Narzędzia open source wspierające monitorowanie i obsługę incydentów bezpieczeństwa dla rozwiązań IT

Niezależnie od tego czy mamy do czynienia z małą firmą, czy dużą korporacją, liczba incydentów związanych z bezpieczeństwem rośnie z roku na rok. Wszystkie incydenty potrzebują skutecznego zarządzania. W szczególności te, które skutkują koniecznością sięgania po środki nadzwyczajnej rangi, takie jak plany utrzymania ciągłości działania firmy. Jak zatem skutecznie monitorować i przeciwdziałać incydentom bezpieczeństwa?

Rozważania warto rozpocząć od przyjrzenia się narzędziom, które mogą okazać się pomocne w skutecznym wykrywaniu incydentów, ich segregacji, ich ograniczeniu i reagowaniu na nie. Rozwiązania, których wdrożenie może mieć istotny wpływ na bezpieczeństwo systemów IT, można podzielić na siedem klas narzędzi:

1. Ochrona

Jedną z pierwszych linii obrony przed atakami, tuż za zaporami sieciowymi, stanowią systemy klasy IDS/ IPS (Intrusion Detection and Prevention Systems). Mają one za zadanie w czasie rzeczywistym monitorować aktywność sieci i serwerów pod kątem wykrywania prób potencjalnych włamań i naruszeń bezpieczeństwa. Działanie tych systemów opiera się na analizie sygnaturowej i heurystycznej pakietów danych oraz porównaniu ich do znanych typów ataków. W przypadku wykrycia aktywności uznanej za złośliwą, system ma możliwość zablokowania takiej transmisji.

Aplikacje webowe możemy chronić dodatkowo systemami klasy WAF (Web Application Firewall). Praca tych systemów polega na sprawdzaniu żądań HTTP, a następnie dzięki zestawowi reguł, np. obejmujących luki OWASP Top 10, blokowaniu takiego ruchu lub jego przepuszczaniu. Przykładowymi atakami z OWASP Top 10 są np. SQL injection czy XSS.

Wśród popularnych narzędzi typu IDS/ IPS znajdują się Snort, OSSEC, natomiast narzędziem typu WAF jest ModSecurity.

2. Logi

Dzienniki aktywności są bogatym źródłem informacji o tym, co dzieje się w naszym środowisku IT, w szczególności w sieci i systemach. W praktyce przeglądanie każdego dziennika z osobna jest skrajnie nieefektywne i nie pozwala na sprawne wyciąganie sensownych wniosków. Tym bardziej, że z reguły odpowiedzialność za te przeglądy jest rozproszona na wiele osób, np. administratorów poszczególnych systemów i urządzeń. W takich sytuacjach warto stosować systemy zwane SIEM (Security Information and Event Management). Zadaniem SIEM jest zebranie w jednym miejscu wszystkich logów i ich analiza jednocześnie z korelacją zdarzeń pomiędzy nimi. W efekcie otrzymujemy spójny i przejrzysty obraz sytuacji, a co więcej, wszelkie zagrożenia są wychwytywane w dużo szybszym tempie.

Przykładem narzędzia typu SIEM jest OSSIM.

3. Sprawdzanie podatności

Automatyczne skanery podatności identyfikują potencjalne luki w systemach IT, dzięki czemu można na czas wdrożyć działania naprawcze. To pozwala w znaczący sposób minimalizować obszary ryzyka. Działanie skanerów opiera się na sprawdzeniu czy wersje komponentów wykorzystywanych przez nasze systemy znajdują się w bazie znanych podatności CVE (Common Vulnerabilities and Exposures).

Przykładem takiego skanera jest OpenVAS.

4. Monitoring

Niezbędne jest stałe monitorowanie wszystkich krytycznych komponentów infrastruktury w tym aplikacji, usług, systemów operacyjnych, protokołów sieciowych, wybranych wskaźników czy infrastruktury. Monitorowanie dostępności jest niezwykle ważne i pomocne, ponieważ przerwa w działaniu aplikacji lub usług może być pierwszą oznaką incydentu bezpieczeństwa.

Przykład narzędzi: Nagios, Zabbix.

