Zaznacz stronę
  • Co to są dane osobowe
  • Co już wiadomo o zbliżających się zmianach
  • Które przepisy jeszcze się zmienią
  • Objaśnienia prawnych i technicznych pojęć
  • Na co warto zwrócić szczególną uwagę

Ochrona danych osobowych dzisiaj jest mało efektywna i już dawno temu nie odpowiadała na wyzwania rzeczywistości. W Polsce przez ostatnie 20 lat dane osobowe chroni ta sama ustawa choć rzeczywistość zmieniła się gigantycznie. Dane osobowe przekazujemy na każdym kroku – zaczynając od zakupów. Aktualnie jeszcze obowiązujące zasady ochrony danych osobowych powstały w unijnej dyrektywie z 1995r., które Polska wdrożyła w ustawie o ochronie danych osobowych w 1997r. – czyli wtedy, kiedy internet nosiliśmy w wiadrach.

W kwietniu 2016r. w Unii Europejskiej zostało uchwalone unijne Rozporządzenie o ochronie danych osobowych (RODO), które wykluwało się wiele lat i jest rezultatem wielu kompromisów. W UE do tej pory było tak, że każdy kraj miał swoje rozwiązania jeśli chodzi o ochronę danych i firmy traciły ponad 2 miliardy euro rocznie tylko dlatego, że dokonywały różnego rodzaju operacji związanych z rejestracją danych w poszczególnych unijnych krajach. Poza tym trudno znaleźć dziś przedsiębiorcę, który nie przetwarza danych osobowych.

Dotychczasowy stan prawny jeśli chodzi o ochronę danych osobowych w zasadzie nie istniał, bazował na przepisach zupełnie niedostosowanych do obecnych technologicznych realiów – i to głównie rozwój nowych technologii stał się przyczyną stworzenia Rozporządzenia.

RODO jest adresowane do każdego kto ma czyjeś dane osobowe.

Obywatel unijny teraz ma mieć pewność, m.in. poprzez drakońskie kary, że jego dane będą chronione. Reforma jest oddaniem kontroli obywatelom UE nad danymi. RODO będzie stosowane we wszystkich krajach UE od 25 maja 2018r.

Sedno zmian jakie się zbliżają polega na tym, że Rozporządzenie nałożyło na państwa unijne obowiązek usprawnienia systemu ochrony danych osobowych. Unia Europejska dostarczyła RODO – ale oprócz tego w innych krajach UE jak i w Polsce musi pojawić się bardzo dużo zmian ponieważ dane są wszędzie, znajdują się w każdym sektorze, stąd też będą zmiany w polskiej ustawie o ochronie danych osobowych oraz w setkach ustaw, jak np.:

  • Prawo bankowe,
  • Prawo ubezpieczeniowe,
  • Prawo medyczne,
  • Prawo telekomunikacyjne,
  • Prawo pracy

Zatem do maja 2018r. zostanie uchwalonych mnóstwo nowych przepisów, zostanie przeprowadzona w Polsce jedna z największych od dziesięcioleci reforma prawa bo dane osobowe znajdują się w prawie każdej ustawie – i w prawie każdej ustawie dokonywane są zmiany.  Zmiany te domkną po polskiej stronie europejskie standardy prawne jeśli chodzi o ochronę danych osobowych.

W tym roku została opublikowana przez Ministerstwo Cyfryzacji propozycja nowej ustawy o ochronie danych osobowych – publicznie w ministerstwie oraz w publicznej debacie jest dyskutowana – jej finalny kształt ma być znany najwcześniej na początku 2018r.

To Rozporządzenie wszystkie Państwa Unii Europejskiej stosują wprost – nie ma tutaj niczego pomiędzy. Dodatkowo jest to dokument, który rangą jest ponad polską ustawą o ochronie danych. Jeszcze obowiązująca ustawa o ochronie danych osobowych obowiązuje do 24 maja 2018r. – czyli do tego czasu należy spełniać wymagania starej ustawy i jednocześnie wdrażać standardy nowych przepisów.

Od 25 maja 2018r. będzie można się czuć bezpiecznej, gospodarka danymi osobowymi będzie bardziej uporządkowana i ucywilizowana. Nowa rzeczywistość – ochrona danych 2.0.

Każdy posiada nadajnik GPS zwany potocznie smartfonem. Żyjemy coraz bardziej elektronicznie – przez to zbiory danych stały się ropą naftową XXI wieku – ich wartość z każdym rokiem będzie rosła. Jesteśmy dawcami danych, po prostu.

Niezależnie od tego jak dobrze się przygotujemy na zarządzanie danymi to i tak nadchodzi era dramatów jeśli chodzi o bezpieczeństwo, w tym bezpieczeństwo danych – już są np. odnotowywane próby hakowania pomp infuzyjnych w szpitalach. Standard 5G oraz internet rzeczy spowodują to, że będzie ze sobą połączonych kilkadziesiąt miliardów urządzeń – katastrofy bezpieczeństwa są nieuniknione.

Dbanie o bezpieczeństwo siłą rzeczy powoduje  znaczne podnoszenie kosztów każdej firmy i instytucji poprzez wydłużanie czasu realizacji procedur i wdrażania usług.

Kiedyś zapytano Alfreda Hitchcocka o to co jest najważniejsze przy tworzeniu filmów, żeby film był dobry – odpowiedział: „po pierwsze scenariusz, po drugie scenariusz, po trzecie scenariusz”. Im lepszy scenariusz, im lepsze będzie przygotowanie do nadchodzących zmian prawnych tym mniejsze ryzyko. Dane osobowe trudno zmienić, dlatego są i będą najczęstszym celem ataków. Nowe rozwiązania prawne będą sporym wyzwaniem dla prawników oraz specjalistów IT.

