#Bezpieczeństwo biznesu

Prywatność by design kontra ochrona danych by design. Dlaczego nadinterpretujemy RODO?

Waldemar Więckowski


Warto poruszyć dwa zagadnienia związane ze stosowaniem RODO i przepisów związanych: powszechnej, czasami prowadzącej do absurdów, nadinterpretacji RODO oraz pewnej nonszalancji w stosowaniu pojęć: prywatność i ochrona danych.

O RODO – ogólnym rozporządzeniu o ochronie danych – w a&s Polska pisano już kilkakrotnie. Wcześniej w numerach 5/2017 [1], 6/2017 [2], 3/2018 oraz 4/2018 [3] [4], ostatnio w nr 6/2019 [5] i 1/2020 [6] – piórem zarówno autorów zawodowo funkcjonujących głównie w branży zabezpieczeń, jak i poza nią.
Tematykę RODO przedstawiano – co oczywiste – zasadniczo w ujęciu praktyki stosowania przepisów tego prawa w dziedzinie zabezpieczeń, głównie w dozorze (monitoringu) wizyjnym i kontroli dostępu, czasami stawiając na pierwszym planie zagadnienie ochrony prywatności (praw osób fizycznych), a czasami uwypuklając konieczność uzyskania balansu pomiędzy ochroną danych a zapewnieniem bezpieczeństwa. Odwołania do RODO zawarto także w wielu artykułach firmowych, odnosząc je do prezentowanych wyrobów i rozwiązań. W każdym razie Czytelnik a&s Polska, praktykujący w zabezpieczeniach, otrzymał rzeczową informację o przepisach. Nie poruszono jednak dwóch ważnych zagadnień: powszechnej nadinterpretacji RODO i pewnej nonszalancji w stosowaniu pojęć: prywatność i ochrona danych.

Dlaczego nadinterpretujemy RODO
Zjawisko nadinterpretacji RODO było i nadal jest dyskutowane dosyć szeroko w przestrzeni publicznej, ponieważ mamy z nim powszechnie do czynienia w sprawach codziennych. Nadinterpretacja RODO występuje również w praktyce branży zabezpieczeń, i to na dwóch płaszczyznach. Pierwsza to relacje biznesowe pomiędzy zamawiającym a dostawcą. Ponieważ te relacje w zabezpieczeniach nie różnią się niczym od takich relacji w innych branżach, w razie różnicy zdań można odwołać się do argumentów przedstawionych w dyskusji publicznej, zwłaszcza że odnośne organy państwa przedstawiły szereg wyjaśnień i komentarzy [7] [8]. Druga płaszczyzna to dostarczany przez branżę zabezpieczeń produkt. Ponieważ jest on specyficzny dla branży (co oczywiste), to w kwestii, czy spełnia on wymagania RODO, zasadniczo nie można się odwołać do praktyki innych branż. Musimy sobie radzić sami, wypracowując własną praktykę.

Rzeczą oczywistą jest, jakie znaczenie dla jego stron ma właściwie sformułowany kontrakt. Właściwie, tzn. tak, że po jego zrealizowaniu zyskują obie strony. Aby nie popełnić błędu przy opisie przedmiotu dostaw, a także by wiedzieć u kogo – w razie konieczności – szukać porady w kwestiach RODO, dobrze jest mieć świadomość, jakie jest powszechne podejście do tych przepisów. W tej kwestii interesującą opinię sformułował w rozmowie radiowej przeprowadzonej przez Przemysława Iwańczyka dr Maciej Kawecki, dziekan Wyższej Szkoły Bankowej w Warszawie, w latach 2017–2019 koordynator krajowej reformy ochrony danych osobowych, a w latach 2018–2019 dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji:

