Czyli data protection by design w praktyce
Zanim przejdziemy do omówienia zagadnienia tytułowego, warto przypomnieć pewne zasady, które są fundamentami ochrony danych. A tak naprawdę ochrony osoby fizycznej, w związku z przetwarzaniem jej danych. Pierwszą zasadą jest to że wszelkie procesy, operacje, czynności, w których występują dane osobowe muszą być zaplanowane. Nic nie może być dziełem przypadku. Dopiero na podstawie pełnej świadomości oraz planowania przetwarzania danych osobowych w procesach biznesowych można uzyskać zgodność z RODO, a więc przede wszystkim zasadami fundamentalnymi wyrażonymi w art 5.
Zasady te są uszczegóławiane w dalszych rozdziałach i przepisach RODO, tak aby wskazać administratorowi oraz podmiotowi przetwarzającemu konkretne działania. Nie każde są sprecyzowane co do pojedynczych czynności, te już administrator lub procesor muszą zaplanować i realizować samodzielnie tak, aby uzyskać wymagany efekt. Poniżej cytat z art 25 ust. 1 RODO, bo na nim się dziś skupimy.
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Tu należy się wyjaśnienie. W dzisiejszym artykule zajmę się tylko “data protection by design” czyli ochroną danych w fazie projektowania. Nie będę dziś wyjaśniał też, że to nie jest privacy by design, co w pewnych momentach zakrawa czasem na nieznajomość RODO przez tzw. praktyków (wystarczy przeczytać przepis).
Ochrona osób i mienia – wprowadzenie
Ochrona osób i mienia jest realizowana w konkretnych, określonych przepisami formach. Są one zawarte w art. 3.
Art. 3. [Formy realizowania ochrony osób i mienia]
Ochrona osób i mienia realizowana jest w formie:
- bezpośredniej ochrony fizycznej:
- stałej lub doraźnej,
- polegającej na stałym dozorze sygnałów przesyłanych, gromadzonych i przetwarzanych w elektronicznych urządzeniach i systemach alarmowych,
- polegającej na konwojowaniu wartości pieniężnych oraz innych przedmiotów wartościowych lub niebezpiecznych;
Tu również należy się kilka słów wprowadzenia. Forma stała bezpośredniej ochrony to nasz ochroniarz pełniący służbę czy dyżur na obiekcie. Doraźna to grupa patrolowa czy interwencyjna (tylko interwencyjna jest doprecyzowana w przepisach). Zarówno stała jak i doraźna mogą być realizowane przez posterunki stałe lub doraźne oraz patrole stałe lub doraźne.
Druga z form (konwoje i transport dziś pominiemy) bywa trudna do zrozumienia na pierwszy rzut oka przez osoby niezwiązane z branżą. Monitorowanie bardzo często kojarzy się z zabezpieczeniem technicznym (ust. 2 a art. 3 Ustawy o ochronie osób i mienia). Jednak monitorowanie jest czymś zupełnie innym. Na podstawie sygnałów pracownik ochrony podejmuje konkretne czynności, mające na celu ochronę zdrowia i życia oraz mienia. Informuje właściciel czy zarządców, dysponuje na miejsce grupę interwencyjną czy patrolową, informuje służby państwowe np. Straż Pożarną.
Wideo patrole, zdalne patrole, w tym wykonywane dronami
Działania te z reguły są formą ochrony polegającą na monitorowaniu sygnałów alarmowych z systemów i urządzeń (np kamery drona). W momencie, gdy zmieniamy formę ochrony ze stałej, bezpośredniej (doraźna często zostaje) na rzecz monitorowania z punktu widzenia może dojść do zmian, które wymagać będą realizacji zadań z art. 25 RODO.
WAŻNE: jeśli ze zmianą łączy się uzupełnienie systemu monitorowania czy jego zamontowanie, czy wdrożenie drona do patroli to zmiana wystąpi ZAWSZE.
Co się zmienia?
Zmienia się cały proces, poza celem, który jest ten sam. Zmienia się zakres przetwarzanych danych (wizerunek, zachowania), sposób przetwarzania (pojawiają się serwery dokumentujące wykonanie patroli wideo, czasem zapisy w postaci raportów w systemach monitorowania, sieć po które jest transmisja, często bezprzewodowa), zmieniają się podmioty przetwarzające i … podmioty, którym procesor powierza przetwarzanie (podprocesorzy) np. chmura, w której zapisy będą przechowywane.
To wszystko wpływa z kolei na obowiązki. Wiele osób powie – informacyjne, ale ten akurat jest na samym końcu. Wróćmy do art. 25 RODO. Nowy sposób przetwarzania musi być zaplanowany. Wszystkie aspekty należy rozważyć, mając dane wejściowe. Np. informacje o tym, gdzie są przechowywane nagrania z drona. Na chwile zatrzymam się. W USA kilka lat temu doszło do sytuacji, w której uziemione zostały drony użytkowane przez Straże Ochrony Parków Narodowych. Ogromny wyłom w systemie bezpieczeństwa, bo były to tysiące urządzeń. Uziemienie wynikało z analizy danych i miejsca ich przechowywania. Okazało się, że chiński producent gromadzi dane wysyłane z drona na swojej chmurze. Uznano to za incydent bezpieczeństwa państwa.