Jeśli chodzi o ochronę danych – do czasów sprzed RODO – na szkoleniach, warsztatach czy też w procesach większości organizacji był kładziony głównie nacisk na papierologię związaną ze spełnianiem prawnych wymogów – nie było skupienia na realnej ochronie danych. W nowych realiach na pierwszym planie będzie rzeczywista ochrona i prawidłowe procesy, dopiero w drugiej kolejności, ale też ważne, celebrowanie formalności.

Dane osobowe nie są eksploatowane wyłącznie w marketingu czy handlu ale też korzysta się z nich w informatyce śledczej oraz w zagrożeniach bezpieczeństwa – i tutaj RODO raczej nie będzie ułatwieniem.

 

Zanim o zmianach prawnych kilka zdań o samych danych osobowych oraz co to jest przetwarzanie danych.

Dane osobowe

 

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej – czyli dane osobowe to jest w gruncie rzeczy każdy element po którym ktoś może być zidentyfikowany – cokolwiek co pozwoli na identyfikację.

Danymi osobowymi są:

  • Imię i nazwisko,
  • Imienny adres email
    – czyli taki mail stanowi dane osobowe: jan.nowak@przykładowafirma.pl
    – a taki adres to już nie będą dane osobowe: biuro@przykładowafirma.pl
  • Pesel,
  • Adres zamieszkania,
  • Dane biometryczne.

 

Danymi osobowymi mogą też być dane, po których się nie spodziewamy, że mogą nimi być, np.:

  • Numer księgi wieczystej,
  • Adres IP.

Nie ma zamkniętego katalogu danych osobowych, zawsze trzeba mieć na uwadze czy dana informacja pozwala nawet pośrednio zidentyfikować konkretną osobę.

Jeśli chodzi o osobę możliwą do zidentyfikowania to jest to osoba, której tożsamość możemy ustalić pośrednio lub bezpośrednio – to znaczy, że jeśli mamy np. tablicę rejestracyjną i wiemy gdzie właściciel tego samochodu mieszka oraz jak się nazywa to ta tablica może stanowić dane osobowe.

Natomiast za dane osobowe nie uważa się danych wobec których musielibyśmy ponieść nadmierne koszty czasu lub dokonać dodatkowych działań, żeby zidentyfikować tą konkretną osobę – czyli jeśli mielibyśmy tylko tablicę rejestracyjną i nie wiedzielibyśmy ani do kogo ona należy ani gdzie mieszka właściciel tego samochodu – to takie informacje w postaci tablicy nie można traktować jako dane osobowe. W tym przypadku ustalenie kto jest właścicielem wymagałoby od nas dalekich i czasem kosztownych działań – więc nie byłyby to dane osobowe.

 

Pytanie: czy to są dane osobowe? 🙂

Jan Nowak, Kraków

 

Generalnie daną osobową jest wszystko to co zaprowadzi do identyfikacji danej osoby. Jeśli jakaś firma czy instytucja potrafi zebrać o danej osobie dziesiątki czy setki zmiennych to dzięki temu w konsekwencji dojdzie do miejsca, gdzie będzie w stanie konkretnie wskazać osobę z imienia i nazwiska. Na przykład każdy użytkownik inaczej korzysta ze stron internetowych – każdy inaczej porusza się myszką po ekranie – na ten moment nie ma odpowiedzi czy ten przykładowy ruch myszką może być daną osobową lub czy może nią być w zestawieniu z innymi parametrami.

Wszystko co komunikuje nam na temat danej osoby fizycznej – to mogą być potencjalnie dane osobowe.

Bardzo łatwo stracić kontrolę nad danymi bez konieczności spektakularnego włamania do systemu – zdarzają się np. fałszywe rekrutacje, gdzie dane są przekazywane na talerzu fikcyjnej firmie trzeciej, która z kolei te dane sprzeda. Oczywiście taki zbiór będzie pozyskany w sposób nielegalny ale zdarzają się przedsiębiorcy, którzy tego typu bazy danych kupują.

Aplikacje mobilne pewnie w ogóle nie są weryfikowane przez jakiekolwiek instytucje stojące na straży ochrony danych osobowych. Aplikacje mogą pozyskiwać dane i je przesyłać na dowolne serwery, w dowolnym celu. Aplikacje żądają często absurdalnych uprawnień do różnych informacji i zasobów smartfonu podczas instalacji – lubią użytkowników stawiać pod ścianą czyli damy dostęp do wszystkiego albo nic z tego, nie ma instalacji. Wiele z tych aplikacji trzymamy jak ubrania w szafie – kiedyś się przydadzą.

Nie jest lepiej jeśli chodzi np. o karty lojalnościowe – firmy zbierają więcej informacji niż jest im potrzebne do świadczenia jakiejkolwiek usługi. W przypadku różnych programów lojalnościowych zdarza się, że trzeba podać nr dowodu osobistego, Pesel czy adres zamieszkania.

Przy zapisach na newsletter można natrafić w formularzu na miejsca do wpisania swojego adresu zamieszkania, imienia i nazwiska czy numeru telefonu – te dane nie są potrzebne przedsiębiorcy do zapisania na newsletter. Żądanie wpisania numeru telefonu jest też bardzo częste przy zapisach na webinar.

Podłączanie się do Wi-Fi w miejscach publicznych również często może być rozrzutnością swoich danych.

Dane wrażliwe to dane, które dotyczą:

  • Pochodzenia rasowego lub etnicznego,
  • Poglądów politycznych,
  • Przekonań religijnych lub filozoficznych,
  • Przynależności wyznaniowej, partyjnej lub związkowej,
  • Stanu zdrowia, kodu genetycznego, nałogów lub życia seksualnego,
  • Skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Ten katalog danych sensytywnych od 25 maja 2018r. zostanie poszerzony o dane:

  • Genetyczne,
  • Biometryczne.

Dane genetyczne były dotychczas uznawane za wrażliwe w polskim porządku prawnym ale nie było to jednoznacznie w przepisach sformułowane.

