Autor: Natalia Groszyk

Telemedycyna a RODO: czy na odległość oznacza bezpiecznie?

Stan epidemii trwa. Wzrasta ilość ograniczeń dotyczących m.in. przemieszczania się i gromadzenia ludzi. Koronawirus i choroba, którą wywołuje nie jest jedynym schorzeniem pacjentów. Z tego powodu wzrasta znaczenie telemedycyny, która umożliwia skonsultowanie niektórych chorób z użyciem środków porozumiewania się na odległość i tym samym uniknąć wychodzenia z domu.

Czym jest telemedycyna? To wykorzystanie technologii informacyjnych i komunikacyjnych dla świadczenia usług medycznych w sytuacji, gdy pracownik służby zdrowia i pacjent nie znajdują się w tym samym miejscu. Do korzystania z telemedycyny niezbędny jest telefon albo komputer i łącze internetowe.  Możemy wyróżnić różne podtypy telemedycyny w zależności od rodzaju świadczonych usług (specjalizacji np. telekardiologia) oraz sposobu ich świadczenia (usługa świadczona w czasie rzeczywistym e-wizyta, monitorowanie stanu zdrowia, przechowywanie danych).

Oznacza to, że usługi opieki zdrowotnej są świadczone na odległość. Taki sposób świadczenia usługi wiąże się z przesyłaniem danych osobowych pacjenta, w tym danych dotyczących stanu zdrowia, czyli danych szczególnych kategorii (dla przypomnienia – motyw 35 RODO uzupełnia definicje danych o stanie zdrowia zawartą w art. 4 pkt 15 RODO).

Co to oznacza?

Dostosowanie całego procesu przetwarzania danych do wymogów RODO, a przede wszystkim zapewnienia adekwatnego poziomu bezpieczeństwa przetwarzania danych z wykorzystaniem rozwiązań  telemedycznych, zgodnie z art. 32 RODO. Przepisy te nie dają jednak gotowych rozwiązań. To podmiot udzielający świadczeń (administrator danych) musi zdecydować czy zastosowane środki bezpieczeństwa są wystarczające. W tym celu powinien przeprowadzić – z uwagi na przetwarzanie danych szczególnych kategorii – ocenę skutków dla ochrony danych, tak aby móc właściwe ocenić ryzyko i odpowiednio nim zarządzić. Warto podkreślić, że chodzi o ryzyko dla praw i wolności podmiotów danych a nie dla kondycji finansowej podmiotu świadczącego usługi telemedyczne.

Nowoczesna technologia, wykorzystująca szybkie procesy i algorytmy umożliwia przesyłanie obrazów o wysokiej rozdzielczości, a także interaktywną transmisję audiowizualną. Szczególnie obecnie jest to sposób świadczenia usług, który ma szansę na dynamiczny rozwój, do nowinek technologicznych związanych z przetwarzaniem danych zdrowotnych należy natomiast podchodzić z dużą ostrożnością.

Podmioty, które korzystają z dostawców gotowych rozwiązań telemedycznych powinny podpisać z dostawcą umowę powierzenia przetwarzania danych osobowych. Przed podpisaniem takiej umowy należy dokonać wnikliwej oceny podmiotu przetwarzającego poprzez m.in. żądanie wyników przeprowadzonych analiz ryzyka, wskazania stosowanych zabezpieczeń, sprawdzenia czy system daje możliwość realizacji praw podmiotów danych, oraz czy odpowiada wymogom związanym z przechowywaniem dokumentacji medycznej, sprawdzenia czy dostawca korzysta z usług podwykonawców oraz czy dane są przekazywane poza Europejski Obszar Gospodarczy. Dobrze gdy dostawca korzysta z międzynarodowych norm bezpieczeństwa.

Poza kwestami związanymi z bezpieczeństwem danych w systemach teleinformatycznych, podmiot świadczący usługi telemedyczne zobowiązany jest do wdrożenia i stosowania odpowiednich  procedur zapewniających zgodność przetwarzania danych z RODO, np. procedura reakcji na incydenty, realizacji żądań podmiotów danych, przestrzeganie zasad privacy by design / privacy by default. Podmiot świadczący usługi nie może też zapomnieć o jasnej i zrozumiałej dla pacjenta informacji dotyczącej przetwarzania jego danych osobowych.

