę do merytoryki, dwa zdania o artykule, czyli krótka instrukcja:

  • Nie jestem ekspertem w dziedzinie edukacji i ochrony danych
  • RODO nie jest schematyczne. Nie da się stosować dokładnie tych samych zasad w przypadku podobnych instytucji. Wystarczy jedna, drobna zmiana i już całość systemu, zakres analiz, dokumentacji, będą zdecydowanie inne. 

Na #RODOmaniakach od samego początku staramy się pokazać jak ROZUMIEĆ RODO. A więc jak przeprowadzić wnioskowanie w konkretnych przypadkach. W przeciwnym razie organizator ochrony danych nie będzie umiał wytłumaczyć, dlaczego przyjęto konkretne rozwiązania. I nie wytłumaczy tego ani administratorowi, ani pracownikom, ani inspektorowi urzędu nadzorczego. A tego ostatniego nie satysfakcjonuje tłumaczenie “wszyscy tak robią”. 

Proces rozważania przetwarzania danych osobowych

W ramach tego procesu uzyskujemy odpowiedź, czy wolno nam konkretne dane osobowe przetwarzać. Przebieg procesu (od razu wypełnimy). 

Cel przetwarzania danych w procesie

O tym, czym się różni proces przetwarzania danych osobowych od procesu głównego (biznesowego, ustawowego), w którym przetwarzane są dane osobowe przeczytasz tutaj: https://rodomaniacy.pl/rodowarsztat/proces/ 

Celem przetwarzania danych osobowych w postaci wizerunku jest potwierdzenie obecności na zajęciach. 

Pojawiają nam się tutaj dwa cele:

  • Nadzór nad realizacją obowiązku szkolnego osób w określonym wieku,
  • Potwierdzenie realizacji zajęć.

Zakres przetwarzanych danych (za pomocą kamery i mikrofonu)

  • Wizerunek
  • Głos

I coś jeszcze… Dziś pominę ten aspekt, ale za pomocą kamery w laptopie “wchodzimy” do czyjegoś domu. Pod rozwagę. 

Cel, a przesłanka

Do tego aby przetwarzać dane osobowe musi być co najmniej jedna przesłanka z art 6 RODO. W przypadku każdej instytucji publicznej w Polsce na tym etapie zawsze zadajemy pytania:

  • Czy zakres działania, który chcemy objąć dodatkowymi formami oraz metodami przetwarzania danych osobowych ujęty jest w ustawie jako realizujący cel instytucji?

Jeśli tak – to mamy już obawy, że to przetwarzanie będzie w interesie publicznym. Dlatego pytamy wprost:

  • Czy działanie instytucji, określone w punkcie wyżej realizuje cel publiczny lub czy jest związane z wykonywaniem władzy?

Szkoła, a zadania publiczne

Jak napisałem na wstępie, nie zajmujemy się oświatą, także całe poniższe rozważanie mam nadzieję, że zostanie uzupełnione przez ekspertów (merytorycznie). Proces wdrożeń, audytów prowadzimy z udziałem osób merytorycznych z organizacji, bo to ich system nie nasz. W związku z tym ten artykuł właśnie się zakończył (prawie), bo odpowiedzi muszą udzielić administratorzy danych i ich IOD-dzi.  

Jeśli jednak okaże się, że szkoła jest instytucją realizującą zadania w interesie publicznym, a wiele wskazuje na to że tak, bo przecież edukacja to zadanie publiczne z Ustaw o samorządach. Wskazuje też na to wiele monografii jak i informacji o przetwarzaniu danych osobowych przez szkoły. Zastosowanie więć będzie miał art 6.3 RODO. 

Podsumowanie

Niniejszy artykuł ma za zadanie zdradzić nieco warsztatu jak pracujemy. Doskonale zdaję sobie sprawę z tego, że klienci często oczekują wykonania za nich pracy od początku do końca z podejmowaniem decyzji, ale przecież:

  • To nie my podejmujemy ryzyko, więc nie my określamy poziom jego akceptacji (np. poprzez akceptację wyników szacowania i oceny ryzyka dla osób fizycznych, których dane dotyczą), 
  • To nie my akceptujemy ramy systemu (poprzez akceptację deklaratywnej Polityki Bezpieczeństwa Danych Osobowych),
  • To nie my akceptujemy organizację i przypisanie nowych zadań komórkom organizacyjnym,
  • To nie my dokonujemy zakupów zabezpieczenia technicznego (szaf, sejfów, aplikacji). 