Nowością jest zaliczenie danych biometrycznych do kategorii danych wrażliwych. Do tej pory nie było przepisów dotyczących przetwarzania danych biometrycznych – nie regulowały tego żadne przepisy, uważano je jak zwykłe dane osobowe. Dotychczas korzystanie i gromadzenie danych biometrycznych opierało się w zasadzie wyłącznie na stanowiskach publikowanych przez GIODO.

Dane biometryczne przekazujemy prawie codziennie więc nie ma co też traktować danych biometrycznych jako zła samego w sobie ponieważ te dane są dzisiaj powszechnie gromadzone, np.:

  • Logowanie się do smartfona za pomocą odcisku palca – to są dane biometryczne,
  • Głos to też są dane biometryczne – więc nawet krótkotrwałe przetwarzanie nagrania głosu przez domofon powoduje zastosowanie przepisów o ochronie danych,
  • Charakter pisma w postaci wzoru podpisu, który jest przechowywany np. przez banki – to też są dane biometryczne,
  • Znaki szczególne / znamiona,
  • Kiedy odbieramy i podpisujemy się na ekranie kuriera – to też są dane biometryczne,
  • Co ważne – danymi biometrycznymi są również zdjęcia twarzy.

Coraz więcej organizacji przestawia się na zabezpieczenia biometryczne – hasła są zastępowane przez fragmenty ciał. Są już boiska piłkarskie, z których można korzystać pod warunkiem skanowania układu naczyń krwionośnych dłoni – a jest to silniejsze zabezpieczenie niż odcisk palca ponieważ krew musi aktywnie płynąć przez żyły.

Pracodawca najprawdopodobniej będzie miał prawo pobierania danych osobowych biometrycznych i te dane będą gromadzone za pomocą kodu cyfrowego, które pracodawca będzie miał możliwość odkodowania przy użyciu matrycy / algorytmu. Przez to nawet wyciek takiego kodu nie będzie zagrożeniem bo bez odpowiedniego algorytmu z taką informacją nie będzie można nic zrobić.

Dane genetyczne są pobierane m.in. przez instytucje państwowe – np. bazy DNA.

Jeśli dany podmiot przetwarza dane wrażliwe to wiąże się to z większymi wymogami prawnymi jakie musi spełniać – czyli jeszcze wyższy standard bezpieczeństwa.

Dane osobowe dotyczą tylko osób żyjących – w przypadku osób zmarłych nie stosuje się przepisów o ochronie danych osobowych – niemniej jednak dane osób zmarłych podlegają ochronie na podstawie przepisów kodeksu cywilnego.

 

Przetwarzanie danych

W przepisach o ochronie danych osobowych często pojawia się sformułowanie „przetwarzanie danych” – a przetwarzanie danych wiąże się z koniecznością przestrzegania przepisów o ochronie danych osobowych.
Co to jest przetwarzanie danych? dane przetwarzamy już w momencie kiedy zapisujemy je na komputerze. Samo trzymanie na dysku / serwerze i niedokonywanie w nich żadnych zmian jest już przetwarzaniem danych.  Zapisanie danych w papierowym notesie również jest przetwarzaniem danych. Jeżeli posiadamy czyjeś dane osobowe to w gruncie rzeczy wszystko co z nimi zrobimy lub nie zrobimy jest ich przetwarzaniem. Przetwarzanie danych potocznie kojarzy się z aktywnością, z jakimś działaniem, ze zmienianiem czegoś – a wystarczy samo gromadzenie czy posiadanie.

Nowe przepisy to nie tylko wyższy standard zabezpieczenia danych w formie cyfrowej – dane przechowywane w formie papierowej są pod taką samą ochroną. Wyciek danych może nastąpić np. w wyniku zostawienia na biurku w miejscu ogólnodostępnym dokumentów z danymi osobowymi na następny dzień – tutaj nie potrzeba być ponadprzeciętnym hakerem… wystarczy zrobić zdjęcia. Na pewno tablice korkowe biurach czy sekretariatach będą bardziej minimalistyczne.

Przetwarzanie danych osobowych rozpoczyna się na etapie ich gromadzenia – kończy się w momencie ich usunięcia.

 

 

Co się zmienia:

 

Znika GIODO

Generalny Inspektor Ochrony Danych Osobowych znika z polskiej rzeczywistości, zastąpi go Prezes Urzędu Ochrony Danych Osobowych – w zasadzie następca prawny, czyli nowy nienowy organ. Prezes będzie robił to co teraz GIODO tylko, że będzie dysponował zupełnie innymi środkami. Prezes będzie mógł nakładać gigantyczne kary – można śmiało napisać, że będzie to jeden z najsilniejszych organów państwowych ponieważ w polskim systemie prawnym nie ma organu uprawionego do tak wysokich kar finansowych.

 

Prawo do bycia zapomnianym

Prawo do bycia zapomnianym polega na trwałym usunięciu danych osobowych, które są przetwarzane przed firmy czy instytucje – niezależnie od tego czy są to dane w formie cyfrowej czy papierowej.

Oznacza to tyle, że każda organizacja będzie musiała się do tego dostosować, co będzie wyzwaniem dla podmiotów usuwających dane. Prawo do zapomnienia brzmi triumfalnie ale są sytuacje, w których okazuje się niemożliwe do zrealizowania.

Na przykład jeśli klient występuje do banku o zaprzestanie przetwarzania danych osobowych – co bank ma zrobić w takiej sytuacji? Bank posługuje się tymi danymi nie tylko w systemach, które funkcjonują na bieżąco ale te dane są również zaszyte w różnych systemach backaup’owych i archiwalnych, które są odtwarzane dla celów bezpieczeństwa w przypadku np. awarii. Rozporządzenie pisze literalnie, że dane muszą być usunięte również z kopii zapasowych. Nie ma możliwości usunięcia jakichkolwiek danych z kopii zapasowej jeśli kopia ma spełniać swoje funkcje – czyli być w komplecie w sytuacji przywracania systemu.

Do RODO będą musiały dostosować się również firmy spoza Unii Europejskiej – naprzeciw siebie staną m.in. firmy z doliny krzemowej oraz instytucje UE – jeśli chodzi o tę konfrontację to będzie na co popatrzeć.

