Strona główna Bezpieczeństwo biznesu RODO. Jak nadzorować prowadzenie i ochronę zbiorów danych osobowych (cz. 4)

RODO. Jak nadzorować prowadzenie i ochronę zbiorów danych osobowych (cz. 4)

Marek Blim


Wprowadzanie zmian wynikających z wdrażania RODO do polskiego porządku prawnego to proces ciągle trwający, poddawany modyfikacjom stosownie do rozwiązań sektorowych i uzupełniany o nowe doświadczenia wynikające ze szczegółowych branżowych analiz.

Zagadnienia przedstawione w artykule są wierzchołkiem góry lodowej (1/10 jej masy widoczna nad wodą), wskazując główne problemy zmieniających się wymagań ochrony danych osobowych opartych na zasadzie risk based approach (podejścia opartego na ryzyku), jakie muszą poznać, zrozumieć i wdrożyć w swoich firmach przedsiębiorcy branży security, zajmujący się projektowaniem zabezpieczeń, ochroną fizyczną i techniczną oraz konserwacją systemów ochronnych i alarmowych.

W kolejnym artykule cyklu adresowanego do przedsiębiorców i specjalistów branży security przedstawiamy zmiany wynikające z treści unijnych dokumentów: rozporządzenia nr 2016/679 oraz dyrektywy nr 2016/680, jakie w swoich działaniach musi uwzględnić kierownik agencji ochrony, szef alarmowego centrum nadzoru czy właściciel firmy instalującej systemy alarmowe,

Po czteroletnich przymiarkach i konsultacjach państwa europejskie w grudniu 2015 r. uzgodniły i po zatwierdzeniu w I kwartale 2016 r. przez trilog zarządczy UE (Parlament Europejski, Rada Europy i Komisja Europejska) 27 kwietnia podpisały dokument EU nr 2016/679, który został opublikowany 4 maja 2016 r. Dokument ten jest nowym rozporządzeniem unijnym, tzw. ogólnym Rozporządzeniem o Ochronie Danych (Osobowych) RODO (GDPR – General Data Protection Regulation). RODO wejdzie w życie 25 maja 2018 r., a dotyczy wszystkich przedsiębiorstw oraz instytucji w UE przetwarzających lub gromadzących dane osobowe. Równocześnie wydano nową dyrektywę UE nr 2016/680 związaną z ochroną danych w systemach prawnych i policyjnych.

Jest to największa od 20 lat zmiana ustawodawstwa w zakresie przetwarzania danych. Aby w pełni sprostać jej wymaganiom, przewidziano dwuletni okres vacatio legis na przygotowanie wdrożenia.

Jak wykazały badania ankietowe, znaczna liczba firm przetwarzających dane nie jest gotowa do wprowadzenia zmian zapisanych w rozporządzeniu, a nawet o nim nie słyszała.
• Według danych z maja i listopada 2016 r. oraz stycznia 20171) r. w Polsce jest bardzo niska znajomość treści RODO/GDPR, ponieważ:
– aż 45% firm nigdy nie słyszało o nowym rozporządzeniu (RODO/GDPR) albo wie o nim niewiele;
– tylko 24% firm ma świadomość wejścia regulacji w życie oraz zna wszystkie jej istotne szczegóły.
• Trudno mówić o gotowości do sprostania wymaganiom RODO / GDPR, gdyż:
– 31% przedsiębiorstw nie ma żadnej świadomości o RODO/GDPR;
– 18% słyszało o regulacji, ale nie wykonało żadnych działań, by przygotować się do nadchodzących zmian;
– jedynie 15% jest już przygotowane na zmiany.
• Jedynie 52% firm (w skali UE) ma świadomość pozostałych wiążących regulacji, takich jak Personal & Impact Assessment Data Protection oraz National Interoperability Framework. W Polsce są to odpowiednio: bezpośrednia odpowiedzialność właściciela zasobu danych osobowych za analizę ryzyk i zabezpieczenie się przed ich skutkami (ocena, czy przetwarzanie „z dużym prawdopodobieństwem może spowodować wysokie ryzyko” – DPIA/BIA), Krajowe Ramy Interoperacyjności (czyli KRI) oraz akty prawne Komisji Nadzoru Finansowego (np. rekomendacja D – edycja z 2013 r.).
Spośród badanych w Polsce firm aż dwie trzecie stwierdziło, że w przypadku ich przedsiębiorstw nowe regulacje z zakresu ochrony danych osobowych znajdą zastosowanie, wskazując przy tym fakt, że wiele z tych regulacji wymaga doprecyzowania, ponieważ rozporządzenie odnosi się równoważnie co do swoich wymagań zarówno do mikroprzedsiębiorstw, jak i wielkich ponadnarodowych korporacji.