Mogę wymienić jeszcze wiele elementów z których składa się system ochrony danych osobowych. Warto jednak rozróżnić zakres pracy “bezpieczników” od zakresu pracy decydentów systemu. Mimo tego, że wszelkie procesy bezpieczeństwa są kwalifikowane do procesów pomocniczych, jednak trzeba na nie znaleźć nieco czasu. 

Reklama

Procesor prawie zawsze administratorem?

Taką konkluzję można przyjąć po analizach naprawdę wielu umów powierzenia. Na początek jednak kanwa. W ostatnim czasie Wojewódzki Sąd Administracyjny oddalił skargę na decyzję, w której Prezes Urzędu Ochrony Danych Osobowych nałożył karę na spółkę zarządzającą nieruchomością. UODO uznał, że spółka stała się administratorem (w skrócie) bo sama decydowała o celach i zakresie przetwarzania danych (dotyczyło monitoringu wizyjnego posesji). 

W roku 2020 mieliśmy wiele webów na temat administratorów i procesorów, dlatego że jest to bardzo poważny temat w RODO, a skutki mogą być daleko idące dla osób, których dane dotyczą (o tym na końcu). Dla administratora oznacza oddanie procesów przetwarzania (nie tylko czynności na danych, jak wielu osobom się wydaje) w zupełnie obce ręce. Pełnych procesów. Z kategoriami, czynnościami, naprawdę dużo wymieniać. 

Działanie to test oczywiście całkowicie zrozumiałe, bo przecież utrzymanie zespołów IT, które zrobią niemalże wszystko jest z jednej strony jest niewykonalne (ekonomicznie), a z drugiej strony dlaczego firma sprzedająca pączki ma się zajmować IT? 

Jednak w naprawdę wielu przypadkach wady były (są?) wręcz fundamentalne.

Kanwą dzisiejszej opowieści jest ocena wzoru umowy powierzenia dostępnego w internecie. W trakcie webinaru i “przygotowania” audytu procesora analizowaliśmy zapisy i wnioski były naprawdę zaskakujące. 

Podstawa:

  • Umowa nie zawierała celu i zakresu działania – tylko obszar (obsługa IT)
  • Nie było informacji o kategoriach danych, tylko lista jednostkowych danych
  • Brak było informacji o tym, na czym przetwarzanie ma polegać (np. z definicji przetwarzania z RODO). 

Wniosek główny

Przy tego typu umowie nie ma możliwości wskazania zlecenia przetwarzania danych o których mowa w art 29 RODO. Oznacza to, że podmiot wskazany jako procesor sam decyduje co i z jakimi danymi będzie robić i w jaki sposób. Wskazany jest tylko CEL (też dość mglisty, obsługa IT). 

Jako, że webinary są miejscem czasem gorącej dyskusji powstało kilka różnych opcji, co w związku z tym:

  • W tej formie wygląda bardziej na umowę o współadministrowanie, ale też z fundamentalnymi brakami. Jeśli tak jest, należy ją dopracować. 
  • W przypadku procesora na podstawie tej konkretnej umowy ZAWSZE należy uznać, że zachodzi okoliczność z art. 28.10 RODO, a więc procesor poprzez to, że sam decyduje o tym co będzie robić z danymi i jak staje się administratorem. 
  • A jeśli jednak nadal ma być umową powierzenia, należy ją dopracować. Bo sankcje są dość dotkliwe. Dla administratora wbrew pozorom mniejsze. To procesor może dostać trudne pytania o spełnienie wymagań RODO dla administratora (od informacji o przetwarzaniu, po ocenę ryzyka, a nawet DPIA). A dodatkowo w tle zawsze jest też odpowiedzialność karna za przetwarzanie danych osobowych bez podstawy. 

Stan faktyczny

W wielu przypadkach przy ocenie dokumentu okazuje się, że sama nazwa wcale nie odzwierciedla tego, co dokument reguluje. I nie dotyczy to tylko RODO, w obszarze np, zatrudnienia wielokrotnie doszło do sytuacji “sprostowania” przez sąd umów zlecenia, jako faktycznych umów o pracę. Organ nadzorczy nie czyta tytułu jako konsultant i nie będzie się zastanawiał nad tym, czy są wszystkie elementy enumeratywnie wypisane w art 28.3, a sprawdzi kwestie fundamentalne. A jedną z nich jest to, kto i za co odpowiada. Oraz zgodnie z art 29, czy przetwarzanie danych odbywa się NA POLECENIE administratora (tego formalnego z umowy). A to polecenie jest niebywale istotne. 