Na tę chwilę nie ma też odpowiedzi co w prawie do zapomnienia oznacza kasowanie danych – np. w przypadku dysków magnetycznych jeśli zaznaczymy jako skasowane to te dane nadal tam są, te dane można odzyskać. W tym przypadku faktyczne skasowanie danych musiałoby oznaczać poszatkowanie dysku. Potrzebne tu jest doprecyzowanie czy to ze strony europejskiej czy polskiej na jakim poziomie dane muszą być skasowane jeśli ktoś o to wystąpi w ramach przysługującego mu prawa do zapomnienia.

Prawo do zapomnienia po części jest gadżetem teoretycznym – więcej obiecuje niż oferuje.

 

Przetwarzanie danych dziecka

Generalną zasadą wynikającą z RODO jest to, że dzieci od 16 roku życia mogą samodzielnie wyrażać zgodę na przetwarzanie danych natomiast przepisy danego kraju mogą obniżyć wiek do 13 lat. Nowa polska ustawa o ochronie danych osobowych być może obniży wiek osób, które wyrażają zgodę na przetwarzanie danych osobowych z 16 do 13 lat – czyli za dzieci poniżej 13-go roku życia zgodę na przetwarzanie danych będzie musiał wyrazić rodzic lub opiekun prawny.

Dzięki temu obniżeniu przepisy byłyby kompatybilne z kodeksem cywilnym, który mówi, że osoba, która ukończyła 13 lat ma ograniczoną zdolność do czynności prawnych, więc może wyrazić zgodę na przetwarzanie danych. Pozostawienie wymogu 16 lat powodowałoby też to, że 16-latek musiałby od rodzica uzyskać zgodę na założenie skrzynki mailowej. To byłoby archaiczne, w momencie uchwalenia prawo byłoby niedostosowane do rzeczywistości cyfrowej. Dlatego obniżenie wieku do lat 13 to racjonalne rozwiązanie. Jeżeli taki młody człowiek może kupować gry czy książki to dlaczego ma być pozbawiony prawa do przekazania danych osobowych, żeby np. móc otrzymywać informacje o promocjach lub wydarzeniach.

Niemniej jednak zapis o przetwarzaniu danych dzieci w RODO generalnie nie jest najszczęśliwszym pomysłem. Niezależnie od tego czy ostatecznie polskie państwo skorzysta z możliwości obniżenia wieku do 13 lat – mimo tego ten przepis jest niewykonalny ponieważ nie ma możliwości weryfikacji od danego podmiotu otrzymanych zgód na przetwarzanie danych dziecka.

Poza tym  jak weryfikować zgodę rodziców i ich tożsamość, czy za pomocą dowodu osobistego czy za pomocą telefonu, a jeżeli za pomocą telefonu to jaka podstawa prawna takiego gromadzenia itd. Dodatkowo jak dziecko kliknie zgodę bez zgody rodzica to trudno sobie wyobrazić rodzica, który donosi na własne dziecko, że bez jego zgody kliknęło. Uchwalanie przepisów, które z definicji nie są możliwe do wyegzekwowania jest niepotrzebnym generowaniem emisji dwutlenku węgla.

 

Kary

Po raz pierwszy naruszenie zasad ochrony danych będzie karane. W Polsce jak i w większości krajów Unii Europejskiej tego typu naruszenia nie były karane. Nowe przepisy o ochronie danych są obudowane ogromnymi karami, które mogą położyć niejedną firmę. RODO nie byłoby tak wyraziste i tak głośne, gdyby nie zawierało w sobie takich kar za naruszenia.

Urząd i pośrednio wszyscy dostają nowy instrument, którego do tej pory nie mieli – Prezes będzie mógł niezależnie od nakazania usunięcia danych osobowych nałożyć na przedsiębiorcę karę w wysokości do 4% obrotów bądź do 20 milionów euro. To jest drastyczne. Kary de facto będą decydować czy dana organizacja będzie istnieć lub nie.

Kary będą m.in. za:

  • Wycieki danych,
  • Bezprawne udostępnianie danych,
  • Za profilowanie.

Jeśli chodzi o wycieki danych to np. według badań ponad 70% firm nie kontroluje swoich pendrive’ów.

Po raz pierwszy profilowanie zostanie uregulowane prawnie. Obecnie jesteśmy permanentnie profilowani – np. po kilku godzinach ponownie wchodzimy do Internetu i pojawiają się reklamy tego, czego nie tak dawno szukaliśmy. Profilowanie to jest właśnie takie układanie ludzi w przegródki zgodnie z ich preferencjami i potem naparzanie w nich precyzyjnymi reklamami.

Nie jest tajemnicą, że reklamodawcy kupują użytkowników na specjalnych aukcjach – są oni posortowani i podzieleni na grupy. Im dana grupa jest lepiej sprofilowana tym cena takich danych jest wyższa.

Portale społecznościowe są bezpłatne ale nie są za darmo – na dzień dobry akceptacja regulaminu, którego nikt nie czyta, i potem konsekwentna, systematyczna, codzienna dawka danych, jakie przy każdej wizycie są zbierane. W rezultacie każdy użytkownik żyje w spersonalizowanej bańce informacyjnej bo na tablicach widzi to co algorytm na podstawie wcześniej zebranych danych mu przygotował.

Myślimy, że Facebook dominuje w ilości zbieranych danych ale jest tak, że np. sieć Wal-Mart dysponuje porównywalną ilością danych – sklepy gromadzą dane z paragonów, ruch w sklepach itd. Duże sklepy jeśli chodzi o ilość danych stoją na podium razem z portalami społecznościowymi.

Inny sposób na wykorzystywanie profilowania: to jest dość powszechna praktyka, że firmy proponują np. użytkownikom jabłuszka wyższe ceny – bo wiedzą z jakiego sprzętu użytkownik wszedł na stronę. W kodzie strony na tę okoliczność jest przewidziany odpowiedni algorytm, którego autor zakłada, że użytkownik jabłuszka jest bardziej zamożny więc można go odpowiednio potraktować.

