sobota, maja 12, 2018

Co Architekt IT powinien wiedzieć o RODO

Unia Europejska jest w końcu na bieżąco z rzeczywistością internetową, co podkreśla motyw 6. Nowe prawo ma świadomość istnienia podmiotów krajowych oraz międzynarodowych/globalnych. Dla tych ostatnich nie ma już szarych obszarów, są jasne regulacje, na co zwracają uwagę np. urzędnicy Ministerstwa Cyfryzacji. Gdyby było RODO prawdopodobnie nie byłoby afery z Cambridge Analytica. Motyw 22: "Przetwarzanie danych osobowych w kontekście działalności prowadzonej przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii powinno odbywać się zgodnie z niniejszym rozporządzeniem, niezależnie od tego, czy samo przetwarzanie ma miejsce w Unii." Motyw 10: "Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych." Takie same przepisy w każdym kraju uniemożliwią globalnym graczom zakładanie spółki w wybranym państwie, gdzie przepisy najmniej chronią obywateli. Decyzje o przetwarzaniu danych zapadają w centrali (vide motyw 36).

Czy mała firma powinna bać się RODO? Nie. Motyw 4: "Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności.". Nie można wymagać pełnego rozmachu zabezpieczeń IT charakterystycznego dla globalnej firmy wobec małego podmiotu. Motyw 13 mówi: "Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników. Ponadto zachęca się instytucje i organy Unii, państwa członkowskie i ich organy nadzorcze, by stosując niniejsze rozporządzenie, uwzględniały szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.". Motyw 15: "Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwarzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów nie powinny być objęte zakresem niniejszego rozporządzenia.".

Ochrona w kontekście firm globalnych jest dobrze określona, vide motyw 23: "Aby osoby fizyczne nie zostały pozbawione ochrony przysługującej im na mocy niniejszego rozporządzenia, przetwarzanie danych osobowych osób, których dane dotyczą, znajdujących się w Unii, przez administratora lub podmiot przetwarzający, którzy nie posiadają jednostki organizacyjnej w Unii, powinno podlegać niniejszemu rozporządzeniu, jeżeli czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług, niezależnie od tego, czy pociąga to za sobą płatność. Aby stwierdzić, czy administrator lub podmiot przetwarzający oferują towary lub usługi znajdującym się w Unii osobom, których dane dotyczą, należy ustalić, czy jest oczywiste, że administrator lub podmiot przetwarzający planują oferować usługi osobom, których dane dotyczą, w co najmniej jednym państwie członkowskim Unii. O ile do ustalenia takiego zamiaru nie wystarczy sama dostępność w Unii strony internetowej administratora, podmiotu przetwarzającego, pośrednika, adresu poczty elektronicznej lub innych danych kontaktowych ani posługiwanie się językiem powszechnie stosowanym w państwie trzecim, w którym jednostkę organizacyjną ma administrator, o tyle potwierdzeniem oczywistości faktu, że administrator planuje oferować w Unii towary lub usługi osobom, których dane dotyczą, mogą być czynniki takie, jak posługiwanie się językiem lub walutą powszechnie stosowanymi w co najmniej jednym państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii.". Jest strona WWW po angielsku - podlega pod RODO. Duża firma w celu ochrony danych osobowych powinna mieć fachowca od prawa i od IT (motyw 97).

W przeglądarce internetowej mamy Omnibox, który po stronie chmury po naszym adresie IP profiluje nasze zachowanie. Podlega to prawu RODO.
Motyw 24: "Przetwarzanie danych osobowych znajdujących się w Unii osób, których dane dotyczą, przez administratora lub podmiot przetwarzający, którzy nie mają jednostki organizacyjnej w Unii, powinno podlegać niniejszemu rozporządzeniu także w przypadkach, gdy wiąże się z monitorowaniem zachowania takich osób, których dane dotyczą, o ile zachowanie to ma miejsce w Unii. Aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.".