Art. 29

Artykułowi 29 RODO poświęcę odrębny, długi artykuł, bo jest niestety nie zauważony i sprowadzany często do upoważnień. A ma siłę rażenia przepotężną. Zacytujmy:

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Aby dobrze zrozumieć, co ma się znaleźć w umowie powierzenia, należy właściwie zrozumieć “polecenie administratora” (przepisy prawa jako “polecenie” dziś pomińmy). Istotą jego wprowadzenia jest zaplanowanie przetwarzania danych osobowych przez administratora. Żadna operacja, żadne czynności nie mogą być dziełem przypadku. W przeciwnym razie naruszone zostaną zasady fundamentalne z art 5.

  • Przetwarzanie danych rzetelne i przejrzyste – jak może być przejrzyste, skoro nie wiemy do czego przetwarzamy? Kto i kiedy ma przetwarzać?
  • Przetwarzanie do określonego celu – jak może być tak przetwarzane, skoro operacje będą przypadkowe i może się pojawić nowy cel? Albo kilka. Samo opisanie celu w umowach bywa dość mgliste.

Nie mając powyższych danych możemy wpaść również w niezgodność z art. 13 i 14. 

Podsumujmy

RODO czytajmy w całości. To taka moja rada. Jak instrukcje obsługi. W jednej części jest o zasadach bezpieczeństwa, w innej o zastosowaniu urządzenia. W RODO tak samo. Art 28 powinien być wypełniony z uwzględnieniem WSZYSTKICH przepisów RODO. W przeciwnym razie bardzo blisko do naruszenia praw i wolności. Podmiot danych (osoba, której dane dotyczą) nie będzie właściwie poinformowana, a więc nawet nie będzie mogła wykonać swoich praw.

PS przypisek na końcu. Art. 29 i zestawienie z przetwarzaniem danych “na wszelki wypadek”. Opiszę niebawem, ale sprawdźcie, czy jesteście pewni czy ów “wszelki wypadek” mieści się w granicach polecenia i spełnia wymagania określenia celu. Bo “może mi się kiedyś przydadzą” – nie spełnia tego wymagania.

Reklama

Warta, naruszenie i spora kara

Zacznijmy od kary. Spora, bo 85,5 tysiąca złotych za naruszenie dotyczące dwóch osób to naprawdę poważna kwota. Ale nie to jest kanwą dzisiejszego artykułu. Nie jest on też naszą jedyną publikacją w temacie Warty, szykujemy kolejne. Kuriozalność niektórych sformułowań jak i dyskusji w środowisku po prostu nas do tego zmusiły. 

Zacznijmy od fundamentów ochrony danych osobowych. Nie wszystkich, tylko tych związanych z ich ochroną. Do białości rozgrzewa Internet dyskusja o jednym z elementów decyzji. Rzeczywiście punkt mocno dyskusyjny (nie jedyny), niemniej jeśli weźmiemy myślenie oparte o ryzyko przestaje być tak dyskusyjny.

Chodzi oczywiście o podanie niewłaściwego maila przez osobę dla której była przygotowana oferta ubezpieczenia. W wyniku podania złego maila oferta trafiła do niewłaściwej osoby. 

I nad tym dziś się skupimy, bo znów dyskusja w internecie staje się rozpatrywaniem kwestii prawnych, poszukiwaniu zapisów, a tymczasem wygląda na to, że zawiódł warsztat bezpiecznika. 

Po pierwsze szacowanie i ocena ryzyka

Tak, ale pełne. Pisaliśmy na naszych łamach wiele artykułów na ten temat, więc tylko przypomnimy jeden z ciekawszych na którym oprzemy:

Zobacz więcej: Analiza BOW TIE w ryzyku

Procesowo też opisaliśmy, więc tylko przypomnimy przebieg:

  • Po pierwsze identyfikacja procesu w KTÓRYM SĄ PRZETWARZANE dane osobowe. To nie to samo co proces przetwarzania
  • Po drugie wartościowanie zasobów (czyli danych osobowych)
  • Po trzecie identyfikacja zagrożeń, czyli zdarzeń, sytuacji które mogą wykorzystać słabość zasobu, zabezpieczenia i doprowadzić do negatywnego skutku
  • Po czwarte prawdopodobieństwo – a więc możliwość wystąpienia zdarzenia
  • Po piąte skutek – czyli co się może stać w związku z incydentem
  • Po szóste prawdopodobieństwo (znów) owego skutku.

Dziś omówimy kwestie od drugiej, a więc bez analizy procesu w którym dane są przetwarzane. 

Wartościowanie zasobów

Wartościowanie, to przypisanie “ważności” konkretnemu zasobowi w zależności od zakresu prowadzonej oceny ryzyka. Lekko uszczypliwie proponuję pominąć ten obszar w poradnikach Urzędu Ochrony Danych Osobowych, dlatego że w poradnikach pojawia się propozycja wartościowania finansowego (kosztowego). 

A przecież RODO mówi o ochronie osoby fizycznej. A więć jak wartościować dane?

RODO zawiera już pewną sugestię:

  • Dane niebędące danymi osobowymi
  • Dane zwykłych kategorii
  • Dane szczególnych kategorii
  • Dane dotyczące skazań i naruszeń prawa. 

Do tej klasyfikacji w naszej pracy proponujemy dodać wspomniane na wstępie myślenie oparte o ryzyko. A więc np, zastanowić się do czego konkretny zestaw danych może być wykorzystany. Na jednym z warsztatów zrobiliśmy klasyfikację oparta o wyłudzenie kredytów i pożyczek

  • Zestaw: Imię, nazwisko, nazwisko rodowe, imię matki, nazwisko panieńskie, numer PESEL, numer dowodu, miejsce i data urodzenia – to dane mogące posłużyć do wzięcia kredytu na dużą kwotę;
  • Zestaw jak wyżej ale bez danych rodziców – kredyt do 100 tysięcy;
  • Zestaw: PESEL, numer dowodu, miejsce zamieszkania – to chwilówka do 10 tysięcy.

Pominę dziś ze względu na objętość artykułu kwestię prawdziwej oceny ryzyka, w której powinniśmy rozważyć czy dla każdej osoby 10 tys to mało, czy dużo i analogicznie czy 5 milionów to dużo, czy mało. Skutkiem dla osoby jest to co wynika z obciążenia spłatą (analiza BOW-TIE pomaga), a nie wartość wyrażona w złotówkach (tu dochodzi identyfikacja podmiotów danych). 

Zwróćmy uwagę, że zestaw danych, który może skutkować zaciągnięciem zobowiązania na miliony składa się z danych zwykłych kategorii. Ale skutki są podobne (choć w innym wymiarze) do szczególnych kategorii. Podkreślam jeszcze raz – ZESTAW. A więc na bazie tak krótkiego wartościowania należy uznać, że dane zawarte w polisie są “wrażliwe” jako zestaw, mimo że pojedynczo żadna z nich nie musi być opisaną w art 9 RODO. 

Skoro już mamy wartości i wiemy, że są to dane WARTOŚCIOWE (wrażliwe) z powodu zestawu, zostawmy je na chwilkę i wróćmy do prawdziwego warsztatu bezpiecznika. 

Zagrożenia

Zagrożenia sobie są. Nie są zależne od wartości danych, skutków dla osoby. To są po prostu zupełnie samoistne byty, czasem zainspirowane do działania otoczeniem (np. premią za ryzyko u człowieka, a przy zdarzeniach naturalnych czy technicznych, stanem technicznym obiektu, budynku).

W naszej pracy klasyfikujemy zagrożenia z punktu widzenia źródła:

  • Z sił natury
  • Z działania człowieka
  • Z techniki

W omawianym przypadku mamy działanie człowieka. W nim mamy dwa sposoby klasyfikowania:

  • Działanie naszego człowieka
  • Działanie obcego człowieka

A druga klasyfikacja, nazywana czasem intencjonalnością:

  • Działanie umyślne 
  • Działanie nieumyślne

Analizując przypadek doszło do nieumyślnego działania człowieka obcego. 

Prawdopodobieństwo

Zanim rozważymy, ważna sprawa. Percepcja prawdopodobieństwa w analizach jakościowych i ilościowych. Najczęściej… błędna. 

Przykład

Szacujemy, że coś wydarzy się w ciągu roku. I zakładamy, że to będzie za jakiś czas. Często pod koniec roku. A co jeśli wydarzy się w ciągu roku, ale dziś? Nadal będzie to 1/365 * 100% czy raz w roku.

