naPrzeciw RODO (II)
Zbliża się maj, miesiąc rozpoczęcia działania Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) [ang. General Data Protection Regulation (GDPR)].
Od kilkunastu miesięcy obserwuję wzmożoną narastającą aktywność prawników w prezentowaniu i objaśnianiu treści tego rozporządzenia.
Niestety w przygotowaniu tego rozporządzenia oraz potem w dyskusji nad jego wdrożeniem zabrakło informatyków, którzy będą przecież głównym wykonawcą (technicznym) zapisów RODO. Warto zapoznać się z tym rozporządzeniem również i pod tym kątem widzenia.
Prawa dla informatyków
W RODO najważniejszym jest administrator, który:
oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
Dodatkowo zdefiniowano podmiot przetwarzający, który:
oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
Trochę to wydaje się skomplikowane, gdyż różnica między administratorem o podmiotem przetwarzającym nie jest jednoznaczna. Dla nas zaś ważniejszym jest stwierdzenie kto z nich musi być profesjonalnym specjalistą od eksploatacji systemów teleinformatycznych – informatykiem mającym odpowiednią wiedzę i doświadczenie z zarządzania sprzętem, siecią, systemami oraz aplikacjami w taki sposób, aby były one odporne na wewnętrzne i zewnętrzne próby ingerencji w celu nieuprawnionego skopiowania oraz naruszenia integralności danych – w tym w szczególności danych osobowych.
Formalnie zadania tego informatyka, nie nazywając go, opisuje konkluzja (83) RODO:
W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
Widać, że przy formułowaniu tego motywu RODO nie było informatyków, bo niby dlaczego szyfrowanie ma być pierwszym/najważniejszym środkiem minimalizującym ryzyko niewłaściwego przetwarzania danych. Dalszy zaś opis jest tak ogólnym, że nie sposób z tego określić jaki jest ten odpowiedni poziom bezpieczeństwa oraz wyznaczyć jego ryzyko – a od tego może potem zależeć decyzja organu o wymierzeniu odpowiedniej kary, między innymi za naruszenie Artykułu 25 RODO:
Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Rzeczywiście pozostawiono to administratorowi oraz podmiotowi przetwarzającemu, czyli między innymi informatykom mającym określić adekwatny poziom ochrony eksploatacji systemu w stosunku do jakiegoś poziomu ryzyka oraz możliwych do poniesienia kosztów. I tutaj napotykamy pierwszy poważny problem możliwości decyzyjnych tych informatyków, którzy dla tak przygotowanego projektu mają przekonać administratora do poniesienia określonych kosztów. W obecnej hierarchii zależności zawodowej , przy braku istnienia prawa i obowiązków dla informatyków w zapisach RODO, informatycy nie mają praktycznie żadnych możliwości „wymuszenia” takiego wyposażenia systemu i zasad jego eksploatacji, aby był on rzeczywiście zgodnym z zapisami konkluzji (83) i artykułu 25 RODO.
Wydaje się koniecznym nadanie tym informatykom pewnych praw, oprócz jasno zdefiniowanych obowiązków, umożliwiających im wyegzekwowanie od administratora (lub nawet jego szefa) odpowiednich decyzji, a jednocześnie chroniących ich samych - informatyków przed działaniami nakazami służbowymi. Prawa te mogą być na przykład sformułowane następująco – prawo do:
- samodzielnego podjęcia decyzji o wyłączeniu systemu lub podobnych działaniach, gdy istnieje zagrożenie wycieku danych,
- uzależnienia dalszej eksploatacji systemu od uzupełnienia go o określony sprzęt, oprogramowanie, aplikację, itp. mające wzmocnić ochronę przed wyciekiem danych osobowych,
- ograniczenia lub wyznaczenia grupy osób mających dostęp do określonych funkcji lub pomieszczeń systemu,
- odmowy wykonania operacji mogących prowadzić do pobrania danych osobowych poza zdefiniowanymi i zatwierdzonymi procedurami ( w tym również dotyczącymi pobrań przez uprawnione służby),
Zapis z nawiasu powinien korelować z konkluzją (19) oraz jej podobnymi w RODO:
Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy w ramach zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych, lub wykonywania kar, w tym w celu ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, oraz swobodny przepływ takich danych podlegają szczególnemu aktowi prawnemu Unii. (…)
Prawo do zapominania
Zanim zajmiemy się jeszcze propozycjami kolejnych istotnych praw dla informatyków – administratorów oraz podmiotów przetwarzających, przyjrzyjmy się realizacji jednego z nowych praw w RODO – prawa do zapominania. Przytoczmy konkluzję 66 RODO:
Aby wzmocnić prawo do „bycia zapomnianym” w internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji. Spełniając ten obowiązek administrator powinien podjąć racjonalne działania z uwzględnieniem dostępnych technologii i dostępnych mu środków, w tym dostępnych środków technicznych, w celu poinformowania administratorów, którzy przetwarzają dane osobowe, o żądaniu osoby, której dane dotyczą.
W tym przypadku, chyba również informatyków przy tym nie było.
Po pierwsze trzeba było się zdecydować, czy należy tylko usunąć łącza do tych danych, co oznacza brak dostępu do tych danych – bez względu w ilu miejscach były zreplikowane. Jednakże dalej one istnieją, ale odpowiednio chronione, nie powinny się ujawnić. Mogą być jednak potem dostępne dla celów naukowych, historycznych, archiwalnych czy statystycznych po pseudonimizacji lub śmierci osoby, której dotyczą. Technicznie usunięcie łącza jest prostym problemem i pozwala na każdorazowe zweryfikowanie czy brak możliwości dostępu do tych danych jest skuteczny.
Druga fraza tego zdania mówi o usunięciu tych danych w całości wraz z kopiami i replikacjami – co z punktu widzenia informatycznego wydaje się przy dzisiejszych technikach tworzenia i zarządzania kopiami (backupami) praktycznie niemożliwe. Nie jest bowiem możliwym przejrzenie wszystkich archiwów, z których część jest już offline poza siecią, i usunięcia stamtąd danych danej osoby. Samo już wyszukanie tych danych – oprócz zapisu identyfikowanego jednoznacznie identyfikatorem tej osoby – staje się problemem z zakresu sztucznej inteligencji. Powstają przy tym pytania, czy odnalezienie danych do zapomnienia danej osoby w grupie innych osób pozwala na ich usunięcie, a w szczególności usunięcia osoby z fotografii czy też z obrazu dokumentu (na przykład z zamieszczonej tamże listy grupy osób, pośród której znajduje się nazwisko osoby mającej byc zapomnianą). Jednym słowem te wytyczne RODO są zbyt ogólne i pozostawiają zbyt wiele domysłom – trudno na tej podstawie zdefiniować jednoznaczne algorytmy postępowania.
Pomijam tutaj samą filozofię zapominania danych osobowych, znikania z sieci. Oprócz ewidentnych przypadków, gdy do sieci zostały wprowadzone nieprawdziwe, szkalujące, obrażające, prywatne czy intymne dane osobowe – powinny się z sieci dać usunąć – to pozostałe natury urzędowej, zawodowej, społecznej powinny w sieci pozostać dla celów historycznych, tak jak pozostawały w dawnych czasach w różnych schematyzmach, księgach i spisach. I dzisiaj często dzięki temu, że praprapradziadek miał sprawę o ziemię w sądzie grodzkim, możemy się dowiedzieć o historii rodziny.
Ochrona administratorów – informatyków
Konkluzja (146 i następne) RODO szeroko opisuje zakres sankcji jakie grożą:
Za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. (…) Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody. Jeżeli administratorzy lub podmioty przetwarzające uczestniczą w tym samym przetwarzaniu, każdy administrator lub podmiot przetwarzający powinien odpowiadać prawnie za całość szkody. Jeżeli jednak zostaną włączeni do jednego postępowania sądowego zgodnie z prawem państwa członkowskiego, odszkodowaniem można obarczyć każdego z administratorów i każdy z podmiotów przetwarzających stosownie do ich winy za szkodę wynikłą z przetwarzania, o ile osobie, której dane dotyczą, zapewnione zostanie pełne i skuteczne odszkodowanie za poniesioną szkodę. Każdy administrator lub podmiot przetwarzający, który wypłacił pełne odszkodowanie, może następnie dochodzić roszczeń regresowych wobec innych administratorów lub podmiotów przetwarzających uczestniczących w tym samym przetwarzaniu.
Warto zapoznać się ze wszystkim konkluzjami dotyczącymi sankcji, gdyż są one bardzo ostre i tutaj jakże jednoznaczne. Wszystkie one grożą administratorowi oraz podmiotowi przetwarzającemu, a więc i informatykom zarządzającym tymi systemami znaczącymi sankcajmi. Stąd propozycja dodatkowych praw chroniących interesy informatyków:
- ochrony swoich danych personalnych (korzystanie z pseudonimu) w relacjach z częścią pracowników czy też zewnętrznych klientów dla unikania możliwości szantażowania tych osób,
- ochrony swojej osoby oraz rodziny w sytuacji zagrożenia fizycznego spowodowanego szantażem lub innymi działaniami związanymi z uzyskaniem nieuprawnionego dostępu do danych obsługiwanego systemu,
- pomocy prawnej (płatnej przez zakład pracy) w przypadku prawnego rozstrzygania stopnia winy zakładu i zatrudnionych w nim informatyków mogących być odpowiedzialnych za wyciek danych, gdyż z reguły będą to złożone prawnie postępowania o znaczących kwotach odszkodowawczych.
Powyższe prawa dla informatyków są niezbędne dla zagwarantowania im możliwości wykonywania obowiązków oraz zapewnienia niezakłóconego funkcjonowania systemów z ochroną danych. Problem ten będzie dotyczyć tysięcy administratorów i podmiotów przetwarzania, tysięcy informatyków - najczęściej pracujących samotnie lub w maych zespołach w tysiącach małych firm i organizacji. Korporacje GAFA (Google, Apple, Facebook, Amazon i inne sobie z tym poradzą - ci mniejsi mogą mieć problemy. Do rozstrzygania sporów z tytułu naruszenia RODO będą zatrudniane zespoły prawników, stąd informatycy muszą mieć odpowiednie wsparcie. Podobne prawa powinny być też dane administratorom systemów w związku z zagrożeniem cyberatakami.
Inspektor ochrony danych.
W RODO, artykuł 37 wprowadza funkcję Inspektora Ochrony Danych wyznaczanego przez administratora i podmiot przetwarzający, przy czym:
5. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.
6. Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.
7. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.
Artykuł 38 Status inspektora ochrony danych
3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
Wydawałoby się, że Inspektor Ochrony Danych mógłby być osobą spełniającą potrzeby prawne informatyka w zarządzaniu systemem. Jednakże jego umocowanie oraz wymagany zakres wiedzy nie jest wystarczający do spełniania takiej roli. Nadzoruje on prawne, a nie techniczne wykonywanie RODO. Jest też kontaktem z Urzędem Ochrony Danych Osobowych. Tak przy okazji jest on też widoczny dla otoczenia, gdyż jego dane osobowe są znane publicznie poprzez Urząd ODO.
Konkluzja WBI
Stąd dalej w mocy pozostaje propozycja sprecyzowania praw i obowiązków dla informatyków mających praktycznie odpowiadać za stabilne i bezpieczne przetwarzanie danych osobowych według RODO.
Wacław Iszkowski