RODO zawiera bardzo ważne definicje, mające wpływ na techniczne implementacje ochrony danych osobowych. Motyw 26: "Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.".
Jak można poprawnie spseudonimizować dane? W jednej tabeli w jednej bazie trzymać imię, nazwisko, email z generowanym kluczem, a w innej bazie trzymać profilowane dane z tym samym kluczem zewnętrznym. Jeśli jednak w tej drugiej bazie po agregacji danych da się z pewnym prawdopodobieństwem określić jakiej osoby mogą dotyczyć wpisy, to nie można zastosować takiego rozwiązania technicznego - klucz zewnętrzny nie może się powtarzać. Przykład: logi WWW, osoba korzysta z webmaila w domenie o jej nazwisku i przy pomocy powtarzającego się klucza zewnętrznego można prześledzić pełną historię online takiej osoby. Jest to obszar działania architekta IT i architekta danych.

Firmy, które dla potrzeb mailingu na stronie WWW miały domyślnie zaznaczone wszystkie checkboxy w formularzu zgód, muszą potwórzyć ich uzyskanie. Motyw 32: "Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.". Motyw 42: "Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.".
Warunki przetwarzania powinny być zawsze łatwo dostępne na stronie WWW (motyw 39) i prosto sformułowane (motyw 58). Jeśli osoba jest profilowana musi o tym być poinformowana explicite (motyw 60). Musi istnieć sposób elektronicznego zgłaszania żądań i muszą być one rozpatrzone w ciągu miesiąca (motyw 59). Każdy ma prawo do skasowania danych o nim (w szczególności w marketingu bezpośrednim - motyw 70) lub ich sprostowania (motyw 65).
Jeśli firma nie jest w stanie udokumentować wyrażenia zgody (bo np. na rekordzie osobowym jest tylko flaga o zgodzie) to musi ona uzyskać ją ponownie, patrz motyw 42: "administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania.". W systemie IT powinna być przechowywana informacja zawierająca znacznik czasu, treść zgody, kanał komunikacyjny.
Zmuszanie klienta to wyrażenia zgód na pakiet celów jest niezgodne z prawem - motyw 43: "Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.".
Jeśli zgromadzone dane nie pozwalają na identyfikację osoby fizycznej administrator nie ma obowiązku ich uzupełnienia (motyw 57) np. poprzez mailing z taką prośbą.
Nie można przetwarzać danych osobowych dzieci poniżej 16 roku życia bez zgody ich rodziców (art. 8).
Komunikacja z osobą fizyczną w sprawie danych osobowych jest obowiązkiem administratora (art. 12).
W momencie wyrażania zgody osoba fizyczna musi znać tożsamość i dane kontaktowe administratora, inspektora ochrony danych; odbiorców danych; cel i okres przetwarzania; konieczności i prawa; fakt automatycznego przetwarzania i profilowania (art. 13).

Bardzo ważny jest cel przetwarzania (motyw 50). Nie można mieć podejścia, że jeśli mamy dane z jakiegokolwiek źródła to biznesowo i technicznie można z nimi zrobić wszystko. Nie można składować danych w jednym miejscy, jeśli zostały pozyskane z różnych źródeł ze zgodami na różne cele (chyba, że w ogólności są to te same cele tych samych podmiotów). Każdy cel definiuje też zbiór danych. Jeśli dana grupa kapitałowa ma wiele spółek, to nie mogą dowolnie wymieniać się danymi horyzontalnie, spójność i granice zbioru powinny być zachowane. Zgoda na przetwarzanie danych musi być wtedy udzielona grupie kapitałowej lub wszystkim współadministratorom (art. 26). Jeśli grupa kapitałowa wydziela jednostkę o oddzielnej osobowości prawnej do przetwarzania danych osobowych i zawiera z nią umowę o przetwarzaniu to nadal integralność zbiorów musi być zachowana. Zgoda osoby fizycznej jest udzielona ściśle określonemu podmiotowi. Jedyny wyjątek to cele administracyjne grupy kapitałowej (motyw 48: "Administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady przekazywania danych osobowych w ramach grupy przedsiębiorstw przedsiębiorstwu mieszczącemu się w państwie trzecim."). Jeśli przetwarzanie powierza się innemu podmiotowi osoba fizyczna musi o tym wiedzieć (motyw 61). Szczegółowe zasady ousourcingu określa art. 28 i 29.
Nie można gromadzić więcej danych ("na zapas, na wszelki wypadek") ani przechowywać dłużej niż wynika to z celu (motyw 39).
"Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.". Dalej, "obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych." (motyw 74). W praktyce oznacza to, że administrator powinien mieć dokumentację definicji zbioru danych (w tym celu), analizę zagrożeń (ryzyko zwykłe i wysokie) i wdrożonych mitygacji/środków ochronnych (polityki także "w formie zatwierdzonych kodeksów postępowania, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych", [77]).
Jakie są zagrożenia? Według motywu 75: uszczerbek fizyczny lub szkody majątkowe lub niemajątkowe, w szczególności:
- "jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną"; 
- "jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi";
- "jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa";
- "jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych";
- "jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci";
- "jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą".
Grupy przedsiębiorstw mogą tworzyć wspólne polityki ochrony danych (motyw 110).
Można przekazywać dane osobowe hackerów (motyw 49), których napotykamy chroniąc nasz zbiór.
Administrator ma 72 godziny na po stwierdzeniu naruszenia ochrony danych osobowych do notyfikacji organu nadzorczego ODO (motyw 85).
W przypadku poważnych skutków naruszenia osoba fizyczna, której dane dotyczą, powinna być poinformowana niezwłocznie [86].
"Za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy." "Jeżeli administratorzy lub podmioty przetwarzające uczestniczą w tym samym przetwarzaniu, każdy administrator lub podmiot przetwarzający powinien odpowiadać prawnie za całość szkody." (motyw 146).
"Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. Nakładanie sankcji, w tym administracyjnych kar pieniężnych, powinno podlegać odpowiednim zabezpieczeniom proceduralnym zgodnym z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych, w tym skutecznej ochronie prawnej i prawu do rzetelnego procesu." [148].