Kara Prezesa UODO za uniemożliwienie kontroli dla firmy z branży telemarketingowej

Urząd Ochrony Danych Osobowych opublikował decyzję nakładającą karę finansową w wysokości 20 tys. zł na spółkę Vis Consulting Sp. z o.o. w likwidacji z siedzibą w Katowicach zajmującej się telemarketingiem. Karę nałożono za uniemożliwienie przeprowadzenia kontroli. Właścicielowi spółki grozi dodatkowo odpowiedzialność karna.

UODO przekazał, że jego przedstawiciele najpierw nie zastali nikogo w siedzibie spółki a następnie zostali poinformowani przez jej pełnomocnika, że kontrola się nie odbędzie. Co więcej, wkrótce władze spółki podjęły decyzję o likwidacji.

Takie działania Urząd zakwalifikował jako celowe uniemożliwianie kontroli organu administracji publicznej, co stanowi naruszenie m.in. art. 31 RODO nakładającego na administratorów oraz podmioty przetwarzające obowiązek współpracy z organem nadzorczym na jego żądanie. Zdaniem organu nadzorczego doszło także do naruszenia art. 58 ust. 1 lit. e i f RODO poprzez brak zapewnienia organowi dostępu do danych, do niezbędnych informacji oraz do pomieszczeń służących do przetwarzania danych.

Wymierzając karę pieniężną Prezes UODO dopatrzył się okoliczności obciążających w sprawie a mianowicie uznał, że stwierdzone naruszenie ma znaczną wagę i poważny charakter. Organ uznał, że spółka w sposób świadomy udaremniła przeprowadzenie kontroli co miało na celu uniemożliwienie zebrania przez Prezesa UODO dowodów potwierdzających niezgodne z prawem przetwarzanie danych osobowych. Takie działanie organ ocenił jako naganne. Organ nadzorczy nie dopatrzył się natomiast żadnych okoliczności łagodzących.

Ponadto Prezes UODO złożył zawiadomienie do prokuratury o podejrzeniu popełnienia przestępstwa z art. 108 ust. 1 ustawy o ochronie danych osobowych przez władze spółki. Zgodnie z tym przepisem za udaremnianie lub utrudnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych, grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch.

W tym przypadku okazało się, że uchylenie się spółki przed kontrolą  okazało się nieskuteczne, ponieważ kara i tak została nałożona. Nazwa spółki została podana do publicznej wiadomości, a w stosunku do właściciela spółki zostało wszczęte postępowanie karne.

Co ciekawe UODO zamierzał dokonać kontroli nie z powodu zgłoszenia naruszenia czy zawiadomienia przez osobę, którego dane ukarana spółka przetwarzała, lecz wskutek kontroli u innego podmiotu, z którym ukarana spółka współpracowała w zakresie outsorcingu usług telemarketingowych.

Warto mieć na uwadze, aby podczas dokonywania wyboru kontrahentów starannie zweryfikować, czy firma, z którą zamierzamy współpracować, przestrzega wymagań określonych w przepisach dotyczących ochrony danych osobowych, ponieważ w razie negatywnych wyników kontroli UODO może zechcieć skontrolować również kontrahentów, którzy współpracowali z kontrolowaną firmą w zakresie procesów, w których wykryto nieprawidłowości.

Źródło:

  1. Komunikat UODO https://uodo.gov.pl/pl/138/1480
  2. Link do decyzji https://uodo.gov.pl/decyzje/ZSPR.421.19.2019

Zalecenia i wytyczne dotyczące pseudonimizacji

European Union Agency for Cybersecurity (ENISA) opublikowała w listopadzie 2019 r. wytyczne  dotyczące technik i najlepszych praktyk w zakresie pseudonimizacji: https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices

Powstanie raportu związane jest z realnymi problemami i wyzwaniami, obserwowanymi w związku z wdrażaniem pseudonimizacji w praktycznych zastosowaniach.

Wychodząc od kilku scenariuszy pseudonimizacji, wytyczne określają najpierw główne strony, które mogą być zaangażowane w proces pseudonimizacji wraz z ich możliwymi rolami. Następnie analizują różne modele adwersarzy i sposoby ataków na pseudoidentyfikatory, takie jak atak siłowy, atak słownikowy, czy zgadywanie na podstawie informacji pośrednich. Ponadto wytyczne przedstawiają główne techniki pseudonimizacji (np. licznik, generator liczb losowych, kryptograficzna funkcja skrótu, kod uwierzytelniania wiadomości i szyfrowanie) oraz dostępne obecnie podejścia pseudonimizacji (np. pseudonimizacja deterministyczna, częściowo lub w pełni losowa).