5. Inwentaryzacja sieci

Rozumienie swojego środowiska IT pozwala skutecznie reagować na zagrożenia płynące z sieci wewnętrznej. Najlepszym sposobem na to jest automatyczne wykrywanie zasobów i ich inwentaryzacja. Dzięki temu rozwiązaniu wiemy ile i jakie urządzenia są obecne w sieci oraz jakie oprogramowanie jest na nich zainstalowane. Pozwala nam to na eliminowanie źródeł potencjalnych ataków, np. niewspierane lub nieaktualne wersje systemów operacyjnych i programów, zanim faktycznie do nich dojdzie.

Przykład narzędzia: OCS Inventory.

6. Materiały dowodowe

W przypadku, gdy dojdzie już do incydentu bezpieczeństwa istotne jest sprawne zidentyfikowanie, odzyskanie, zachowanie i analiza sekwencji wydarzeń, które do niego doprowadziły. Ma to kluczowe znaczenie dla zidentyfikowania i naprawienia pierwotnej przyczyny. Zgromadzone dowody mogą również wspierać wszelkie działania dyscyplinarne lub prawne, np. zawiadomienie odpowiednich służb i organów nadzorczych.

Przykłady narzędzi: SANS SIFT, Sleuthkit.

7. Człowiek

System klasy Service Desk może mieć kluczowe znaczenie w organizacji w zakresie informowania służb IT o potencjalnych źródłach incydentów. Najbardziej podstawową formą kontroli bezpieczeństwa jest wykształcony i świadomy pracownik. Użytkownicy powinni być świadomi swoich obowiązków i sposobu w jaki mogą zgłaszać incydenty i reagować na nie. Co więcej powinni być wręcz zachęcani do zgłaszania wszelkich słabych punktów związanych z bezpieczeństwem tak szybko jak to możliwe.

Przykładem narzędzia do obsługi zgłoszeń jest OTRS.

Podsumowanie

Ochrona przed cyberzagrożeniami staje się poważnym problem dla wielu organizacji. Dlatego przedstawione propozycje narzędzi typu open source mogą stanowić filar budowy systemu zarządzania incydentami bezpieczeństwa. Oczywiście nic nie stoi na przeszkodzie, aby sięgać po rozwiązania komercyjne. Niezależnie jednak od tego, jakie systemy zdecydujemy się zaimplementować wewnątrz naszej organizacji, ważne jest, aby stale śledzić i monitorować informacje o nowych zagrożeniach jakie pojawiają wokół nas.

 

Źródło: „Magazyn ODO” 2018

Okres przechowywania danych osobowych

Jedną z podstawowych zasad przetwarzania danych osobowych według RODO jest ograniczenie przechowywania danych. Zgodnie z tą zasadą, administratorzy danych mogą przetwarzać dane osobowe nie dłużej niż jest to niezbędne dla osiągnięcia celów przetwarzania. Zasada ta ma na celu, zgodnie z duchem RODO, zapobiegać przetwarzaniu danych, które nie są administratorom niezbędne.

Jakie konsekwencje dla administratorów niesie za sobą ta zasada?

Przede wszystkim dane osobowe należy usunąć, gdy nie są już potrzebne dla osiągnięcia celów przetwarzania. Należy również określić czas retencji, czyli przechowywania danych osobowych. Ustalenie okresu retencji oraz momentu, od którego dane osobowe nie są dłużej niezbędne dla osiągnięcia celów przetwarzania, może okazać się problematyczne w obrocie gospodarczym. W pewnych sytuacjach, wskazówek dotyczących okresów przechowywania danych można szukać w szczególnych przepisach prawa. Ustawa o rachunkowości pomoże na przykład określić terminy retencji dla dowodów księgowych, a przepisy prawa pracy będą pomocne przy określeniu terminów retencji dokumentacji pracowniczej.

Nie zawsze jednak istnieje możliwość posiłkowania się przepisami prawa przy ustalaniu okresu retencji. Niestety nie wszystkie niezbędne terminy przechowywania dokumentów, uda się odnaleźć i zaimplementować wprost z aktów prawnych. Dobry przykład stanowi korespondencja, w przypadku której inny okres retencji należałoby określić dla przesyłek poleconych, które mogą zostać wykorzystane jako dowód w postępowaniu sądowym oraz przesyłek zwykłych, dla których nie ma podstaw dla porównywalnie długiego okresu przechowywania.

Administratorzy danych powinni już teraz zweryfikować swoje procesy przetwarzania, aby określić terminy retencji danych osobowych. Już 25 maja 2018 roku obowiązywać zacznie RODO, które przewiduje surowe kary za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych, również w odniesieniu do terminów retencji przetwarzanych danych.

Zasada One stop shop w RODO

Porządek prawny Unii Europejskiej pozwala przedsiębiorstwom na nieskrępowane prowadzenie działalności w innych państwach członkowskich, wprowadzając zakazy ograniczeń w tym zakresie. Podobnie jest z ochroną danych osobowych. RODO zapewnia swobodny przepływ danych osobowych pomiędzy granicami państw członkowskich UE. Jak natomiast wyglądają obowiązki administratora danych osobowych w przypadku działalności prowadzonej w kilku państwach członkowskich jednocześnie? Czy przykładowo, w przypadku wystąpienia naruszenia ochrony danych osobowych administrator powinien powiadomić o tym organ nadzorczy w każdym z państw członkowskich w którym prowadzi działalność? Na te pytania odpowiedź stanowi zasada „One stop shop”.

Dotychczas administrator danych podlegał tylu organom nadzorczym ochrony danych osobowych, w ilu państwach członkowskich prowadził działalność gospodarczą. RODO wychodzi pod tym względem naprzeciw interesom przedsiębiorców i ustala zasadę podlegania jednemu organowi nadzorczemu na terenie całej UE, niezależnie od ilości państw, na terenie których działa firma. Właściwość organu nadzorczego w UE dla administratorów i procesorów ustala się według kryterium siedziby, lub głównej jednostki organizacyjnej, co oznacza, że w państwie członkowskim, w którym administrator podejmuje decyzje o celach i sposobach przetwarzania danych, mieści się właściwy dla administratora organ nadzorczy. Natomiast, gdy siedziba administratora znajduje się poza EOG, właściwym organem będzie organ państwa członkowskiego, w którym odbywają się główne czynności przetwarzania w Unii.

Należy zaznaczyć, że zasada „one stop shop” odnosi się także do obywateli Unii. Dla przykładu, gdy obywatel jednego państwa członkowskiego chce zgłosić naruszenie dokonane przez administratora, którego właściwy organ nadzorczy znajduje się w innym państwie członkowskim, to może to uczynić w „swoim”, lokalnym organie nadzorczym. Tak więc, organ nadzorczy będzie tutaj właściwy dla czynności przetwarzania odbywającej się w danym państwie członkowskim, natomiast w sprawie obowiązków administratora właściwy będzie nadal organ nadzorczy właściwy dla siedziby firmy.

Sposób działania zasady „one stop shop” spaja niejako obowiązek współpracy między organami nadzorczymi. Jeżeli w sprawie, w której udział bierze także podmiot przetwarzający z siedzibą w innym państwie członkowskim niż państwo siedziby administratora, to organ nadzorczy tego państwa również zostanie zaangażowany w sprawę. Podobnie będzie też w przypadku przytoczonej powyżej skargi obywatela.

Incydent naruszenia bezpieczeństwa danych osobowych – powiadamianie podmiotów danych

RODO, przy stwierdzeniu naruszenia bezpieczeństwa ochrony danych, nakłada na administratora danych (pod groźbą sankcji finansowej) obowiązki związane z notyfikacją naruszeń i powiadamianiem osób, których danych dotyczyło naruszenie.

Art. 34 RODO zobowiązuje administratora danych do powiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych, mogącym powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Co ważne, administrator musi dokonać zawiadomienia niezwłocznie. Zawiadomienie powinno zostać dokonane tym szybciej, im poważniejsze, zgodnie z oceną administratora danych, jest prawdopodobieństwo naruszenia praw lub wolności podmiotów danych.

Administrator powinien pamiętać, że zawiadomienie należy przekazać jasnym i prostym językiem, dostosowanym do kategorii adresatów. Zwolnienie z obowiązku zawiadomienia podmiotów danych o naruszeniu bezpieczeństwa zostało przewidziane w 3 przypadkach:

  1. Gdy administrator wdrożył odpowiednie środki techniczne i organizacyjne, które nawet mimo zaistnienia incydentu, wykluczają możliwość dostępu do danych przez osoby nieuprawnione.
  2. Gdy administrator dokonał zabezpieczających czynności następczych, eliminujących ryzyko naruszenia praw lub wolności osób fizycznych.
  3. Gdy zawiadomienie wymagałoby niewspółmiernie dużego wysiłku – wtedy rozwiązaniem będzie komunikat przekazany do opinii publicznej, a nie bezpośrednio do podmiotów danych.

RODO, utrzymane w duchu wprowadzenia jak najwyższych standardów ochrony danych, za pomocą wskazanego obowiązku, umożliwia przeciwdziałanie negatywnym skutkom naruszenia. Podmioty danych, poinformowane o naruszeniu bezpieczeństwa danych, mogą podjąć działania minimalizujące skutki naruszenia. Informacja o tym, co stało się z danymi, w jaki sposób doszło do naruszenia, oraz jakie dane zostały dotknięte naruszeniem, pozwala osobom których dane dotyczą zapobiegać ewentualnym naruszeniom ich praw oraz jeszcze mocniej uszczelniać system ochrony danych.

Zasięg terytorialny zastosowania RODO

RODO ma bardzo szeroki zakres zastosowania – obowiązuje nie tylko lokalnych administratorów i procesorów, ale również podmioty zagraniczne, których siedziba i infrastruktura znajduje się poza UE, a które przetwarzają dane obywateli UE.

Na podstawie dotychczasowych przepisów terytorialny zasięg stosowania unijnych przepisów o ochronie danych osobowych opierał się na kryterium położenia urządzeń technicznych, służących do przetwarzania danych osobowych. Z upływem czasu podejście to stało się jednak przestarzałe i nieadekwatne do stosowanych rozwiązań technicznych i organizacyjnych związanych z przetwarzaniem danych osobowych (np. w chmurze obliczeniowej).

RODO wychodzi naprzeciw zmianom cywilizacyjnym i dokonuje istotnej zmiany w zakresie terytorialnego zasięgu stosowania przepisów. Zgodnie z przyjętą w RODO koncepcją, w celu ustalenia terytorialnego zasięgu obowiązywania RODO, należy uwzględnić trzy opisane poniżej kryteria.

Kryterium 1. Istnienie na terenie UE jednostki organizacyjnej

RODO znajduje zastosowanie do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w UE, o ile posiada on jednostkę organizacyjną w UE lub w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego (np. placówka dyplomatyczna). RODO nie zawiera wprawdzie definicji legalnej pojęcia „jednostka organizacyjna”, jednak w preambule do RODO wyjaśniono, że chodzi o skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur (np. oddział lub spółka zależna), nie jest w tym względzie czynnikiem decydującym.

Przykład: Osoba przebywająca w Polsce korzysta z usługi internetowej, w ramach której przetwarzane są jej dane osobowe. Zagraniczny usługodawca ma w Polsce oddział lub spółkę zależną, których działalność jest skierowana do osób przebywających w Polsce (o czym może świadczyć np. sformułowanie warunków usługi w języku polskim). Osoba ta może więc dochodzić ochrony swoich praw na podstawie RODO, jak i uzupełniających RODO przepisów prawa polskiego.

Kryterium 2. Oferowanie towarów i usług na terenie UE

Nawet jeśli kryterium 1 nie znajdzie zastosowania, podmiot przetwarzający i tak będzie musiał stosować przepisy RODO, o ile oferuje towary i usługi na terenie UE. W tym kontekście należy ustalić, czy jest oczywiste, że podmioty przetwarzające dane planują oferować usługi osobom, których dane dotyczą, w co najmniej jednym państwie członkowskim Unii. Będzie tak w szczególności, gdy podmiot posługuje się językiem lub walutą powszechnie stosowanymi w państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii.

Przykład: Osoba przebywająca w Polsce korzysta z usługi internetowej, w ramach której przetwarzane są jej dane osobowe. Usługodawca nie ma w Polsce jednostki organizacyjnej (nawet oddziału czy przedstawicieli). Usługa jest jednak dostępna w języku polskim i zapłacić można za nią w złotych polskich. Osoba, której dane dotyczą może dochodzić ochrony swoich praw na podstawie RODO i uzupełniających RODO przepisów prawa polskiego.

Kryterium 3. Monitorowanie zachowania osób przebywających na terenie UE

Nawet jeżeli kryterium 1 i 2 nie znajdą zastosowania, przetwarzanie danych osobowych osób znajdujących się w UE będzie podlegać RODO także wówczas, gdy wiąże się z monitorowaniem zachowania takich osób, o ile zachowanie to ma miejsce na terytorium Unii.

W celu stwierdzenia, czy czynność przetwarzania stanowi „monitorowanie zachowania”, należy ustalić, czy aktywności osób fizycznych są obserwowane w jakikolwiek sposób (np. aktywność w Internecie śledzona za pomocą plików cookies lub informacji przekazywanych przez wyszukiwarki internetowe). Powyższe kryterium będzie spełnione niezależnie od tego, czy w odniesieniu do tak zebranych danych później stosowane będą techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.

Przykład: Osoba przebywająca w Polsce korzysta z usługi internetowej, w ramach której przetwarzane są jej dane osobowe. Usługodawca nie ma w Polsce jednostki organizacyjnej (nawet oddziału czy przedstawicieli). Usługa nie jest dostępna w języku polskim i zapłacić można za nią w obcej walucie. Usługodawca dokonuje jednak monitorowania zachowania osób przebywających w Polsce. Osoba, której dane dotyczą może dochodzić ochrony swoich praw na podstawie RODO i uzupełniających RODO przepisów prawa polskiego.

Prawie każda forma działalności połączona z przetwarzaniem danych osobowych osób przebywających w Polsce będzie pociągać za sobą zastosowanie nie tylko RODO, ale także krajowych przepisów wdrażających RODO w polskim systemie prawnym. Eksterytorialność RODO wiązać się będzie z koniecznością spełnienia wielu nowych obowiązków przez podmioty, które dotychczas mogły uniknąć stosowania unijnych przepisów dotyczących przetwarzania danych osobowych. Rozszerzenie zakresu stosowania unijnych przepisów dotyczących przetwarzania danych osobowych stanowić będzie jednak wyzwanie również dla krajowych organów, których obowiązkiem jest ich stosowanie. Trudności wystąpić mogą nie tylko na polu prowadzenia postępowań kontrolnych lub czynności sprawdzających, ale również w związku z prowadzeniem komunikacji z podmiotem, którego siedziba i przedsiębiorstwo znajdują się w kraju trzecim. Problematyczna może okazać się również egzekucja wykonania obowiązków nałożonych na taki podmiot decyzją organu.

Procedura notyfikacji naruszenia ochrony danych osobowych

Obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego stanowi w RODO nowość w stosunku do obecnego porządku prawnego. Od 25 maja 2018 r. na administratorach danych będzie ciążyć konieczność notyfikacji naruszeń takich jak utrata dostępu, poufności czy przypadki niezgodnego z prawem przetwarzania danych osobowych.

Obowiązek notyfikacji naruszeń dotyczy wyłącznie administratorów danych osobowych. Podmiot przetwarzający, choć nie podlega temu obowiązkowi bezpośrednio, jest zobowiązany bez zbędnej zwłoki zgłosić administratorowi zaistnienie naruszenia po jego stwierdzeniu.

Administrator danych jest obowiązany do prowadzenia rejestru naruszeń, w którym odnotowywane będą wszelkie naruszenia ochrony danych osobowych bez względu na to, czy mogą powodować ryzyko naruszenia praw i wolności osób fizycznych czy też nie. Rejestr ten będzie użyteczny także dla organów nadzorczych, aby w razie kontroli istniała możliwość sprawdzenia, czy administrator wywiązuje się z obowiązków z należytą starannością. Grupa Robocza art. 29 w wytycznych nr WP 250, wskazuje także kolejną funkcję rejestru ma on zapobiegać nadmiarowi zgłoszeń przesyłanych organom nadzorczym.

Odpowiedzi na pytanie „Które naruszenia należy zgłaszać organowi nadzorczemu?”, powinna każdorazowo dostarczyć ocena ryzyka praw i wolności osób fizycznych. RODO wskazuje, że nie należy zgłaszać naruszeń, w przypadku których jest mało prawdopodobne, by skutkowały ryzykiem naruszenia praw i wolności osób fizycznych. RODO nie dostarcza konkretnego wyznacznika , w odniesieniu do którego naruszenie można uznać za kwalifikujące się do notyfikacji Ocena każdego z przypadków została pozostawiona tym samym administratorowi danych. Termin w którym należy dokonać zgłoszenia wynosi 72 godziny, dlatego ważne, by administrator zapewniał możliwości organizacyjne, aby odpowiednio szybko stwierdzić naruszenie, a następnie dokonać możliwie sprawnej notyfikacji po dokonaniu oceny ryzyka i właściwego wpisu do rejestru naruszeń.

RODO ustanawia rozsądne ułatwienie w stosowaniu obowiązku notyfikacyjnego. Mianowicie, po zgłoszeniu naruszenia, notyfikację można uzupełniać systematycznie, w miarę wychodzenia na jaw nowych informacji i okoliczności w sprawie jego zajścia. Kolejne informacje wymagane przez przepisy mogą być dosłane później niż we wskazanym terminie 72 godzin, o ile nie da się ich udzielić w tym samym czasie. Ponadto, udogodnieniem związanym z redukcją dokumentacji jest rozwiązanie, które proponuje Grupa Robocza art. 29 w wytycznych nr 250 – rejestr naruszeń można prowadzić w ramach rejestru czynności przetwarzania, o ile czyni zadość wszystkim wymaganiom wynikającym z RODO.

Odpowiedzialność cywilnoprawna za naruszenie przepisów o ochronie danych osobowych w świetle RODO oraz projektu ustawy o ochronie danych osobowych

Obecnie podstawą odpowiedzialności cywilnoprawnej za naruszenie ochrony danych osobowych są przepisy o ochronie dóbr osobistych (w szczególności art. 23 i 24 k.c.) – choć w art. 23 k.c. nie wymieniono ochrony danych osobowych wprost, to jednak za odrębną kategorię dobra osobistego uznaje się prywatność, a w jej ramach chroniona jest osoba, której dane są przetwarzane. Wszystko wskazuje na to, że począwszy od 25 maja 2018 r. podstawy te ulegną poszerzeniu o możliwość bezpośredniego powołania się na przepisy RODO dotyczące odpowiedzialności odszkodowawczej za naruszenie zasad ochrony danych osobowych, a ponadto na uzupełniające regulacje RODO przepisy projektowanej nowej ustawy o ochronie danych osobowych.

Za sprawą RODO zyskamy nową podstawę dochodzenia roszczeń cywilnoprawnych (jest to pogląd podzielany przez autorów, choć nie jest on powszechny), w postaci art. 82 RODO. W art. 82 ust. 1 RODO wskazano, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać odszkodowanie za poniesioną szkodę od administratora lub podmiotu przetwarzającego. Pojawia się pytanie, czy oprócz odpowiedzialności odszkodowawczej, której dotyczy art. 82 RODO, celowe jest wprowadzenie dodatkowych podstaw odpowiedzialności cywilnoprawnej. Chodzi w szczególności o art. 79 ust. 1 RODO, który zapewnia prawo podmiotu danych osobowych do skutecznego środka ochrony prawnej przed sądem, jeżeli ten uzna, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem rozporządzenia. Przyjąć należy, że art. 79 ust. 1 RODO obejmuje zarówno środki o charakterze materialnoprawnym jak i procesowym. Wątpliwość dotyczy natomiast tego czy wymaga on wprowadzenia dodatkowych przepisów do polskiego porządku prawnego. Można bowiem argumentować, że w polskim systemie prawnym istnieją skuteczne środki ochrony prawnej przed sądem, w przypadku gdy podmiot danych uzna, że prawa przysługujące mu na mocy RODO zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem rozporządzenia. Są nimi właśnie przepisy o ochronie dóbr osobistych.

Wątpliwości te zostały wprost rozstrzygnięte w projekcie ustawy o ochronie danych osobowych, którego rozdział 8 (art. 78-81) poświęcono odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych. Na mocy projektowanego art. 78 ust. 1 każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, będzie mogła żądać zaniechania tego działania, a także może żądać, ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków. W art. 78 ust. 2 – 3 projektu ustawy przesądzono, że dochodzenie roszczeń w oparciu o art. 78 projektu nie wyłącza możliwości wystąpienia z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych. Chodzi zarówno o możliwość powołania art. 82 RODO, jak i obecnych przepisów o ochronie dóbr osobistych.

W praktyce jednak, zwłaszcza jeżeli projekt nowej ustawy o ochronie danych osobowych stanie się prawem w prezentowanym obecnie brzmieniu, najistotniejszą kwestią, która będzie wymagała rozstrzygnięcia, pozostanie wzajemny stosunek poszczególnych podstaw dochodzenia przez osoby fizyczne roszczeń z tytułu naruszenia ich praw określonych w przepisach dotyczących przetwarzania danych osobowych.

 

Incydent naruszenia bezpieczeństwa danych osobowych

Nie każde wadliwe wypełnianie obowiązków praw administratora danych, czy też niewłaściwa realizacja uprawnień przysługujących podmiotom danych, będzie stanowiło incydent naruszenia danych osobowych.

Zgodnie z definicją zawartą w art. 4 pkt. 12 RODO, naruszeniem ochrony danych będzie naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Aby mówić więc o naruszeniu, musi dojść do skutku przewidzianego w powyższej definicji. Taka sytuacja będzie wymagała od administratora danych konkretnych zachowań.

Po pierwsze, administrator danych musi dokonać oceny skutków naruszenia dla ochrony danych. Niezbędne będzie przeanalizowanie charakteru, zakresu, kontekstu i celów przetwarzania. Ocena skutków posiadać ma konkretną, ustaloną przepisami RODO konstrukcję i ma na celu zminimalizowanie ryzyka wystąpienia naruszenia bezpieczeństwa ochrony danych. Administrator musi pamiętać również o obowiązku notyfikacji – zgłoszeniu incydentu naruszenia bezpieczeństwa danych do PUODO (następcy GIODO). Koniecznym może okazać się także powiadomienie podmiotów danych o zaistniałym naruszeniu bezpieczeństwa.

Nie wszystkie naruszenia będą wymagać zgłoszeń do PUODO czy też powiadamiania o naruszeniu osób, których dane dotyczą. Każdorazowo jednak należy taką ewentualność wziąć pod uwagę, a czynnikiem pomagającym w decyzji o zgłoszeniu, ma być dla administratora możliwość powodująca, by to naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Tak więc, to na administratorze spoczywa decyzja o tym, które naruszenia bezpieczeństwa danych będzie zgłaszał (pamiętając jednocześnie o przewidzianej w RODO możliwości sankcji za brak zgłoszeń o naruszeniach powodujących wysokie ryzyko naruszania praw i wolności osób fizycznych) do PUODO, oraz o których będzie informował podmioty danych.

RODO a nowe prawo kosmetyczne

Prace nad projektem ustawy o produktach kosmetycznych, doprecyzowującej zasady funkcjonowania rynku kosmetycznego wynikające z rozporządzenia 1223/2009[1], trwają od ponad roku. W tym czasie organizacje branżowe zgłosiły w ramach konsultacji publicznych szereg uwag i zastrzeżeń do projektu, oceniając wiele z przedstawionych rozwiązań jako nieprecyzyjnych i nieprzystających do praktyki rynkowej.

Jedną z najbardziej krytykowanych i budzących zastrzeżenia wśród przedstawicieli branży kosmetycznej koncepcji przedstawionych w projekcie był zakaz powierzenia przetwarzania danych (w tym osobowych). Zgodnie z propozycją twórców projektu osoba odpowiedzialna lub dystrybutor nie mieli mieć możliwości powierzania przetwarzania danych. Rozwiązanie to pozostawało jednak w sprzeczności z powszechnie stosowaną w tym względzie praktyką. Wprowadzenie planowanego zakazu utrudniałoby np. dokonywanie przez klientów zgłoszeń działań niepożądanych (o czym poniżej) za pośrednictwem stron internetowych bądź infolinii.

Z tego powodu w aktualnej wersji projektu (datowanej na 1.02.2018 r.) zrezygnowano z wprowadzenia zakazu. Ma to istotne konsekwencje w świetle nie tylko obecnie obowiązujących przepisów o ochronie danych osobowych, ale także rozporządzenia RODO, które zacznie być stosowanie 25.05.2018 r. Dystrybutorzy kosmetyków i tzw. osoby odpowiedzialne będą musieli wkrótce zadbać, aby powierzanie przetwarzania danych osobowych odbywało się zgodnie z przepisami wynikającymi z RODO.

Warto mieć przy tym na uwadze, iż rozporządzenie 1223/2009 przewiduje obowiązek informowania właściwych organów państwa członkowskiego o ciężkim działaniu niepożądanym – dlatego z dniem wejścia w życie projektowanej ustawy uruchomiony zostanie System Informowania o Ciężkich Działaniach Niepożądanych Spowodowanych Stosowaniem Produktów Kosmetycznych („System”). Administratorem Systemu będzie Główny Inspektor Sanitarny, powierzający przetwarzanie danych zawartych w Systemie ośrodkowi administrującemu, któremu należy zgłaszać ciężkie działania niepożądane. Zgłoszenie może pochodzić od użytkownika końcowego bądź od osoby odpowiedzialnej, dystrybutora lub osoby zatrudnionej w podmiocie wykonującym działalność leczniczą lub wykonującej zawód medyczny.