Motyw 78 mówi o dwóch ważnych zasadach: uwzględniania ochrony danych w fazie projektowania oraz z domyślnej ochrony danych.
"Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń. Jeżeli opracowywane, projektowane, wybierane i użytkowane są aplikacje, usługi i produkty, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, należy zachęcać wytwórców tych produktów, usług i aplikacji, by podczas opracowywania i projektowania takich produktów, usług i aplikacji wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych. Zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy też brać pod uwagę w przetargach publicznych.".

Powierzając przetwarzanie danych osobowych innemu podmiotowi administrator powinien "korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania." (motyw 81) najlepiej na podstawie umowy określającej "przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą", "konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.".
Należy prowadzić rejest czynności przetwarzania (motyw 82).

Firmy medyczne na podstawie motywu 63 muszą udostępniać zebrane dane. Przykładowo: miałem pakiet medyczny jakiś czas temu w jednej firmie, teraz mam w innej. Jeśli dane w tej pierwszej nie zostały usunięte muszę mieć do nich dostęp. W Polsce Medicover jest już zgodny z RODO.
Jeśli jesteśmy w obszarze medycyny, to warto wspomnieć, że nie można przetwarzać danych wrażliwych na zasadach innych niż szczegółowe (motyw 51).

Prawo do usunięcia danych powinno opierać się na racjonalnym podejściu ("Spełniając ten obowiązek administrator powinien podjąć racjonalne działania z uwzględnieniem dostępnych technologii i dostępnych mu środków, w tym dostępnych środków technicznych, w celu poinformowania administratorów, którzy przetwarzają dane osobowe, o żądaniu osoby, której dane dotyczą." - motyw 66.). Odtwarzanie danych z backupu taśmowego, kasowanie danych per osoba a następnie ponowne zapisywanie backupu nie jest racjonalne.
RODO definiuje czasowe ograniczenie przetwarzania danych (motyw 67): "czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych", "W zautomatyzowanych zbiorach danych przetwarzanie należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane. Fakt ograniczenia przetwarzania danych osobowych należy wyraźnie zaznaczyć w systemie.", co dotyczy m.in. backupu.

Możemy poprosić o wyjęcie swoich danych osobowych i dostarczenie ich nam lub innemu podmiotowi w interoperacyjnym formacie (w praktyce może to być JSON, XML - motyw 68). Ale niekoniecznie parafię. Prowadzenie ksiąg kościelnych jest w celu archiwalnym i w interesie publicznym i z mocy prawa jest zgodne z RODO (motyw 55, 62, 165).

Jeśli przetwarzanie danych osobowych korzysta z automatycznego podejmowania decyzji osoba fizyczna ma prawo do wyrażenia braku zgody na takowe, a administrator musi mieć środki techniczne do wymuszenia zmiany sposobu przetwarzania (motyw 17). Dotyczy to m.in. wniosków bankowych, ubezpieczeniowych, rekrutacyjnych itp.

0 komentarze: