Strona główna Bezpieczeństwo biznesu NUODO. Projekt polskiej Ustawy i zmiany wobec dotychczasowych wymagań UODO

NUODO. Projekt polskiej Ustawy i zmiany wobec dotychczasowych wymagań UODO

Ochrona danych osobowych cz. 6
Marek Blim


To kolejny artykuł poświęcony projektowi Nowej Ustawy ODO udostępnionemu 12 września 2017 r. przez Ministerstwo Cyfryzacji do publicznej dyskusji. Kontynuuje tematykę poruszaną w poprzednich wydaniach „a&s Polska”.

1. Czego przedsiębiorca branży security nie może zaniedbać wg wymagań RODO
Grupa Robocza Art. 29 UE w swojej opinii z 27 lipca 2017 podała, że stosowanie nowych technologii informacyjnych w miejscu pracy w zakresie infrastruktury, aplikacji oraz inteligentnych urządzeń umożliwia nowe sposoby systematycznego i potencjalnie inwazyjnego przetwarzania danych osobowych. Podkreśla, że nowe sposoby przetwarzania danych (np. śledzenie korzystania z usług internetowych) są znacznie mniej zauważalne przez pracowników niż tradycyjne formy, takie jak kamery monitoringu wizyjnego umieszczone w widocznych miejscach. W przypadku pracy zdalnej może też dochodzić do monitorowania ich aktywności poza fizycznym miejscem pracy. Nasuwa to pytanie, w jakim stopniu pracownicy są świadomi konsekwencji stosowania takich technologii, ponieważ pracodawcy mogą niezgodnie z prawem przetwarzać dane bez wcześniejszego poinformowania pracowników.

Nowe technologie mogą być pomocne w zapobieganiu i wykrywaniu kradzieży własności intelektualnej i mienia firmy, zwiększeniu produktywności pracowników oraz ochrony danych osobowych, za którą odpowiedzialność ponosi sprawujący kontrolę. Stawia jednak poważne wyzwania w kwestii ochrony danych i prywatności. W efekcie potrzebna jest nowa ocena, biorąca pod uwagę zachowanie równowagi między uzasadnionymi interesami pracodawcy chroniącego swoją firmę a uzasadnionymi oczekiwaniami pracowników w kwestii prywatności.

1.1. Zadania pracodawców
Rozwój nowych technologii i metod przetwarzania danych sprawił, że pracodawcy muszą zwracać większą uwagę na podstawowe zasady dotyczące ochrony danych osobowych. Zdaniem Grupy Roboczej Art. 29 pracodawcy powinni:

• zapewnić, że dane są przetwarzane w określonych, zgodnych z prawem celach, które są proporcjonalne i konieczne;
• kierować się zasadą ograniczenia celu, zapewniając, że dane są wystarczające, odpowiednie i proporcjonalne do uzasadnionego celu;
• zastosować zasadę proporcjonalności i pomocniczości bez względu na mającą zastosowanie podstawę prawną;
• zachować transparentność w relacji z pracownikiem w związku z zastosowaniem i celami technologii monitorowania;
• umożliwić osobom, których dane dotyczą, korzystanie ze swoich praw, w tym z prawa do dostępu, a także korektę, usunięcie lub zablokowanie danych osobowych;
• zapewniać, aby dane były dokładne, i nie przechowywać ich dłużej, niż jest to konieczne;
• podejmować wszelkie niezbędne działania, aby chronić dane przed nieautoryzowanym dostępem i zapewnić, by inni pracownicy mieli dostateczną wiedzę na temat obowiązków wynikających z ochrony danych.

1.2. Zgoda jako podstawa prawna przetwarzania danych pracowników
Grupa Robocza Art. 29 stwierdza, że podstawą prawną przetwarzania danych pracowników nie może i nie powinna być zgoda pracowników. Jeśli pracodawca wymaga zgody, a jej brak może spowodować w stosunku do pracownika jakąś szkodę (np. groźbę zwolnienia), zgoda nie ma ważnej podstawy prawnej, ponieważ nie została udzielona dobrowolnie.
Nawet w przypadkach, gdy uważa się, że zgoda stanowi ważną podstawę prawną przetwarzania (jest dobrowolna), wymagane jest konkretne, świadome i dobrowolne wskazanie zgody pracownika. Domyślna konfiguracja urządzeń oraz/lub instalacja oprogramowania umożliwiającego elektroniczne przetwarzanie danych osobowych nie są traktowane jako zgoda pracowników, ponieważ zgoda wymaga czynnego wyrażenia woli. Brak aktywności (gdy domyślne ustawienia nie zostaną zmienione) może nie być traktowane jako specjalna zgoda na umożliwienie takiego przetwarzania.

1.3. Realizacja umowy jako podstawa prawna przetwarzania danych pracowników
W niektórych przypadkach przetwarzanie danych może być konieczne do realizacji umowy – pracodawca musi np. przetwarzać dane osobowe pracownika, aby wypełnić jakiekolwiek zobowiązania, m.in. wypłata wynagrodzenia.

1.3.1. Obowiązek wynikający z przepisu prawa
Zdarza się też, że prawo zatrudnienia może nakładać obowiązki prawne, które wymagają przetwarzania danych osobowych (np. do celów wyliczenia podatków oraz zarządzania wynagrodzeniami). To podstawa prawna przetwarzania danych, ale pracownik musi być w pełni i jasno poinformowany o takim przetwarzaniu (jeśli nie ma zastosowania wyjątek).

1.3.2. Uzasadniony interes pracodawcy
Jeśli pracodawca chce powołać się na swój uzasadniony interes, cel przetwarzania musi być zasadny, wybrana metoda lub dana technologia muszą być konieczne, proporcjonalne i wdrożone przy zastosowaniu możliwie najmniej uciążliwych środków, umożliwiając pracodawcy wykazanie, że zastosowano odpowiednie środki, aby zapewnić równowagę z poszanowaniem podstawowych praw i wolności pracowników. Operacje przetwarzania muszą być zgodne z wymogami w zakresie przejrzystości, a pracownicy powinni być w jasny i wyczerpujący sposób poinformowani o przetwarzaniu ich danych osobowych, w tym o istnieniu systemów monitorowania – podkreśla Grupa Robocza Art. 29. Należy zastosować odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania. Przetwarzanie danych w pracy powinno być przeprowadzane w możliwie najmniej uciążliwy sposób i uwzględniać obszary szczególnego ryzyka. Pracownik może wyrazić sprzeciw wobec przetwarzania, które odbywa się na podstawie prawnie uzasadnionego celu.

1.4. Jak RODO/GDPR odnosi się in corpore do przetwarzania danych pracowników
Rozporządzenie o ochronie danych zaostrza wymogi dotyczące ochrony danych osobowych i wprowadza nowe obowiązki dla wszystkich administratorów danych, w tym pracodawców. Wymaga od administratorów danych m.in. wdrożenia ochrony danych domyślnie już w fazie projektowania. Przykładowo, jeśli pracodawca, wydając urządzenia pracownikom, wykorzystuje technologie śledzenia, należy wybrać najlepsze technologie chroniące prywatność. Powinien też przetwarzać tylko niezbędne dane. Ponadto rozporządzenie zobowiązuje administratorów do przeprowadzania oceny skutków przetwarzania danych na ich ochronę. Jeśli taka ocena wykaże, że zidentyfikowanych zagrożeń administrator danych nie może w odpowiedni sposób ograniczyć – tj. ryzyko pozostaje wysokie – musi się skonsultować z organem nadzorującym, zanim rozpocznie procedurę przetwarzania.

Zgodnie z rozporządzeniem UE nr 679/2016 (RODO/GDPR) państwa członkowskie mogą ustalić konkretne zasady, aby zapewnić ochronę praw i wolności w zakresie przetwarzania danych osobowych pracowników w związku z zatrudnieniem (np. na potrzeby rekrutacji, wykonywania umowy o pracę czy zarządzania, planowania i organizacji pracy). Wszelkie te przepisy powinny jednak zawierać odpowiednie i konkretne środki gwarantujące godność oraz poszanowanie podstawowych praw osoby, której dane dotyczą, w szczególności w związku z:
• transparentnością przetwarzania,
• przekazywaniem danych osobowych w ramach grupy przedsiębiorstw prowadzących wspólną działalność gospodarczą,
• systemami monitorowania w miejscu pracy.

1.5. Przetwarzanie danych osobowych w procesie rekrutacji
Podczas rekrutacji często wykorzystuje się media społecznościowe. Pracodawcy sprawdzają np. profile kandydatów do pracy. Zdaniem Grupy Roboczej Art. 29 nie powinni zakładać, że ze względu na powszechną dostępność informacji na profilach społecznościowych mogą przetwarzać te dane do własnych celów. Do tego jest wymagana podstawa prawna, taka jak uzasadniony interes. Pracodawca powinien więc przed przeglądaniem profilu na portalu społecznościowym upewnić się, czy dany profil osoby aplikującej ma charakter prywatny, czy związany z pracą, co może stanowić istotną wskazówkę w odpowiedzi na pytanie, czy takie przeglądanie jest legalne. Ponadto pracodawcy mogą gromadzić i przetwarzać dane osób aplikujących jedynie, gdy jest konieczne i istotne z punktu widzenia wykonywanej pracy, o którą kandydat się ubiega.

1.5.1. Przetwarzanie danych osobowych wynikające z weryfikacji pracownika
Za sprawą dostępności profili w mediach społecznościowych i rozwoju nowych technologii analitycznych pracodawcy mają techniczną możliwość stałego sprawdzania pracowników poprzez zbieranie informacji obejmujących ich przyjaciół, opinie, zainteresowania, zwyczaje, miejsce przebywania, poglądy i zachowanie. W ten sposób pozyskują dane zawierające informacje poufne, związane z prywatnym i rodzinnym życiem pracownika.

1.5.2. Przetwarzanie danych osobowych wynikające z monitorowania technologii informacyjnych i komunikacyjnych w miejscu pracy
Zmiany technologiczne umożliwiają nowe, ingerujące w prywatność i powszechne sposoby monitorowania pracowników, np. zastosowanie w miejscu pracy aplikacji biurowych w chmurze, co w teorii umożliwia dokładny zapis aktywności pracowników. Pracodawcy, stosując takie rozwiązania, powołują się na swój prawnie uzasadniony cel i np. konieczność ochrony przed wyciekiem danych osobowych. Jednak zdaniem Grupy Roboczej Art. 29 monitorowanie każdej aktywności pracowników w tym celu jest reakcją nieproporcjonalną. Pracodawca powinien najpierw upewnić się, czy nie istnieją inne, mniej inwazyjne środki zapewniające ochronę poufności danych.

Pracodawca powinien poinformować pracowników o dopuszczalnym i niedopuszczalnym korzystaniu z sieci i urządzeń. Będą wtedy mogli korzystać z urządzeń IT w taki sposób, aby zapobiec byciu monitorowanym podczas korzystania z sieci w celach prywatnych. W ramach dobrych praktyk co najmniej raz w roku należy opracować politykę, która pozwoli ocenić, czy wybrane rozwiązania w zakresie monitorowania przynosi pożądane rezultaty, a także czy są dostępne inne, mniej inwazyjne narzędzia lub środki, które mogą posłużyć do osiągnięcia tego samego celu.

1.5.3. Przetwarzanie danych osobowych wynikające z monitorowania technologii informacyjnych i komunikacyjnych poza miejscem pracy
Korzystanie z technologii informacyjnych i komunikacyjnych poza miejscem pracy staje się coraz bardziej powszechne wraz z rozwojem telepracy i używaniem przez pracowników własnych urządzeń. Może to stwarzać zagrożenie prywatności pracowników, ponieważ systemy monitorowania działające w miejscu pracy funkcjonują także w środowisku domowym podczas korzystania z takich urządzeń.

Praca zdalna może stanowić dla pracodawcy potencjalne ryzyko – pracownicy mogą mieć zdalny dostęp do infrastruktury firmy, która nie jest ograniczona w wymiarze fizycznym tak, jak w siedzibie firmy. Bez implementacji odpowiednich środków technicznych ryzyko nieautoryzowanego dostępu wzrasta i może skutkować utratą bądź zniszczeniem informacji, w tym danych osobowych pracowników lub klientów, którymi dysponuje pracodawca.

Pracodawcy muszą więc przeanalizować, czy uzasadnione jest korzystanie z pakietów oprogramowania, które umożliwiają rejestrowanie naciśnięcia klawiszy czy ruchów myszą, zrzutów ekranów, rejestrację użytych aplikacji na kompatybilnym urządzeniu, dostęp do kamery i gromadzenie zarejestrowanego materiału. Jak zauważa Grupa Robocza Art. 29, przetwarzanie danych, do którego dochodzi podczas wykorzystywania nowoczesnych technologii, jest nieproporcjonalne i pracodawca ma małe szanse, aby uzyskać podstawę prawną, na którą mógłby się powołać, wykazując swój uzasadniony interes, np. podczas rejestracji naciśnięcia klawiszy czy ruchów myszą przez pracownika.

1.5.4. Przetwarzanie danych osobowych w celu rejestracji czasu i obecności
Systemy, które umożliwiają pracodawcom kontrolę osób wchodzących na teren firmy lub do określonych obszarów w swojej siedzibie, również mogą umożliwiać śledzenie aktywności pracowników. Chociaż takie systemy istniały przez wiele lat, nowe technologie kontrolowania czasu i obecności pracowników (w tym przetwarzające dane biometryczne), a także inne umożliwiające śledzenie urządzeń mobilnych, są obecnie coraz szerzej stosowane. Mogą one stanowić istotną część ścieżki kontroli w firmie, stanowią także ryzyko dostarczania wiedzy i kontroli na poziomie, który może mieć charakter inwazyjny. Dotyczy to aktywności pracownika w miejscu pracy. Jeśli przetwarzanie jest konieczne i nie narusza prywatności pracowników, może stanowić uzasadniony interes pracodawcy, gdy pracownicy zostali odpowiednio poinformowani o operacji przetwarzania. Jednak ciągły monitoring częstotliwości i dokładnego czasu wejść i wyjść pracowników nie może być uzasadniony innym celem jak oceną wydajności pracownika.

1.5.5. Przetwarzanie danych osobowych z użyciem systemów monitoringu wizyjnego
Dzięki możliwościom, jakie zapewnia analiza materiału wizyjnego, pracodawca może monitorować mimikę pracownika w sposób zautomatyzowany w celu zidentyfikowania odchyleń od wcześniej określonego wzoru. Jest to nieproporcjonalne w stosunku do praw i wolności pracownika, a zatem zazwyczaj niezgodne z prawem. Przetwarzanie z dużą dozą prawdopodobieństwa może objąć profilowanie oraz zautomatyzowane podejmowanie decyzji. Pracodawcy powinni więc unikać stosowania technologii rozpoznawania twarzy. Mogą istnieć pewne odstępstwa od tej reguły, ale takie scenariusze nie mogą odwoływać się do ogólnego uprawomocnienia stosowania takich technologii.

2. RODO/GDPR a zadania dla pracodawców wykorzystujących BOYD
Część pracowników korzysta w pracy z własnych urządzeń. Może to spowodować, że pracodawca zyska dostęp do informacji o pracowniku niezwiązanych z pracą zawodową. Monitorowanie lokalizacji i ruchu prywatnych urządzeń wykorzystywanych w pracy może zostać uznane za służące uzasadnionemu interesowi, by chronić dane osobowe, za które odpowiedzialny jest pracodawca jako administrator danych. Jednak może być niezgodne z prawem, jeśli takie monitorowanie pozwoli pozyskać dane związane z życiem prywatnym i rodzinnym pracownika. Aby zapobiec monitorowaniu prywatnych informacji, należy podjąć odpowiednie kroki pozwalające rozróżnić pomiędzy prywatnym a biznesowym zastosowaniem urządzenia. Pracodawcy powinni wdrożyć metody, które umożliwią bezpieczny transfer ich danych pomiędzy urządzeniem a siecią firmy.

2.1. Praktyczne użycie urządzeń mobilnych
Już w 2015 r. urządzenia mobilne odpowiadały w Polsce za 60% ruchu internetowego. Dla porównania StatCounter wskazuje, że na świecie proporcje rozkładały się następująco: 51,3% – urządzenia mobilne i 48,7% – desktopy. Oznacza to, że nasz kraj dostosowuje się do nowych technologii szybciej niż reszta świata.
Liczba użytkowników smartfonów w 2016 r. przekroczyła 2 mld, a liczba mobilnych pobrań do końca 2017 r. przekroczy 268 mld – mówi Robert Włodarski, odpowiedzialny w IBM za współpracę z klientami w zakresie zarządzania mobilnością1).

2.2. Oczekiwania od pracowników
W sytuacji, gdy większość dorosłych ma smartfon w kieszeni, rosnąca popularność trendu BYOD (Bring Your Own Device – Przynieś Swoje Własne Urządzenie) nie jest zaskakująca. Najczęściej oznacza instalowanie aplikacji służbowych na własnym urządzeniu, np. do przeglądania poczty firmowej lub obsługi systemu CRM. Elementem tego zjawiska jest także BYOA (Bring Your Own Application – Przynieś Swoją Własną Aplikację). Wykorzystywanie aplikacji prywatnych w celach służbowych może mieć formę instalowania ulubionych narzędzi do zarządzania czasem lub produktywnością na służbowym telefonie, aby wszystkie swoje zadania, zarówno prywatne, jak i zawodowe, mieć uporządkowane w jednym miejscu. Czy i w jakim zakresie pracodawcy powinni to akceptować – wymaga przemyślenia stosownie do sytuacji tu i teraz.