My w ogóle jako Polacy bardzo literalnie podchodzimy do prawa, tzn. jeżeli mamy pewną regulację, to bardzo lubimy ją nadinterpretować. To jest nasza narodowa bolączka. (…) W temacie RODO wynika to z pewnego kryzysu na rynku usług prawniczych, tzn. wejście w życie w Polsce RODO trafiło na okres bardzo dużego krachu na rynku usług prawniczych. To spowodowało, że wejście w życie tej regulacji urodziło stworzenie gigantycznej ilości różnych firm konsultingowych, doradczych, czasami na lepszym poziomie, czasami na gorszym poziomie, które troszkę podsycały tę atmosferę. Czyli trochę absurdy rozdmuchiwały, jakby szukając trochę wyjścia do zarobku. (…) To jest przyczyna w Polsce. Plus taka jakaś nasza cecha takiego literalnego bardzo podchodzenia do przepisów. To nie oznacza przestrzeganie przepisów, to oznacza czasami nadinterpretację, wyinterpretowywanie treści, których w nich nie ma. I z taką sytuacją mamy do czynienia w RODO. (…) (Fragment w transkrypcji własnej autora niniejszego artykułu; całość do odsłuchania na [9].)

Wchodząc w relacje biznesowe, raczej nie możemy mieć wpływu na mentalność i podejście naszych rodaków do prawa, ale na wybór kontrahentów, w tym przede wszystkim konsultantów i doradców, już tak.

Czym innym jest prywatność, a czym innym ochrona danych osobowych
Słowo prywatność jest przy okazji RODO „odmieniane przez wszystkie przypadki” i niemal nie ma kontekstu ochrony danych osobowych, w którym by się nie pojawiło. Nader często – również w branży zabezpieczeń – jest stosowane zamiennie do danych osobowych. Czy słusznie?
W cytowanej wyżej rozmowie dr Maciej Kawecki stwierdza: (…) prywatność jest wartością, którą my jako ludzie chronimy od zawsze (…). Więc ta prywatność jest gdzieś w nas bardzo głęboko zakorzeniona. I potrzeba prywatności. Ale czym innym są dane osobowe. I nie do końca jest tak, że dane osobowe są wartością bezwzględną, a dzisiaj są lansowane jako wartość bezwzględna. Natomiast musimy cały czas pamiętać o tym, że obok danych osobowych mamy jeszcze szereg przeróżnych wartości, które bardzo często w konflikcie wygrywają.

W uzasadnieniu do ustawy o ochronie danych osobowych, dokumencie datowanym 13.09.2017, ujęto tę różnicę w sposób następujący: W doktrynie i orzecznictwie nie budzi wątpliwości, iż naruszenie danych osobowych stanowi jednocześnie naruszenie dóbr osobistych. Art. 23 k.c. zawiera otwarty katalog dóbr osobistych. Natomiast dane osobowe ujmowane są jako kategoria dobra osobistego – prywatności. Dane osobowe nie mają więc charakteru samoistnego dobra osobistego. (…) Jednocześnie w piśmiennictwie podkreśla się, iż prywatność jest pojęciem wieloznacznym, trudnym do zdefiniowania (…).
Jak się wydaje, już tylko te przywołane stanowiska powinny wystarczyć jako uzasadnienie, dlaczego nie powinniśmy stosować zamiennie pojęć „ochrona danych” i „prywatność”.

Nie ma prywatności w RODO
Termin „prywatność” nie występuje w RODO (Rozporządzeniu Parlamentu Europejskiego i Rady UE2016/679 z 27 kwietnia 2016 r.) ani w krajowej Ustawie z 10 maja 2018 r. o ochronie danych osobowych. Ten termin był stosowany w dokumentach poprzedzających RODO, obecnie wycofanych, tj. w:

  1. Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, data końca ważności 24/05/2018;
  2. Ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych, uchylonej 25.05.2018.

Termin prywatność w odniesieniu do ochrony danych osobowych po raz ostatni pojawił się w dokumencie bezpośrednio poprzedzającym RODO, tj. we Wniosku Rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych). Ten wniosek został złożony 25.01.2012 z terminem zakończenia jego ważności 27.04.2016.
Skoro po tak długim okresie stosowania terminu prywatność w odniesieniu do ochrony danych osobowych Parlament Europejski i Rada (UE) zdecydowały się ostatecznie usunąć go z RODO, to przyczyny nie mogą być drugorzędne.