W przypadku, gdy drony użytkowane do ochrony osób i mienia (lub kamery czy systemy monitorowania) będą miały podobne konfiguracje, a dane będą trafiać na serwery poza tzw. EOG (nawet do USA), oznaczać to będzie transfer danych do państwa trzeciego. A to już wymaga szeregu dodatkowych działań po stronie administratora (klienta).
Co więc należy zrobić?
Projektując nowy proces ochrony osób i mienia, należy z punktu widzenia RODO zrealizować zadania opisane w art. 25. Krótki wykaz poniżej dla najbardziej typowych zadań, jednak należy pamiętać, że każdy obiekt jest inny, każda firma jest inna, więc może to wyglądać różnie.
- Krok pierwszy – ocena prawnie uzasadnionego interesu administratora (tzw. LIA – legitimate interest assessment). Wynika to z faktu, że ochrona osób i mienia oparta jest o podstawę, którą jest właśnie prawnie uzasadniony interes administratora (ochronę swojego majątku).
- Krok drugi – szacowanie i ocena ryzyka związana z przetwarzaniem danych w projektowanym procesie. Dokładnie w tej kolejności. Jeśli proces nie przejdzie oceny z LIA, to nie ma co oceniać i szacować.
- Krok trzeci – opcjonalny. Jeśli dochodzić będzie do podpowierzenia przetwarzania (np. agencja ochrony będzie korzystać z zewnętrznych serwerów video, czy obsługi dronów) to należy przejrzeć i zmodyfikować umowy powierzenia.
- Krok czwarty – aktualizacja informacji dla osób, których dane dotyczą. Klientów, rodziny, interesariuszy podmiotu chronionego.
Ryzyko z zabezpieczeń
Od samego początku szkoleń z analizy zagrożeń oraz szacowania i oceny ryzyka (od 2007 roku) wskazuję na coś, co nazywam ryzykiem z zabezpieczenia. Oznacza to, że wdrożenie zabezpieczenia może powodować zagrożenia i ryzyko w innych obszarach. Np. zabezpieczenie drzwi ewakuacyjnych, jako ochrona przed włamaniem może usunąć zabezpieczenie w zakresie ochrony ppoż polegające na drożności dróg ewakuacyjnych.
Tym razem w przypadku zaniechania czynności z art. 25 (na razie tylko w fazie projektowania) może dojść do sytuacji, w której błędnie (z punktu widzenia RODO) wdrożone rozwiązania mogą doprowadzić do konkretnych skutków. Nie zawsze jest nim ten, który wszyscy mają na myśli – a więc finansowy.
Tak, ten będzie akurat z tzw. “górnej półki”, ponieważ brak projektowania, nieuprawnione podpowierzenie, a nawet transfer danych (tu analiza TIA – transfer impact assessment) godzą bezpośrednio w zasady fundamentalne z art. 5 RODO.
Jednak jest poza tym uprawnienie władcze organu. W sytuacji stwierdzenia braku stosowania RODO może wydać on decyzję o całkowitym bądź tymczasowym zakazie przetwarzania danych. Oznacza to, że system ochrony osób i mienia będzie wyłączony do czasu, gdy nieprawidłowości zostaną usunięte. Nieprawidłowości nie tylko rozumiane jako błędy w zabezpieczeniach, ale np. brak szacowania i oceny ryzyka, czy brak podstawy do podpowierzenia danych do kolejnego procesora w łańcuchu.
Strona 21 przedstawia grafikę nazwaną w Poradniku „Czynniki wpływające na ryzyko i związki między nimi. Wg PN-I-13335:1999”. W oryginale ta grafika w normie ma tytuł: „związki w zarzadzaniu ryzykiem”.
Obrazuje on w jaki sposób oddziałują zagrożenia. Oddziałują bezpośrednio na zasoby i stanowią wymagania w zakresie ochrony. Proszę zwrócić uwagę, że w tej grafice zacienione (nie ma nazwy w polu) jest ryzyko. Wynika to z tego, że już same zagrożenia wskazują na wymagania w zakresie stosowanej ochrony, co nieco wyprzedzając jest istotą sporu między NSA i UODO.
A co na to RODO?
Wracając do wpływu i ryzyka. Prosty przykład – utrata 5 złotych vs utrata 500.000 złotych. Zasób warty 500.00 generuje większe ryzyko. Ujęcie finansowe pokazuję, ponieważ UODO w swoim poradniku (str. 8) wskazał składowe dla administratora (sic!) zamiast dla osoby, której dane dotyczą.
