Na stronie Urzędu Ochrony Danych Osobowych pojawił się krótki artykuł dotyczący korzystania z maila pracownika, który odszedł z pracy. Cieszy to, że UODO zaczyna rozwiewać problemy czy wątpliwości, które niestety przez lata były esencją ochrony danych. Czyli wszechobecne dyskusje, czy można, jaka podstawa i inne, równie “rozwijające branże”. I nic dalej.
Jednak szkoda, że poza swoistym przyzwoleniem (bo tak wiele osób odbiera ów artykuł) UODO nie poszedł o krok dalej i nie powiedział, jakie elementy muszą być spełnione u administratora, aby rzeczywiście korzystanie z tego adresu było zrealizowane zgodnie z zasadami ochrony danych. Dziś, w formie “wprawki” do erraty poradników UODO dotyczących podejścia opartego o ryzyko krótka prezentacja jak my, #RODOmaniacy rozumiemy PORADNIK. Dla przypomnienia, errata do poradników jest jednym z naszych projektów non-profit, czyli bezpłatnych dla użytkowników.
Jak czytać?
Jeszcze mała uwaga przed “poradnikiem”. Większość tych czynności, które wskazuję w części “zapisy” w organizacjach po prostu jest wykonywane. Procedury są aktualizowane i wdrażane wraz ze szkoleniami, z których są karty, czy listy. Działania w zakresie funkcjonowania systemów IT (autorespondery i przekazanie maili) również. Dlatego poradnik w zakresie dokumentowania zmian należy czytać jako sposób na zmapowanie sobie zapisów (tego, co powstaje w procesach) a nie konieczność tworzenia własnej, nowej dokumentacji.
Jak wygląda identyfikacja / modyfikacja opisu procesu, w którym przetwarzane są dane osobowe?
Aby dobrze zrozumieć istotę naszego mini-poradnika musimy zastanowić się, jak wygląda standardowy proces “ułożenia” ochrony danych osobowych w organizacji. Proces już istniejący, więc nie odnosimy się do faz projektowania, a raczej zrozumienia i dostosowania do wymagań przepisów i organizacji tego co jest. Tak. W tym etapie wymagania organizacji bierzemy pod uwagę, bo przecież korzystać z maila chcemy dla naszych, organizacyjnych celów.
Etapy procesu:
- Identyfikacja i wartościowanie danych – czyli identyfikujemy co i jak przetwarzamy oraz wstępnie klasyfikujemy do konkretnej grupy kategorii danych (zwykłe, szczególnych);
- Identyfikacja i analiza podstaw przetwarzania (przesłanek) oraz spełnienia zasad RODO;
- Szacowanie i ocena ryzyka dla danych osobowych;
- Wdrożenie środków organizacyjnych i technicznych;
- Aktualizacja w zakresie praw osoby;
Ważne: Etapy nie następują po sobie! To nie jest krok-po-kroku, a wypisane czynności zmierzających do osiągnięcia celu RODO – ochrony osoby fizycznej, której dane dotyczą.
1. Identyfikacja i wartościowanie danych – czyli identyfikujemy co i jak przetwarzamy oraz wstępnie klasyfikujemy do konkretnej grupy kategorii danych (zwykłe, szczególnych);
- Identyfikacja danych (imię, nazwisko osoby, dział);
- Kategoryzacja danych osobowych (dane kontaktowe, dane identyfikacyjne);
- Wartościowanie danych: dane zwykłych kategorii.
Zapisy:
- Aktualizacja opisu procesów, w których może dochodzić do przetwarzania danych osobowych, po zakończeniu zatrudnienia (np. procedura reklamacji, procedura kontaktów z klientami, etc);
Celem tworzenia zapisów jest wykazanie zgodności zgodnie z art 5.2. RODO. I nie chodzi tutaj o zbędną papierologię, a o to, żeby prowadzący ochronę danych pamiętał za rok, czy półtora co zmienił i jak zmienił. Pomocna tutaj jest procedura nadzoru nad dokumentami i zapisami, która np. może obejmować wersjonowanie dokumentów systemowych z tabelą zmian w dokumencie. Tabela ta powinna zawierać cel i zakres zmiany, jeśli dotyczą one istotny danej procedury. W przypadku zmiany redakcyjnej nie jest to wymagane. W dokumentach prowadzonych elektronicznie (np na Redmine, czy systemach Wiki) zmiany rejestrują się automatycznie, warto uzupełniać opis zmiany.
2. Identyfikacja i analiza podstaw przetwarzania (przesłanek) oraz spełnienia zasad RODO;
W tym obszarze jest położony zbyt mały nacisk na ocenę przesłanek. W wielu przypadkach mowa jest tylko o “wybraniu” tej, która pasuje najbardziej (zgodnie z art 6 RODO musi zaistnieć co najmniej jedna) i na tym koniec. Nie jest to prawidłowe podejście, bo każda z tych przesłanek MUSI być oceniona. Dla przykładu dwie wybrane oraz nasza, wskazana w artykule UODO:
- Zgoda osoby – art 7 uszczegóławia parametry zgody. Warto mieć rozważone, choćby na kartce papieru, czy w notatniku (plik), co zostało rozważone i jak spełniamy wymagania opisane w art 5 (zasady);
- Strona umowy, tutaj rozważyć należy również czy do umowy dane są niezbędne i co będzie, jeśli osoba nam ich nie poda (abstrahując już od obowiązku informacyjnego, w którym tą informację też podajemy);
Nie inaczej jest w przypadku stosowania jako podstawy celów wynikających z prawnie uzasadnionych interesów administratora. A więc powinniśmy wykonać ocenę prawnie uzasadnionego interesu, o której pisałem na naszym blogu:
Dla przypomnienia. Analiza prawnie uzasadnionego interesu administratora obejmuje:
- Ocena celu;
- Ocena konieczności;
- Test równowagi;
WAŻNE! na podstawie dobranej przesłanki przetwarzania danych osobowych, określamy retencję danych (czas przechowywania). Dopiero w tym momencie procesu, ponieważ jeśli okaże się, że podstawą jest przepis prawa to musimy zastosować to, co w przepisie jest wskazane.
Zapis: analiza LIA – legitimate interest assessment, czyli analiza wykonanej oceny uzasadnionego interesu administratora w tym testu równowagi. Również do przypomnienia sobie za rok, czy dwa jak wpadnie nam kontrola, dlaczego tak uznaliśmy.
3. Szacowanie i ocena ryzyka dla danych osobowych;
Mając już w działaniu pkt 1. opisane dane osobowe i etapy ujęte w projekcie modyfikacji procedury (tak zalecam, nie zmieniajcie od razu), można przejść do szacowania i oceny ryzyka. Dla przypomnienia:
- Identyfikujemy zasoby (dane – w pkt. 1)
- Identyfikujemy zagrożenia, jakie mogą powstać. Co do zasady są identyczne, ale… tylko co do zasady;
- Identyfikujemy możliwe skutki wystąpienia zagrożeń (zdarzenia szczytowego jak pisałem w opisie analizy BOW-TIE, to nasz drugi projekt na ten rok) oraz przypisujemy prawdopodobieństwo (czyli już mamy ryzyko);
- Wyznaczamy cele dla zabezpieczeń (nie opisujemy środków, tylko to co potem projektant systemów, architekt, bezpiecznik uzyskają, po wdrożeniu swoich “zabawek”).
Uwaga: Posłużę się tylko cytatem:
Niech pierwszy rzuci kamieniem, kto nie użył choć raz poczty służbowej do prywatnej korespondencji.
Uwaga 2: dla bezpieczników korporacyjnych, w których RODO i ochrona danych jest tylko jednym z elementów działania. Uwaga na nadużycia stanowiska, czyli “efekt wizytówki” ewentualnie “magia (dużej) firmy”. Wiele osób potrafi wykorzystywać miejsce zatrudnienia do osiągania własnych celów, np. zniżek, darmowych lunchy, zaproszeń etc. Jeśli tak jest i macie systemy czerwonych flag ustawione też na ten fraud – po szacowaniu i ocenie ryzyka wracamy znów do oceny LIA, w szczególności testu równowagi i zapraszamy jeszcze kilka osób do zespołu. Ale to strona o RODO, nie o bezpieczeństwie korporacyjnym, więc na tym zakończę.
Zapis: standardowy, jaki w firmie obowiązuje w zakresie przeglądów ryzyka. Co do zasady są coroczne, ale zalecam aby na tym samym narzędziu pracować na analizach ad-hoc. Bo po co mnożyć byty? Aby tylko w procedurze przeglądu ryzyka (czy korpo, czy RODO) była informacja, co jest inicjatorem przeglądu ryzyka (okres bądź zmiana procesu, stanowiska organu jak tutaj, etc), bo na audycie wypisałbym co najmniej potencjał doskonalenia, jak nie niezgodność.
4. Wdrożenie środków organizacyjnych i technicznych;
Mając wskazane cele stosowania zabezpieczeń, wynikające z naszego szacowania i oceny ryzyka… nie, nie wdrażamy jeszcze:
- Opisujemy plan, uzgadniając etapy wdrożenia. Np. aktualizację procedur, dostarczenie ich do miejsca wykonywanej pracy, szkolenie osób wyznaczonych do realizacji, wstępny audyt powdrożeniowy (nie wcześniej niż miesiąc po wdrożeniu procedury). A w obszarze technicznym np. przygotowanie autorespondera i przekierowania maila.
- Testujemy i sprawdzamy rozwiązania (może być audyt, ale w autoresponderze raczej test z zapisem).
- WDRAŻAMY zgodnie z planem i potwierdzamy działanie (testy, audyty – nawet wyciągi z większych, ale dotyczące tego konkretnego tematu).
Zapisy: Standardowe, organizacyjne. Czyli zmiana procedur zarówno operacyjnych (tych związanych z kontaktami “na zewnątrz) jak i procedur bezpieczeństwa. Dodatkowo zapisy z testów autorespondera na konkretną osobę, raporty czy jakiekolwiek zapisy z audytów. Oraz aktualizacja (jeśli konieczne) w RCPD – rejestrze czynności przetwarzania danych osobowych, jeśli zabezpieczenia będą inne niż te już ujęte.
5. Aktualizacja w zakresie praw osoby
Jak widać, proces nieco się zmienił. Dlatego powinniśmy również aktualizować informacje dla pracownika, który w ramach swoich obowiązków ma kontakty z firmami zewnętrznymi. Zakres zmiany, jaki już się wyłania ze standardowego działania, to:
- Cel przetwarzania danych;
- Podstawy prawne – w zakresie przetwarzania danych po zakończeniu zatrudnienia (6.1.f się pojawia);
- Okres retencji danych – może być inny (pewnie będzie);
Oczywiście zmiana może być większa i o innym zakresie, ale są to indywidualne sprawy organizacji.
Podsumowanie
Temat może być delikatny, dlatego ogólnie zaleciłbym udostępnienie elementów z testu równowagi, aby osoba, której dane dotyczą miała możliwość zapoznania się z tezami. Dobrze, gdyby przy tej pracy byli też przedstawiciele pracowników.
Oraz drugi element, który na pierwszy rzut oka wydaje się wręcz krytyczny do dobrego rozważenia. Jest to korespondencja prywatna kierowana na maila pracownika, który zakończył pracę. Na to naprawdę musimy uważać, bo prawo dostępu do poczty służbowej, prawem dostępu. Ale prawo do prywatności – prawem do prywatności. Warto mieć WYRAŹNIE to napisane. W sumie to też taki element motywacyjny na wprowadzenie do pracy. Jako argument – dlaczego nie stosować poczty służbowej do spraw prywatnych.
Być może ten poradnik przerobimy na formę dokumentu i będzie w dystrybucji. Ot tak, treningowo. Aha i jeszcze jedno zalecenie. Przez 20 lat jak pracuję z danymi osobowymi nauczyłem się jednej rzeczy. Tego, że coś łatwo jest opublikować na stronie i równie prosto usunąć. Także osobom, które chcą się powoływać na aktualność ze strony UODO proponuję skopiowanie treści plus metadane (taka ramka rozwijana, z tym kto treść wytworzył, wprowadził i zmienił). Przyda się… ten kto pracował w czasach DOLIS GIODO wie o czym piszę.