Wróćmy do Warty. Ile razy zdarzyło się Państwu źle coś wpisać na formularzu? Albo nieczytelnie?

  • Prośba o wpis drukowanymi literami – to jest zabezpieczenie
  • Prośba o wysłanie testowego maila – to jest zabezpieczenie. 

Są to zabezpieczenia przed materializacją zagrożenia (obniżenie prawdopodobieństwa).  A jak każde zabezpieczenie, musi być adekwatne (odpowiednie) do zagrożeń. Więc jeśli dyskutujemy o mailu, o tym czy trzeba wysyłać testowy, to:

  • Po pierwsze musimy wiedzieć, jaką wartość mają zasoby przesyłane tym mailem (wartościowanie)
  • Po drugie musimy wiedzieć, jaka jest możliwość, że dojdzie do błędu w mailu. Tylko nie w scenariuszu klienta, bo przecież nasz pracownik też może się pomylić (działanie człowieka, naszego, nieumyślne). 

Dopiero będziemy mieć pierwszy punkt kontrolny w ocenie. 

A ryzyko?

To jest “prawa strona”: BOW-TIE. Już wstępnie przy danych osobowych powinno być rozważone na etapie wartościowania. Tutaj już powinniśmy oszacować możliwość wystąpienia, a więc.. znów prawdopodobieństwo z percepcją. 

Akurat ten przypadek jest idealny do omówienia. W tym przypadku praktycznie PIERWSZE zdarzenie wywołało spory skutek. Co prawda dla firmy (a więc nie w RODO), ale jak widac skutek z kategorii “grubo” (dodajmy jeszcze utratę reputacji i inne). 

Decyzja

Zestawmy jednak to co pisze organ w decyzji i jak argumentuje. 

Co do zagrożenia – nie jesteśmy w stanie nad nim zapanować w 100%. Wdrożyć możemy zabezpieczenia, które spowodują obniżenie możliwości wprowadzenia złego maila, ale nie jesteśmy w stanie zapanować nad intencjonalnym działaniem. 

Uwaga: PUODO nie prowadził postępowania w zakresie poprawności danych. A szkoda, bo dla sprawy byłoby to jaśniejsze. W jaki sposób ukarany administrator nadzoruje poprawność danych (bo o to się toczy batalia w necie i o zabezpieczenia związane z integralnością czyli poprawnością danej osobowej jaką jest adres e-mail powiązany z osobą). 

Co do skutku – jesteśmy je w stanie ograniczyć. Wysyłka pliku spakowanego i zabezpieczonego hasłem to podstawa. A zależnie od wartości danych (zestawu) nawet dalej idące środki. 

Podsumowanie

Gorąca dyskusja w necie jest nieco dziwna, bo nie dotyczy stosowania RODO, myślenia opartego o ryzyko i celu stosowania zabezpieczeń (fundamenty szacowania i oceny ryzyka), a dotyczy dyskusji, czy winą za błędny mail obarczyć administratora czy nie. 

Mam złą nowinę. Za ulewny deszcz czy pożar też nie da się obarczyć admina. Ale za skutki już tak. 

Druga konkluzja jest poważniejsza. Nie dotyczy już słabego warsztatu bezpiecznika osób zajmujących się ochroną danych osobowych, a pewnym nastawieniem organu. Nie jest to pierwszy przypadek, w którym na administratora przenoszone są zagrożenia z celowego działania innych osób. Nawet w tej decyzji przewija się bardzo niebezpieczne stwierdzenie, w którym administrator nie jest pewien, czy osoba nie usunęła, czy nie wykorzystała danych. Przypomnijmy art. 107 Ustawy o ochronie danych osobowych. W tym przypadku może dochodzić do przestępstwa popełnionego przez osobę, która dane omyłkowo otrzymała i nie chce ich usunąć. 

PS podobny przypadek obsługiwaliśmy już w czerwcu 2018. Pierwsza informacja do osoby do której wysłano omyłkowo umowę obejmowała definicję administratora oraz treść art. 107 UODO. 

Reklama

#RODOmaniacy w Social

804FaniLubię
1,981ObserwującyObserwuj
27SubskrybującySubskrybuj
- Advertisement -

Ostatnio dodane

error: Zawartość jest chroniona !!