2.3. Jak to wygląda w statystykach
Raport Harvard Business Review wskazuje, że wprawdzie tolerancja korzystania z własnego sprzętu mobilnego w pracy wzrasta, to spada liczba firm, które oficjalnie zachęcają do tej praktyki swoich pracowników. Z danych HBR wynika, że wprawdzie w 2014 r. już 90% firm zezwalało na przynoszenie własnego smartfonu i wykorzystywanie go w pracy, to w tym samym czasie odsetek przedsiębiorstw zachęcających do tej praktyki spadł o 18 punktów procentowych. Wynika to z niebezpieczeństw, jakie niesie ze sobą trend BYOD. Raport Crowd Research Partners wskazuje, że obawa o bezpieczeństwo (39% wskazań) oraz prywatność pracowników (12%) to najważniejsze problemy, dla których firmy nie decydują się na sięgnięcie po BYOD.

Z danych firmy McAfee wynika, że obecnie w każdej minucie pojawia się 387 nowych zagrożeń bezpieczeństwa teleinformatycznego – mówi Robert Włodarski2). Spośród niebezpieczeństw, jakie wiążą się ze stosowaniem urządzeń pracowników w środowisku firmowym, najczęściej wskazuje się ryzyko wycieku lub utraty firmowych danych (72%), nieautoryzowany dostęp do tych danych (56%), aplikacje lub treści niosące ze sobą niebezpieczeństwo dla firmowych zasobów (54%) lub po prostu malware działające na urządzeniach mobilnych (52%). Dane McAfee wskazują, że w ostatnim kwartale 2016 roku zebrano 72% więcej próbek unikatowego oprogramowania malware skierowanego na urządzenia mobilne wykorzystywane w systemach firm3).

W podsumowaniu
Polskie przepisy dotyczące ochrony danych osobowych były już kilkakrotnie aktualizowane, ale mimo wprowadzanych zmian wciąż nie nadążały za zmieniającą się technologią. Tym samym nie gwarantowały właściwej ochrony obywatelom. Podobnie przedstawiała się sytuacja w innych państwach UE. Stało się to powodem podjęcia wieloletnich prac UE ukierunkowanych na reformę przepisów w celu zwiększenia poziomu ochrony prywatności obywateli, przy jednoczesnym uwzględnieniu interesów przedsiębiorców.

Po czterech latach intensywnych prac i konsultacji 4 maja 2016 r. opublikowano ogólne rozporządzenie o ochronie danych osobowych (GDPR/RODO), które będzie stosowane (również w Polsce) od 25 maja 2018 r.
Długi, bo dwuletni okres od opublikowania, po którym nowe prawo będzie stosowane, wynika z ogromu zmian, jakich wymaga dostosowanie się państw członkowskich do nowych zaleceń prawnych. Projekty opublikowane przez Ministerstwo Cyfryzacji są jednym z elementów dostosowania Polski do nowej regulacji. Pod względem liczby aktów prawnych, które ulegną zmianie w związku RODO/GDPR, reforma przepisów ochrony danych osobowych jest jedną z największych w naszej historii.
Wkrótce przekonamy się, jakie zmiany są akceptowane i czego naprawdę oczekują od ustawodawcy nasi przedsiębiorcy…

1) http://odkryjibm.pl/.../kon-trojanski-czy-czarny-kon-produktywnosci-urzadzenia-mobilne
2) http://odkryjibm.pl/.../kon-trojanski-czy-czarny-kon-produktywnosci-urzadzenia-mobilne
3) https://www.bankier.pl/wiadomosc/McAfee-Raport-na-temat-zagrozen-w-Internecie-2145098.html

dr inż. Marek Blim
Europejski menedżer systemu zarządzania jakością EOQ, certyfikowany audytor systemów jakości i zarządzania bezpieczeństwem informacji, ekspert systemowy ISO 9000 INTERCERT/TüV Rheinland Polska. Rzeczoznawca systemów technicznej ochrony osób i mienia oraz zarządzania bezpieczeństwem. Projektant systemów ochrony. Czynny zawodowo konsultant, rzeczoznawca, audytor.