Privacy by design czy Data Protection by Design
Informacja o Privacy by Design znajduje się w wielu różnych źródłach. Jednak z punktu widzenia branży zabezpieczeń najbardziej przydatny opis – moim zdaniem – znalazł się w Opinii 5/2018 r. Europejskiego Inspektora Ochrony Danych [10]. (Opinia 5/2018 nie została opublikowana w wersji polskojęzycznej – tłumaczenie fragmentów własne). W dokumencie tym Privacy by Design określono jako „szerokie pojęcie odnoszące się do środków technologicznych służących zapewnieniu prywatności” (the broad concept of technological measures for ensuring privacy), zaś Data Protection by Design jako „określone obowiązki prawne ustanowione w Artykule 25 RODO” (the specific legal obligations established by Article 25 of the GDPR). I dalej: „Chociaż środki podjęte celem spełnienia tych obowiązków również przyczynią się do osiągnięcia bardziej ogólnego celu privacy by design, uważamy, że szersze spektrum przedsięwzięć może być wzięte pod uwagę dla osiągnięcia celu privacy by design, który posiada wymiar wizjonerski i etyczny, spójny z zasadami i wartościami zapisanymi w Karcie praw podstawowych Unii Europejskiej” (While measures taken under these obligations will also contribute to achieving the more general objective of „privacy by design”, we consider that a wider spectrum of approaches may be taken into account for the objective of „privacy by design” which includes a visionary and ethical dimension, consistent with the principles and values enshrined in the EU Charter of Fundamental Rights of the EU).
(Syntetyczna informacja o Privacy by Design znajduje się także w publikacji GIODO „Czy jesteś gotowy na RODO?”[11])

Byty wirtualne: uwzględnienie ochrony danych w fazie projektowania (Privacy by Design)
Różnica pomiędzy Privacy by Design i Data Protection by Design została najbardziej czytelnie przedstawiona przez Europejskiego Inspektora Ochrony Danych we wspomnianej już Opinii opublikowanej w maju 2018 r. Tymczasem po prawie 4 latach od ogłoszenia RODO i ponad 1,5 roku jego obowiązywania, nadal powszechny jest przekaz, że aby dany system, w którym dochodzi do przetwarzania danych osobowych, spełniał wymagania RODO, powinien zapewnić Privacy by design i Privacy by default. Jest to uprawnione wymaganie w dyskusji o prawach podstawowych EU, ale nie przy formułowaniu wymagań użytkowych stawianych konkretnym urządzeniom i systemom. Z kolei w kontekście rozróżnienia przedstawionego przez Europejskiego Inspektora Ochrony Danych określenia typu „uwzględnienie ochrony danych w fazie projektowania (Privacy by Design)” są bytem wirtualnym, już choćby z tego najprostszego powodu, że „uwzględnienie ochrony danych w fazie projektowania” to po angielsku zgodnie z art. 25 RODO Data protection by design a nie Privacy by design.
Branża zabezpieczeń spod tego przekazu nie jest wyjęta, nawet jeżeli nie jest on kierowany bezpośrednio do niej. Niewątpliwie nasza branża oferuje systemy, w których dochodzi do przetwarzania danych osobowych (np. systemy dozoru wizyjnego czy systemy kontroli dostępu), choć na co dzień nazywamy je (zgodnie z ustawą) systemami technicznej ochrony osób i mienia. W tej sytuacji istotne jest wiedzieć, które wymagania stawiane przed systemami security są rzeczywistymi wymaganiami stawianymi przez RODO, a które wirtualnymi, wymyślonymi przy okazji pod kątem innych potrzeb.