Wprowadzane zmiany:
zamiast GIODO/ABI będzie PUODO/IOD (ang. DPA/DPO)
Zmiany zachodzące w społeczeństwie informacyjnym (tzw. trzecia fala2) rozwoju społecznego) spowodowały znaczącą rozbieżność między prawami krajowymi, opracowanymi na podstawie dyrektywy nr 95/46/WE Parlamentu Europejskiego i Rady WE (zawiera definicje podstawowych terminów odnoszących się do dziedziny danych osobowych, ustala zasady zbierania, gromadzenia, przechowywania i udostępniania danych osobowych) a rzeczywistymi potrzebami zintegrowanego w ramach strefy Schengen rynku europejskiego. Dyrektywa określiła zasady i warunki zgodności przetwarzania danych osobowych z prawem oraz prawa osób, których dane dotyczą, nakazując zarazem ich wdrożenie w prawie krajowym oraz wprowadzanie stosownych aktualizacji3). Rozwiązania krajowe uzupełnione dodatkowymi rozporządzeniami wykonawczymi4) nie sprawdzały się w sytuacjach konfliktowych w trakcie realizacji umów transgranicznych, zwłaszcza w przypadku państw o odmiennym układzie odniesienia prawnego (common law / codex law).

Rozwijający się handel w ramach EOG/EEA5) stworzył nową rzeczywistość. Na jednolitym rynku UE (tzw. rynku wewnętrznym) możliwy jest swobodny przepływ ludzi, towarów, usług i pieniędzy w całej UE, niczym w obrębie jednego państwa. Podstawową rolę w usuwaniu barier w handlu odgrywa wzajemne uznawanie. Obywatele UE mogą studiować, mieszkać, robić zakupy, pracować i przechodzić na emeryturę w dowolnym kraju UE, a także korzystać z produktów i usług pochodzących z całej Europy. Z takim podejściem wiąże się konieczność jednolitego unormowania prawa dotyczącego ochrony danych osobowych dla każdego obywatela UE, stąd zmiany w RODO względem dotychczasowej dyrektywy i uniwersalny obowiązek jego stosowania (peer see)6). Potrzeba zmian jest oczywista. Kiedy przyjmowano dyrektywę 95/46/WE, założyciel Facebooka Mark Zuckerberg miał trzynaście lat, Google dopiero został założony, a cloud computing raczkował. Rozporządzenie uchwalone w 2016 r. jest o wiele bardziej dostosowane do obecnego, zdigitalizowanego świata – mówi radca prawny Izabela Kowalczuk-Pakuła, kierująca praktyką ochrony danych osobowych i prywatności w kancelarii Bird & Bird7).
Cele rozporządzenia tworzą spójny pięcioelementowy blok działań (rys. 1) oparty na nowym ujęciu znanych już pojęć z zakresu przetwarzania. To enumeratywny (zamknięty) katalog uprawnień w stosunku do danych osobowych obejmujący gromadzenie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie/modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, dopasowywanie, rozpowszechnianie, ograniczanie, usuwanie/niszczenie. Wprowadzonym nowym definicjom (rozdz. I, art. 4, pkt 1–26) mają towarzyszyć transparentna polityka i procedury postępowania z posiadanymi zbiorami danych osobowych.

Rys. 1. Zestawienie celów RODO/GDPR
(opracowanie własne autora)

Nowe ujęcie pojęcia „zbiór danych osobowych” (art. 4, pkt 6) oznacza każdy uporządkowany zestaw danych o charakterze osobowym, dostępnych wg określonych kryteriów, niezależnie od tego, czy jest scentralizowany, czy rozproszony funkcjonalnie lub geograficznie. Właściciel tego zasobu jest zarazem właścicielem wszystkich rodzajów ryzyka, związanych z zasobem oraz jego administratorem (ADO – administrator danych osobowych) odpowiedzialnym za postępowanie z tymi rodzajami ryzyka, a dobór środków zabezpieczenia danych pozostaje w jego gestii (technologiczna neutralność), przy czym jest wymagany ujednolicony poziom obowiązków ADO i jego procesorów/podprocesorów.
Zmiany w stosunku do aktualnie obowiązującego w Polsce prawa dotyczą głównie organów nadzoru nad bezpieczeństwem samych danych osobowych, a także metod i sposobów ich przetwarzania (w tym skutecznego zapobiegania rodzajom ryzyka o dużym prawdopodobieństwie wystąpienia), zwłaszcza w świetle art. 35 mówiącego o wysokim ryzyku naruszenia „praw lub wolności osób fizycznych”.

W dotychczasowych rozstrzygnięciach dotyczących zadań i funkcji ABI oraz GIODO elementy oceny ryzyka miały charakter jednostkowy – w RODO jest to działanie kompleksowe pozwalające na elastyczne przeprowadzenie w minimalnym zakresie DPIA8) (art. 35 ust. 7 oraz motywy 84 i 90 w preambule rozporządzenia), obejmujące zestaw czynności przedstawiony na rys. 2.