Projekt ustawy wprowadza przy tym następujące zasady przetwarzania danych osobowych w ramach systemu informowania o ciężkich działaniach niepożądanych:

1)         W przypadku zgłoszenia działania niepożądanego przez użytkownika końcowego do osoby odpowiedzialnej lub dystrybutora, osoba odpowiedzialna lub dystrybutor przetwarza te dane osobowe, jako ich administrator;

2)         Dane osobowe są przechowywane przez osobę odpowiedzialną lub dystrybutora w warunkach uniemożliwiających dostęp do nich osób innych niż wyznaczone.

3)         Dane osobowe są przechowywane przez osobę odpowiedzialną lub dystrybutora nie dłużej niż rok od zakończenia weryfikacji zgłoszenia działania niepożądanego.

4)         Osoba odpowiedzialna lub dystrybutor są obowiązani do stworzenia warunków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą.

5)         Osoba odpowiedzialna lub dystrybutor oraz osoby zatrudnione w tych podmiotach lub wykonujące czynności w ramach powierzenia przetwarzania danych są obowiązane do zachowania w tajemnicy informacji związanych z danymi.

 

[1] Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1223/2009 z dnia 30 listopada 2009 r. dotyczące produktów kosmetycznych (Dz. Urz. UE L 342, 22.12.2009, s. 59–209).

Nowy obowiązek informacyjny

Obowiązek informacyjny, znany w świetle obowiązującej Ustawy o Ochronie Danych Osobowych, pod reżimem Ogólnego Rozporządzenia o Ochronie Danych Osobowych zostaje mocno zmieniony, a ściślej mówiąc, rozszerzony. Podmioty danych mają prawo wiedzieć, jakim procesom będą poddawane ich dane osobowe oraz mogą w każdej chwili domagać się wyczerpujących informacji na temat procedur przetwarzania danych.

Skoro podmioty danych mają prawo wiedzieć, to administratorzy danych mają obowiązek informować. Kogo? Kiedy? Jak? I o czym?

Informować należy wszystkie osoby, których dane administrator pozyskał, nie tylko na zasadzie zgody i nie tylko bezpośrednio od osoby, której dane dotyczą. Wszelkie formy pozyskania danych oraz wszystkie podstawy do ich przetwarzania rodzą potrzebę wypełniania obowiązku informacyjnego.

Co ważne, obowiązek informacyjny powinien zostać spełniony w trakcie pozyskania danych osobowych, co ma powodować, że podmiot danych zapozna się z klauzulami informacyjnymi, zanim jego dane zostaną poddane procesom przetwarzania.

Kwestia formy przekazania informacji od administratora nie jest ograniczona. Może to być klauzula zawarta na piśmie lub przekazana elektronicznie. Ważne, by podmiot danych miał realną szansę zapoznać się z treścią klauzuli, w sposób nie generujący po jego stronie żadnych opłat, a administrator mógł udowodnić, że wypełnił obowiązek informacyjny.

I kwestia najważniejsza – sama treść klauzuli informacyjnej. Oprócz kwestii wskazanych w art. 24 i 25 obecnej UODO, administrator zobligowany jest zamieścić także informacje wskazane w art. 13 i 14 RODO. W przepisie tym znajdziemy konieczność szczegółowego informowania o kwestiach związanych z administratorem danych i jego danych kontaktowych, o sposobie pozyskania danych, sposobach ich przetwarzania oraz o uprawnieniach podmiotów danych wraz z podaniem podstaw prawnych na każdą wymienioną okoliczność. Dodatkowo, zgodnie z motywem 60 Rozporządzenia, niezbędne jest wskazanie w klauzuli informacyjnej celu przetwarzania.

Choć motyw 58 RODO zakłada, że treści informacyjne, mają być przedstawione w sposób przejrzysty, łatwo zrozumiały, zwłaszcza dla dziecka i co ciekawe zwięzły, to klauzula spełniająca wszystkie wymogi RODO, będzie zdecydowanie dłuższa od poprawnych pod względem przepisów UODO, obecnie stosowanych klauzul.