W 2018 roku będziemy mieć możliwość np. na stronie internetowej wyrażanie zgody bądź nie na profilowanie. Brak zgody na profilowanie będzie wyzwaniem dla marketerów i firm ponieważ to utrudni kierowanie dopasowanych reklam.

Profilowanie jest często również wykorzystywane przez banki do oceny zdolności kredytowej oraz przez firmy ubezpieczeniowe do oceny ryzyka ubezpieczeniowego.

Firmy najbardziej interesuje kwestia profilowania w celach marketingowych – ten temat nierzadko pochłania połowę czasu podczas szkoleń.

W przypadku marketingu cena za pozyskanie adresów mailowych będzie dużo wyższa bo użytkownik będzie miał więcej schodów do pokonania. Formularze zgody będą zawierać więcej informacji – m.in. o prawie do przenoszenia danych, planach przekazywania poza granice kraju czy okresie ich przechowywania. Osoby udzielające zgodę będą wymagały od firm większego poziomu zaufania. Cena będzie na pewno większa niż obecnie.

Nic nie stoi na przeszkodzie, żeby w ramach zgody na profilowanie np. udzielić niższej ceny – czyli zmonetyzować swoje dane osobowe.

RODO przyznało Polsce swobodę w podejmowaniu decyzji czy karać administrację publiczną. Kary mogłyby wpływać na realizowanie zadań publicznych przez dany organ – stąd też Minister Cyfryzacji zdecydował zawęzić krąg podmiotów publicznych, które mogłyby być potencjalnie ukarane. Polski ustawodawca obniżył poziom kar dla takich instytucji jak ZUS czy NFZ – będą mogły otrzymać karę bardzo niską w stosunku do pozostałych podmiotów – czyli do 100 tysięcy złotych.

Słychać argumenty, że karanie administracji jest karaniem pośrednio obywateli bo:

  • Kara jest finalnie opłacana przez obywatela,
  • Obywatel jest karany dwukrotnie – pierwszy raz za to, że administracja naruszyła jego dane osobowe i drugi raz jest karany za to, że przez wysoką karę organ może mieć problemy z realizacją ustawowych zadań wobec niego.

Te argumenty do mnie przemawiają niemniej jednak w Polsce posiadaczem największej ilości danych jest administracja publiczna i taryfa ulgowa wobec administracji może mieć wpływ na jakość zabezpieczeń i procedur. Dodatkowo nie ma w tym rozwiązaniu równości podmiotów wobec prawa – szpitale publiczne oraz prywatne administrują takimi samymi danymi. Jeśli dane wyciekną ze szpitala publicznego oraz ze szpitala prywatnego – to pierwszy jest zagrożony karą jednak dość symboliczną w porównaniu do tego jak ogromna kara może zostać nałożona na szpital prywatny.

W momencie pisania tego artykułu Ministerstwo Cyfryzacji zastrzega, że wysokość kar dla administracji publicznej jest jeszcze otwarta – będzie inna niż pozostałych organizacji ale niekoniecznie taka jak zaproponowana obecnie.

 

Obowiązek szacowania ryzyka

Ta zasada, ten standard będzie powodował najwięcej problemów w praktyce. Administratorzy danych (firmy, instytucje) sami muszą ocenić czy dane środki są adekwatne a organ będzie to kontrolował. Każdy podmiot będzie zobowiązany oceniać ryzyko przetwarzania danych – czyli np. w momencie powstawania projektu, w którym będą przetwarzane dane osobowe trzeba będzie ocenić jakie dane są potrzebne, jak długo te dane potrzeba przechowywać, jakie są zabezpieczenia, jaka infrastruktura itd.

Przy ocenie ryzyka trzeba brać pod uwagę nie tylko to co czy coś jest dopuszczalne czy nie – ale jakie ryzyka to niesie za sobą.

Technologia się zmienia i dlatego też nie ma w Rozporządzeniu precyzyjnych zapisów, które siłą rzeczy szybko by się zdezaktualizowały – w założeniu przepisy RODO mają być odporne na nowinki techniczne. Uchwalone przepisy są neutralne technologicznie i te które niebawem powstaną w Polsce również zapowiadają się jako neutralne technologicznie.

Precyzyjność RODO jest jak nadwyżka budżetowa – nie istnieje.

Często będzie się to wiązać z dużymi kosztami. RODO nie wskazuje w jaki sposób technicznie zabezpieczać dane osobowe, nie ma w nim gotowych wzorców – czyli nie ma np. wykazu czynności czy też wykazu gotowych rozwiązań technologicznych jakie należy stosować. Przedsiębiorca czy instytucja musi samodzielnie zadecydować wybierając najbardziej skuteczne i stabilne technologicznie w danym momencie środki techniczne do zabezpieczenia danych osobowych. Nie będzie już mowy o tym jak długie ma być hasło i co ile należy je zmieniać. W RODO są wprost wskazane w gruncie rzeczy tylko dwa środki – szyfrowanie i pseudonimizacja, o reszcie zabezpieczeń trzeba samodzielnie zdecydować. (Pseudonimizacja jest omówiona w dalszej części).

W organizacjach zasadą powinno być to, żeby szyfrować dane wszędzie tam, gdzie jest to możliwe bo to siłą rzeczy wyraźnie podnosi bezpieczeństwo – a w razie sytuacji awaryjnej, z racji tego, że szyfrowanie jest jednoznacznie wspomniane w RODO to na pewno wówczas padnie pytanie o ten sposób zabezpieczeń.

Plusem jest to, że już nikt nie powie, że trzeba robić tak i tak – tylko sami musimy dopasować środki do konkretnej sytuacji. Jednak minusem tego rozwiązania jest to, że organizacje nie będą wiedzieć czy to co robią jest wystarczające czy nie.

 

Kodeksy branżowe

RODO nie tyle umożliwia co wprost zachęca do tworzenia kodeksów postępowania przez organizacje, które zrzeszają podmioty z określonego sektora / branży. Takie kodeksy będą na końcu zatwierdzanie przez instytucję nadzorczą. Nad takim „prawie prawem” obecnie pracuje w Polsce sektor ochrony zdrowia, sektor bankowy, branża ubezpieczeniowa oraz e-commerce – będzie to coś w rodzaju mapy drogowej podmiotów z tych branż. Co ważne: kodeksy będą wiążące dla podmiotów, które je przyjęły.

Ministerstwo Cyfryzacji, które odpowiada za kształt nowej przyszłej ustawy o ochronie danych osobowych, słusznie zaczęło się obawiać, że pozostawienie podmiotów zupełnie bez jakichkolwiek wytycznych i drogowskazów jak zabezpieczać dane może to odnieść odwrotny skutek – czyli jak niewiadomo jak zabezpieczać to nie będzie to w ogóle realizowane – szczególnie przez mniejsze firmy.

Wobec tego Ministerstwo postanowiło, że prawnie zobowiąże przyszły organ nadzorczy (czyli Prezesa Urzędu Ochrony Danych Osobowych) do tego aby wydawał dobre praktyki (soft law) – dobre praktyki sektorowe adresowane dla różnych kategorii przedsiębiorców – a więc inne dla telekomów, inne dla sektora medycznego, inne dla sektora bankowego itd. Będą to niewiążące ale jednak wytyczne, które dodatkowo będą cyklicznie aktualizowane. Obowiązkowe wydawanie tych dobrych praktyk będzie pomocnym rozwiązaniem, które trzeba mieć nadzieję pokaże w którą stronę iść jeśli chodzi o gospodarkę i zabezpieczanie danych w konkretnych branżach. Dobre praktyki niestety mogą zostać wydane dopiero po wejściu w życie nowej ustawy o ochronie danych osobowych – czyli wiosna 2018r.

 

Donoszenie na samego siebie

W niektórych krajach ten obowiązek już występuje, np. w kilku stanach USA. Polega to na tym, że w ciągu 72 godzin należy powiadomić organ nadzorczy w sytuacji naruszenia ochrony danych –  jaki był charakter naruszenia, jakie dane wyciekły, jakie są możliwe konsekwencje oraz jakie środki zastosowano lub jakie zamierza zastosować. Jednocześnie w niektórych sytuacjach należy poinformować osoby, których dane zostały naruszone – a będzie to wyzwanie ponieważ nie ze wszystkimi osobami poszkodowanymi jest kontakt elektroniczny czy telefoniczny. Dodatkowo koszt wysłania powiadomienia na papierze do tysięcy osób poszkodowanych będzie spory. W takich sytuacjach znacznych wycieków danych rozwiązaniem będą publiczne komunikaty o wycieku.

Do tej pory obowiązek zawiadamiania o naruszeniach danych osobowych mieli wyłącznie przedsiębiorcy telekomunikacyjni – RODO rozciąga ten obowiązek na wszystkich administratorów.

Obowiązek o powiadomieniu o wycieku danych w ciągu 72 godzin bardzo się komplikuje, gdy zdarzenie będzie miało miejsce np w długi weekend – kiedy zespół firmy czy instytucji z której wyciekły dane rozjechał się po Polsce lub Europie. Zespół kryzysowy musi się zebrać i podjąć w ciągu tych kilkudziesięciu godzin mnóstwo decyzji – w tym decyzje kogo i jak powiadomić o incydencie.

 

Domyślna ochrona danych

Czyli ochrona danych domyślna w każdym procesie. RODO tutaj wzorowało się na kanadyjskich rozwiązaniach. Standard niby oczywisty ale nie zawsze do tej pory np. w procesach biznesowych było poświęcane sporo uwagi na to jak na poszczególnych etapach dane były traktowane. Obecnie praktyka jest taka, że najpierw tworzy się rozwiązanie – sprawdzanie czy ta technologia ma możliwości a dopiero potem zastanawianie się jakie to ma skutki dla prywatności.

Teraz ochrona danych musi być uwzględniona już na etapie planowania usługi w której będą wykorzystywane dane osobowe i domyślnie musi towarzyszyć tym procesom od samego początku. To będzie się wiązać z np. uwzględnieniem ankiet,  zgód zanim dana usługa wystartuje. W przypadku startupów wersja próbna projektu (MVP, demo, beta) ma mieć wbudowaną ochronę danych tak jak w produkcie docelowym.

Domyślną ochroną danych po zainstalowaniu programu czy aplikacji nie będzie ekran z domyślnie zaznaczonymi wszystkimi checkboxami łącznie ze zgodą 🙂 przeciwnie, właśnie wszystkie możliwe opcje zaznaczania zgody na przetwarzanie danych mają być wyłączone – czyli firma na wejściu maksymalnie mnie chroni a dopiero ja mogę z tej ochrony zrezygnować.

 

Pseudonimizacja

RODO definiuje to jako separację danych osobowych od danych transakcyjnych – np.: dane takie jak imię, nazwisko i Pesel powinny być trzymane w jednym silosie danych a transakcje należące do tej konkretnej osoby w osobnym silosie. Cały proces przetwarzania danych powinien odbywać się wyłącznie w silosie transakcyjnym i tylko w momencie w którym jest potrzebna informacja identyfikująca kogo dane dotyczą powinna następować referencja (po ludzku przekazanie). Dodatkowo imię i nazwisko jest zastępowane pseudonimem.

W pseudonimizacji chodzi o to, żeby tak zorganizować proces przechowywania danych, aby nie przechowywać wszystkich danych osobowych w jednej bazie danych – czyli, żeby rozdzielać dane pomiędzy wiele baz danych i w tym wszystkim posługiwać się numerami, pseudonimami itd.

Co ważne: pseudonimizacja to nie jest anonimizacja danych – anonimizacja wyklucza identyfikację konkretnej osoby. Anoniminizacja jest nieodwracalna natomiast pseudonimizacja jest w założeniu odwracalna.

 

Zbiory danych

Zostaje zniesiony obowiązek zgłaszania zbiorów danych ale tak jakby w to miejsce będzie obowiązek ich dokumentowania – czyli prowadzenia rejestru czynności przetwarzania. Prowadzenie rejestru nie będzie dotyczyło każdej organizacji. Sztuczny obowiązek rejestrowania zbiorów danych kojarzył się z ochroną danych – ale z punktu widzenia bezpieczeństwa danych jest / był to obowiązek bez sensu. Rejestrowanie zbiorów danych w założeniu miało być czymś w rodzaju samokontroli tych, którzy dane przetwarzają ale okazało się to zbędną biurokracją – np. Niemcy z tego zrezygnowali już lata temu.

Teraz jest tak, że dane rozpływają się po firmie czy instytucji i trudno stwierdzić kto tak naprawdę brał udział w ich przetwarzaniu – rejestr ma dokumentować kto i na jakim etapie brał udział w przetwarzaniu danych. Każdą czynność trzeba będzie dokumentować w taki sposób, żeby można było się potem z niej rozliczyć.

Rejestr czynności przetwarzania – czyli taka swego rodzaju metryka procesów przetwarzania danych osobowych.

 

Przenoszenie danych

Jest to sytuacja podobna do przenoszenia numeru telefonicznego. Teraz przeniesienie danych umieszczonych np. w jednym serwisie do innego miejsca jest bardzo trudne – tak samo trudno kiedyś przenosiło się numery telefonów do innego operatora. Nowe przepisy mają umożliwić przenoszenie danych, dzięki temu zmiana usługodawcy będzie łatwiejsza – ma to zapobiec tzw. efektowi uzależnienia od usług poszczególnych firm.

Na co dzień będzie to też oznaczać np. sytuacje, gdzie do danego banku został złożony wniosek kredytowy, została wydana decyzja odmowna – to w takiej sytuacji będzie możliwość zwrócenia się do tego banku aby te dane przekazał innemu bankowi do którego potem aplikujemy o kredyt. Więc nie będzie każdorazowo potrzeby w walizkach dostarczać danych – podmioty będą je sobie przekazywać i te formy przenoszenia danych będą ustandaryzowane.

 

Prosta komunikacja

Przy obowiązkach informacyjnych / komunikatach zwracamy uwagę nie tylko na to co piszemy – ale jak piszemy. Czyli pisanie bez intencji uzasadniania potrzeby swojego istnienia. RODO zachęca do prostej komunikacji.

 

Znikają ABI

Dotychczas odpowiedzialność jeśli chodzi o dane osobowe w przedsiębiorstwach i instytucjach mieli Administratorzy Bezpieczeństwa Informacji (ABI).  RODO zmieniło ich nazwę na Inspektor Ochrony Danych (IOD) – wobec tego dotychczasowa nazwa urzędu Generalny Inspektor Danych Osobowych musiała w ślad za tym zostać zmieniona bo wprowadzałoby to w błąd – inspektor ochrony danych jako urząd i jednocześnie inspektor ochrony danych w przedsiębiorstwach i w sektorze publicznym. Stąd w Polsce zmienia się Generalny Inspektor Danych Osobowych na Urząd Ochrony Danych Osobowych. Fakt faktem Generalny Inspektor Ochrony Danych Osobowych funkcjonował ładnych parę lat ale mimo tego nie utrwalił się bardzo wyraźnie – pierwszy człon nazwy Generalny / Główny był potocznie używany zamiennie.

Inspektor Ochrony Danych jest to dedykowana osoba w organizacji, która jest odpowiedzialna za gospodarkę danymi osobowymi.

Dodatkowo Inspektor Ochrony Danych nie będzie wyłącznie reprezentował interesu firmy wewnątrz – nie zajmował się do tej pory reprezentacją na zewnątrz. Od teraz IOD będzie również reprezentował firmę na zewnątrz – np. będzie komunikował się z Prezesem Urzędu Ochrony Danych Osobowych.

IOD będzie punktem kontaktowym / interfejsem dla Prezesa Urzędu Ochrony Danych Osobowych – Urząd właśnie z Inspektorem Ochrony Danych Osobowych będzie się kontaktował w organizacji.

Co ważne: RODO nie przewiduje zastępcy Inspektora Ochrony Danych Osobowych. W razie choroby itd. w grę wchodzi wyłącznie dobrze zorganizowany system pełnomocnictw w firmie na wypadek takich sytuacji. Organizacja powinna przytomnie rozprowadzić pełnomocnictwa innym osobom na wypadek krótkich czy długich nieobecności.

 

Jednoinstancyjność postępowania

Zostaje zniesiona dwuinstancyjność postępowania, powstaje jednoinstancyjność –  a więc jeżeli każdy, kto będzie chciał wystąpić ze skargą na naruszenie swojej prywatności zwraca się do Prezesa Urzędu Ochrony Danych Osobowych i decyzja wydana przez prezesa już uprawnia do skierowania do sądu – nie tak jak dzisiaj, gdzie trzeba czekać na kolejną decyzję, bardzo często czekając średnio dwa lata na rozstrzygnięcie.

Konstytucja nakłada obowiązek dwuinstancyjności – ale wyłącznie wobec postępowania sądowego. Takiego obowiązku nie nakłada na postępowanie administracyjne. Nowy kodeks postępowania administracyjnego, który niedawno wszedł w życie, wprost przewiduje jednoinstancyjność postępowania administracyjnego jeśli przepis szczególny tak właśnie stanowi, a w tym przypadku tak będzie stanowił.

Proponowane nowe przepisy zakładają kilka dróg dochodzenia swoich praw przez pokrzywdzonych – jeżeli doszło do naruszenia prawa ochrony danych, będzie można:

  • Wystąpić do organu i po wydaniu decyzji udać się do sądu administracyjnego,
  • Druga możliwość to wystąpienie do organu i jednocześnie do sądu powszechnego,
  • Trzeci wariant to wystąpienie do sądu powszechnego,
  • Można też jeszcze inną drogą – jak np. powództwo z tytułu naruszenia dóbr osobistych.

Żeby uniknąć sytuacji takiej, że sąd i Prezes zajmują się tą samą sprawą, projekt zakłada obowiązek wzajemnego informowania się o postępowaniach w sprawie naruszenia przepisów o ochronie danych osobowych – i np. sąd będzie mógł zawiesić toczące się przed nim postępowanie do czasu zakończenia postępowania przed Prezesem Urzędu Ochrony Danych Osobowych.

Nowe możliwości prawne będą również generować procesy sądowe, które będą wytaczać:

  • Konkurenci,
  • Byli pracownicy,
  • Niezadowoleni klienci,
  • Firmy, które będą wyszukiwać tego typu zleceń i będą potem reprezentować poszkodowane lub rzekomo poszkodowane osoby przeciwko firmom i instytucjom.

Organizacje siłą rzeczy będą musiały liczyć się z tego typu bataliami prawnymi, w tym z tzw. pieniactwem procesowym.

 

Podsumowanie

 

Projekt nowej ustawy o ochronie danych osobowych trafi na Radę Ministrów najprawdopodobniej na początku 2018r., skąd dopiero rozpocznie podróż legislacyjną przez parlament. Jest możliwe, że ustawa zostanie uchwalona na ostatnią chwilę tuż przed 25 maja 2018r. Dziesiątki innych aktów prawnych również mogą być uchwalone tuż przed dniem zero.

25 maj 2018r. to jest dzień w którym w organizacjach wszystkie zmiany prawne muszą być zaimplementowane. Do tego czasu pojawi się jeszcze wiele zmian w przepisach sektorowych, z którymi dodatkowo będzie trzeba być na bieżąco i które to na bieżąco (na gorąco) trzeba będzie wdrażać.

Wszyscy otrzymują dużo nowych uprawnień i trzeba będzie się nauczyć z nich korzystać. Każde uprawnienie po stronie obywatela w konsekwencji generuje obowiązek po stronie instytucji czy przedsiębiorstw.

Ochrona danych poza wszystkim zajmie w końcu właściwe miejsce w departamentach compliance w firmach ze względu na to, że rygoryzm nowych przepisów jest wysoki. Duże firmy i instytucje dadzą sobie radę, mniejsze firmy będą mieć spore problemy ze spełnieniem nowych standardów prawnych – bo najczęściej nie mają wyspecjalizowanych prawników i specjalistów IT.

Dostosowanie do RODO to nie jest jednorazowy projekt – to jest proces, który nigdy się nie skończy ponieważ rozwój technologii będzie powodował nieustanną gonitwę za utrzymywaniem właściwych standardów prawnych i technicznych. Nowe usługi będą generowały kolejne analizy w jaki sposób wyposażyć te usługi we właściwe procesy bezpieczeństwa – i tak bez końca.

Paradoksalnie są firmy, które mieszczą się w jednym pokoju a pracują na oceanie danych.

Dzisiaj dane osobowe w wielu organizacjach leżą bezczynnie – leżą bo często za łatwo pozyskane i siłą rzeczy się tego nie szanuje ale też nie są używane bo firma nie wie jak z nich korzystać i przez to w pewnym sensie marnuje cyfrowy kapitał jaki posiada. Dane to jest ropa XXI wieku ale dopiero analityka to jest silnik spalinowy.

International Data Corporation jako czołowy globalny dostawca rynkowych informacji przewiduje, że za rok 2017 jedna trzecia firm z listy Fortune 500 osiągnie dwa razy większe przychody ze sprzedaży dzięki wykorzystywaniu zbiorów danych (Big Data) niż inne firmy z tych samych branż, które nie korzystają z tych zasobów. To pokazuje siłę i znaczenie danych.

Zbliżające się zmiany spowodują to, że klienci będą bardziej świadomi znaczenia danych osobowych oraz organizacje będą bardziej doceniać dane ponieważ będzie dużo trudniej je pozyskać.

Dane w tych czasach to jest zasób firmy taki sam jak gotówka, środki trwałe itd. Zdarza się, że wartość bazy danych w danej firmie przewyższa wartość reszty majątku.

Może być też tak, że RODO oznaczać będzie oszczędności i większą efektywność pracy w danej organizacji – istnieją organizacje, które pracują nawet na kilkudziesięciu systemach informatycznych, które wykonują takie same zadania – to kosztuje, dużo kosztuje. Poza tym przez lata przewinęło się tam wielu etatowych czy zewnętrznych informatyków i po czasie już nikt nie pamięta co, gdzie i jak. Szacuje się, że około połowy danych, które są na serwerach są tzw. „danymi nieużywanymi” – szczególnie marketing lubi zbierać dane na zapas. Uporządkowanie tego z/w na RODO poza możliwymi oszczędnościami i efektywnością w wielu sytuacjach najzwyczajniej może ułatwić u części organizacji codzienną pracę z danymi.

Ochrona danych 2.0 na pewno odwróci dotychczasową logikę – z gromadzenia wszystkiego bo można na im mniej tym bezpieczniej.

Jest i będzie dużo niewiadomych, na które jeszcze przez długi czas nikt nie będzie znał odpowiedzi.

Do ochrony danych warto podejść jak do profilaktyki w ochronie zdrowia – dużo lepiej i taniej jest zapobiegać niż potem leczyć (ratować sytuację).

Nie będzie trudno naruszyć nowe przepisy. W przypadku niedopełnienia obowiązków prawnych i technicznych oprócz kary finansowej dla organizacji na pracownika może czekać generator CV.

Organizacja jest tak silna – jak jej najsłabsze ogniwo.

Ostatecznie to od człowieka będzie zależało jaki będzie poziom bezpieczeństwa danych osobowych – człowiek jest najsłabszym ogniwem.