Rys. 2. Ogólny proces iteracyjny przeprowadzania DPIA
(źródło: 17/EN, WP 248)9)

Praktyczne przeprowadzenie tego procesu wymaga znacznie większej wiedzy i uprawnień niż te, które są przypisane administratorowi bezpieczeństwa informacji (ABI), stąd w RODO szerokie uprawnienia przypisane niezależnemu Inspektorowi Ochrony Danych (IOD/DPO) oraz konieczność zmiany zakresu uprawnień i nazwy dotychczasowemu GIODO (w projekcie ustawy MC jest to Prezes Urzędu Ochrony Danych Osobowych pełniący funkcję krajowego organu nadzoru – DPA).
Powołany IOD/DPO zgodnie z art. 37–39 RODO/GDPR realizuje zadania przedstawione na rys. 3.

Rys. 3. Zadania Inspektora Ochrony Danych wg RODO/DPO-GDPR
(źródło: materiały SSW)

Szerszą odpowiedź na pytania, kim będzie Inspektor Ochrony Danych (IOD/DPO), jaka jest jego niezależność, zadania oraz zakres odpowiedzialności można znaleźć w ostatniej wersji dokumentu grupy roboczej art. 29 ds. ochrony danych osobowych nr 16/EN, WP 243 rew.01 11) z 5 kwietnia 2017 r.

Rola nadzoru – organów krajowych i europejskich
Rozporządzenie nakłada na Administratora Danych Osobowych i podmiot przetwarzający szereg obowiązków w zakresie zapewnienia bezpieczeństwa danych osobowych (rozdz. IV, art. 24), które odpowiednio podlegają monitorowaniu ze strony Inspektora Ochrony Danych Osobowych IOD/DPO (art. 37) – osobie powoływanej w celu wspierania ADO w działaniach ochronnych i będącej zarazem punktem kontaktowym organu nadzorczego (art. 31) [krajowego – DPA (art. 51) oraz za jego pośrednictwem organu europejskiego, Europejskiej Radzie Ochrony Danych] szczególnie w przypadkach wymagających zachowania mechanizmu spójności stosowania zasad RODO (art. 63).
Istotne znaczenie ma także ustalenie organu nadzorczego w przypadku działań transgranicznych związanych z przetwarzaniem/przekazywaniem danych osobowych, co zostało opisane w dokumencie grupy roboczej w art. 29 ds. ochrony danych osobowych nr 16/EN, WP 244 rew. 01 12) z 5 kwietnia 2017 r. „Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego”.

Z czym – wg RODO – musi się liczyć przedsiębiorca branży security
Administratorem danych osobowych (ADO) jest obligatoryjnie właściciel zasobu/zbioru/zbiorów danych osobowych. Może nim być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który to samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4, pkt 7. RODO) lub nakazuje/zleca ich przetwarzanie w swoim imieniu innej osobie fizycznej lub prawnej, organowi publicznemu, jednostce lub „podmiotowi przetwarzającemu” (patrz: art. 4, pkt 8. RODO).

Przedsiębiorca branży security jest ADO względem danych osobowych swoich pracowników oraz współpracowników i kontrahentów w realizowanych wspólnie pracach i projektach, natomiast staje się „podmiotem przetwarzającym” w momencie dostępu do danych osobowych zapisanych we wszelkich systemach security (SKD, TSN/VSS, ESKK, SSWiN, bazy: SMA/LCN/ACO) w momencie ich konserwacji, modernizacji lub naprawy. Nie została obecnie określona jednoznacznie potrzeba (jako przypisów w umowie na wykonanie ww. prac) zobowiązań wynikających bezpośrednio z art. 28 RODO, dotyczących powierzenia przetwarzania danych osobowych (identyfikacja osoby, jej wizerunku, danych dostępowych itd.). Przedsiębiorca branży security, działając jako procesor na dostępnych mu zbiorach, pomaga ADO zapewnić zgodność z obowiązkami określonymi w art. 30–34 RODO i poddaje się obowiązkowi rejestrowania swoich działań w celu ewentualnego udostępnienia ich na potrzeby kontroli zgodności z wymaganiami RODO.

Przedsiębiorca zajmujący się projektowaniem zabezpieczeń, ochroną fizyczną i techniczną oraz konserwacją systemów ochronnych/alarmowych wykorzystujących biometrię (SKD, VSS) powinien szczegółowo przeanalizować to, że art. 4 ust. 14 RODO/GDPR definiuje „dane biometryczne” jako dane osobowe (takie jak wizerunek twarzy lub dane daktyloskopijne), które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Oznacza to m.in. że dane biometryczne użytkowników systemów SKD lub ESKK będą musiały być szczególnie chronione jako wrażliwe/poufne dane osobowe od 25 maja 2018 r., zgodnie z wymaganiami rozdz. II, art. 9 RODO/GDPR, a sposób ich zabezpieczenia powinien być opracowany już na etapie projektowania tych systemów – zgodnie z art. 25 ust. 2 (przy uwzględnieniu uwag zawartych w motywie 78 preambuły).

Stosowanie reguły wdrażania mechanizmów zwiększających ochronę prywatności nakłada określone zobowiązania związane z przetwarzaniem danych osobowych w systemach security. Działania obejmują tzw. privacy by design – na etapie projektowania poszczególnych systemów, kiedy to informujemy zleceniodawcę – administratora danych osobowych (ADO) o sposobie przetwarzania danych w systemach, a także privacy by default – jako domyślne ustawienie i akceptowanie zabezpieczeń zgromadzonych w systemie security danych osobowych dostępnych dla konserwatora/modyfikatora w trakcie wykonywania prac serwisowych i modernizacyjnych systemu.

Skutki prawne i finansowe RODO/GDPR
Złamanie przepisów RODO/GDPR będzie wiązało się z odpowiedzialnością prawną, w tym z ogromnymi karami – nawet 4% rocznego obrotu o maksymalnej kwocie 20 mln euro. Dotyczy to odpowiednio także małych i średnich przedsiębiorstw. Regulacja obejmuje przede wszystkim firmy i organizacje, które zatrudniają więcej niż 250 pracowników i przechowują dane ponad 5000 osób. Tego typu przedsiębiorstwa, w myśl nowego prawa, będą musiały zatrudnić specjalistę na stanowisku inspektor ochrony danych – IOD/DPO (Data Protection Officer), który będzie odpowiadać za całokształt polityki ochrony i przetwarzania danych osobowych. Jego zadania, uprawnienia i obowiązki znacznie wykraczają poza funkcje spełniane przez dotychczasowych administratorów bezpieczeństwa informacji w ochronie danych osobowych.

Jednocześnie zostają zachowane wolności i zasady ujęte w Karcie praw podstawowych (z obowiązku stosowania rozporządzenia są wyłączone organizacje, które przetwarzają dane związane z wyznawaną religią, orientacją seksualną, przebytymi chorobami oraz karalnością). Oznacza to, że np. związki wyznaniowe lub organizacje mniejszości seksualnych nie będą musiały dostosowywać swoich struktur do nowego prawa.

1) www.rp.pl; www.instytutodo.pl; http://gdpr.pl 
2) A. Toffler, Trzecia fala, wyd. 2., Poznań, Wyd. Kurpisz
3) W Polsce była to ustawa z 27 sierpnia 1997 r. o ochronie danych osobowych – wielokrotnie nowelizowana (tj. z 2002 r., z 2008 r., z 2015), obecnie obowiązuje jej tekst jednolity (Dz.U. z 2016 r., poz. 922). 
4) Rozporządzenie MSWiA o warunkach technicznych przetwarzania danych osobowych (Dz.U. z 2004 r., nr 100, poz. 1024). 
5) EOG/EEA – Europejski Obszar Gospodarczy/European Economic Area – obejmuje państwa Unii Europejskiej i Europejskiego Stowarzyszenia Wolnego Handlu (EFTA), z wyjątkiem Szwajcarii. EOG opiera się na czterech fundamentalnych wolnościach: swobodzie przepływu ludzi, kapitału, towarów i usług.
6) „Imprimatur” prawa międzynarodowego nad prawem krajowym (bezwzględnie obowiązujące przepisy prawa <=> mandatory/imperative provisions/regulations of law).
7) www.rp.pl 
8) DPIA – Data Protection Impact Assessment, oszacowanie wpływu zdarzeń na ochronę danych
9) Wytyczne Grupy Roboczej, art. 29 ds. ochrony danych przyjęte 4 kwietnia 2017 r.
10) Dr Joanna Tomaszewska, konferencja RODO, 25 maja 2017r., ambasada Wlk. Brytanii w Warszawie.
11) www.giodo.gov.pl/pl/p/opinie-i-wytyczne-grupy-roboczej-art-29. 
12) Tamże.

dr inż. Marek Blim
Europejski menedżer systemu zarządzania jakością EOQ, certyfikowany audytor systemów jakości i zarządzania bezpieczeństwem informacji, ekspert systemowy ISO 9000 INTERCERT/TüV Rheinland Polska. Rzeczoznawca systemów technicznej ochrony osób i mienia oraz zarządzania bezpieczeństwem. Projektant systemów ochrony. Czynny zawodowo konsultant–rzeczoznawca–audytor.