Fot. 1 i 2. Privacy by design. Fizyczny ekran przysłaniający pole widzenia kamery jako skuteczny sposób zapewnienia „strefy prywatności” i przekazania informacji o jej stworzeniu

 

RODO Art. 25: Data protection by design and by default
W tytule niniejszego rozdziału celowo przytaczam angielskojęzyczny nagłówek tego artykułu RODO, ponieważ zawarte w nim wymaganie pojawia się w kraju częściej w tej wersji niż w jej oficjalnym polskojęzycznym odpowiedniku: Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych.

Z treści art. 25 jednoznacznie wynika, że wymaganie to dotyczy administratora (!) danych – produkt branży zabezpieczeń jest uwzględniony pod określeniem „odpowiednie środki techniczne”, które wdraża administrator. Zadaniem branży zabezpieczeń jest więc dostarczyć owe odpowiednie środki techniczne. Tylko tyle i aż tyle.

Na pytanie, dlaczego nadal w odniesieniu do ujętego w RODO prawnego wymagania ochrony danych osobowych powszechnie powielane są wymagania Privacy by design i Privacy by default, jest wiele możliwych odpowiedzi. Pierwsza – skrajna – to nienależyta staranność autora wymagania, w którym te określenia występują. Tak bardzo przyzwyczajono się do terminu prywatność stosowanego w odniesieniu do ochrony danych w poprzednio obowiązujących regulacjach, że nie zauważono, że RODO już go nie stosuje.

Pewnym dysonansem w tej wersji odpowiedzi jest fakt, że w poprzedniej regulacji nie stosowano pojęć privacy by design i privacy by default (w specjalistycznej dyskusji pojawiły się one w latach 90., ale odnosiły się nie do wymagań prawnych, lecz do domyślnego sposobu funkcjonowania organizacji) [12]. Druga skrajna odpowiedź to działanie intencjonalne. Jak napisano w (cytowanym wyżej) uzasadnieniu do ustawy o ochronie danych osobowych „Jednocześnie w piśmiennictwie podkreśla się, iż (…) Prywatność jest pojęciem wieloznacznym, trudnym do zdefiniowania (…) A skoro tak, to szkolić, konsultować i doradzać można będzie bez końca”. Wskazuje na to dr Kawecki w cytowanej rozmowie, odnosząc to do praktyki krajowej. Ale wystarczy wrzucić w Google hasło Privacy by design lub Privacy by default, żeby przekonać się, jak wielu jest chętnych do przeszkolenia nas z tego tematu i tu, i za granicą.

Guidelines 4/2019 on Article 25 Data protection by design and by default
Bardzo dobra wiadomość dla dostawców rozwiązań security (a niekoniecznie dla wyżej wymienionych konsultantów i doradców) jest taka, że Europejska Rada Ochrony Danych [13] przygotowała dokument Guidelines 4/2019 on Article 25 Data Protection by Design and by Default. Do 16 stycznia 2020 trwały konsultacje publiczne (projektu) tych wytycznych. Na razie nie wiadomo, jaka będzie ostateczna (!) treść tych wytycznych i kiedy się one ukażą w wersji przyjętej po konsultacjach publicznych. Tym niemniej już teraz można pobrać udostępnioną treść projektu (ze strony EDPB) i skorzystać z wiedzy źródłowej.

Guidelines 3/2019 on processing of personal data through video devices
Druga bardzo dobra wiadomość, w szczególności dla branży zabezpieczeń, również pochodząca ze strony Europejskiej Rady Ochrony Danych to publikacja wytycznych wskazanych w tytule niniejszego rozdziału. Wersję w języku angielskim (2.0) przyjęto 29 stycznia 2020 r., na razie nie wiadomo, kiedy będzie wersja polskojęzyczna.

RODO wymyśliliśmy już w 1997 r.
Prowadzący cytowaną rozmowę radiową Przemysław Iwańczyk postawił – przyjętą przez obu rozmówców jako żart – tezę, że Polacy, zanim powstała jakakolwiek regulacja, już RODO wymyślili. A było to w czasie, kiedy w budynkach wielomieszkaniowych likwidowano listy lokatorów, a z ogólnego użytku wycofano książki telefoniczne (zawierające także adresy i nazwiska właścicieli numerów telefonicznych). Jak przypomniał dr Kawecki, uczyniono to w sierpniu 1997 r., implementując pakiet regulacyjny, który miał Polskę wprowadzić do Unii Europejskiej. Jednym z objętych tym pakietem obszarów była właśnie prywatność.

Fot. 3. Lista lokatorów z budynku w Wiedniu (28.08.2018 r.)

Panowie nie przywołali nazwy wprowadzonej w Polsce w 1997 r. regulacji dotyczącej prywatności, ale łatwo można się domyślić, że chodzi o Ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych, która była wdrożeniem Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Ponieważ ta dyrektywa dotyczyła wszystkich państw członków Unii Europejskiej, to czym, jak nie skłonnością do nadinterpretacji, wytłumaczyć fakt, że listy lokatorów zniknęły u nas z klatek schodowych w roku 1997 (7 lat przed naszym wejściem do UE), a np. w Wiedniu jeszcze 28 sierpnia 2018 r. nadal wisiały (fot. 3).

 

Literatura:
[1] M. Blim, RODO – jak nadzorować prowadzenie i ochronę zbiorów danych osobowych, a&s Polska, nr 5/2017.
[2] M. Blim, NUODO projekt polskiej ustawy i zmiany wobec dotychczasowych wymagań UODO, a&s Polska, nr 6/2017.
[3] P. Wittich, Nie bój się RODO w monitoringu! a&s Polska, nr 4/2018.
[4] A. Popielski, Kamery w świetle RODO, a&s Polska, nr 4/2018.
[5] P. Powązka, RODO w monitoringu wizyjnym, a&s Polska, nr 6/2019.
[6] A. Marcinkowska, A. Żyrek, Komunikacja za pomocą systemów przyzywowych a ochrona prywatności i godności pacjenta, a&s Polska, nr 1/2020.
[7] MIiR wprowadza program RODOracjonalność. Celem obalenie mitów o RODO, https://biznes.gazetaprawna.pl/artykuly/1196905,rodo-mity-i-stereotypy-ministerstwo-rozwoju.html [data dostępu: 30.07.2018].
[8] K. Żaczkiewicz-Zborska, M. Kawecki, Ustawa wprowadzająca porządkuje niejasności wokół RODO, https://www.prawo.pl/prawo/grozenie-kara-finansowa-staje-sie-karalne,375611.html, [data dostępu: 22.02.2019].
[9] O bezpieczeństwie w sieci mówi dr Maciej Kawecki, audycja TOKFM, data emisji 31.12.019, godz. 10:00, prowadzący Przemysław Iwańczyk, https://audycje.tokfm.pl/podcast/84776,Kawecki-Wartosc-danych-osobowych-po-raz-pierwszy-przekroczyla-wartosc-ropy-naftowej-Polacy-kroluja-w-swiadomosci-czym-one-sa-ale-tez-w-absurdalnym-podejsciu-do-tego-na-co-pozwala-RODO.
[10] Preliminary opinion on privacy by design, European Data Protection Supervisor, Opinion 5/2018, 31 May 2018
[11] Czy jesteś gotowy na RODO? Generalny Inspektor Ochrony Danych Osobowych (GIODO), 2017-12-04, https://archiwum.giodo.gov.pl/pl/1520281/10255
[12] Privacy by Design, The 7 Foundational Principles Ann Cavoukian, Information & Privacy Commissioner of Ontario, Canada, Originally Published: August 2009
[13] https://edpb.europa.eu/about-edpb/about-edpb_pl

Waldemar Więckowski
W branży systemów dozoru wizyjnego od 1984 r. Członek KT 52 w Polskim Komitecie Normalizacyjnym. Doradca Zarządu i pracownik dydaktyczny PISA. Absolwent Politechniki Budapeszteńskiej

Prywatność by design kontra ochrona danych by design. Dlaczego nadinterpretujemy RODO?

Bezpłatne oprogramowanie Axis Guard Suite

Zostaw komentarz

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.