W wytycznych omówiono kryteria wyboru właściwych technik pseudonimizacji, takich jak ochrona, skalowalność i odzyskiwanie danych. Analizowane są także konkretne przypadki zastosowania różnych identyfikatorów, takich jak adres IP lub adres e-mail. Omówiony jest również bardziej złożony przypadek zastosowania pseudonimizacji wielu rekordów danych, z analizą możliwości ponownej identyfikacji.

W dokumencie podkreślono, że nie istnieje tylko jedno rozwiązanie lub jeden sposób na wdrożenie pseudonimizacji, który sprawdza się we wszystkich branżach lub we wszystkich scenariuszach zastosowań. Wręcz przeciwnie, prawidłowe zastosowanie pseudonimizacji wymaga wysokiego poziomu kompetencji, aby finalny jej wynik minimalizował zagrożenie atakami kryptologicznymi lub reidentyfikacyjnymi, przy jednoczesnym zachowaniu stopnia użyteczności niezbędnego do przetwarzania danych opatrzonych pseudonimem.

Chociaż wszystkie znane techniki pseudonimizacji mają swoje własne, dobrze zrozumiałe, nieodłączne właściwości, to w praktyce wybór podejścia nie jest trywialnym zadaniem. Należy dokładnie przeanalizować kontekst, w którym ma być stosowana pseudonimizacja, biorąc pod uwagę wszystkie pożądane cele pseudonimizacji (dlaczego tożsamość musi być ukryta, jaka jest pożądana użyteczność pseudonimów, itp.). Przy wyborze właściwej techniki pseudonimizacji należy zatem przyjąć podejście oparte na ryzyku, tak aby właściwie ocenić i zminimalizować zidentyfikowane zagrożenia dla prywatności. W istocie, sama ochrona dodatkowych danych, które są wymagane do ponownej identyfikacji, choć jest warunkiem koniecznym, w niewystarczającym stopniu zapewnia eliminację wszystkich zagrożeń związanych z możliwością depersonalizacji.

Człowiek – najsłabsze ogniwo

W tym artykule nie chodzi o koronawirusa. W każdym razie nie bezpośrednio.

Od paru dni większość pracowników biurowych korzysta z pracy zdalnej. Wzrosło zapotrzebowanie na e-usługi. Powszechna cyfryzacja stała się faktem.

Dynamicznie wzrasta ilość danych osobowych przetwarzanych w systemach, a przedsiębiorcy masowo korzystają z rozwiązaniach chmurowych. Ci, którzy na prawdę wdrożyli RODO w swoich organizacjach, duży nacisk położą na kwestie związane z bezpieczeństwem przetwarzania danych w chmurze, a przed podpisaniem umowy powierzenia, zweryfikują dostawcę tych rozwiązań.

W obecnym zamieszaniu może umknąć fakt, że dane w dalszym ciągu są przetwarzane także w postaci papierowej. Te osoby, które nie lubią czytać dokumentów w postaci elektronicznej, wydrukują je.

Należy zwrócić uwagę na stosowanie odpowiednich zabezpieczeń, tak aby nie doszło do naruszenia zasad przetwarzania danych, jak to miało miejsce na Islandii w Narodowym Centrum Medycyny Uzależnienia.

Narodowe Centrum Medycyny Uzależnień jest organizacją pozarządową, która prowadzi klinikę detoksykacji oraz cztery centra rehabilitacji ambulatoryjnej, a także ośrodek usług rodzinnych i ośrodek socjalny na Islandii.

Do naruszenia doszło, gdy były pracownik NCMU otrzymał pudełka zawierające jego rzeczy osobiste, które – odchodząc – zostawił. Okazało się jednak, że pudełka te zawierały również dane pacjentów, w tym dokumentację medyczną 252 byłych pacjentów oraz zapisy zawierające nazwiska około 3.000 osób, które uczestniczyły w rehabilitacji z powodu nadużywania alkoholu i substancji.

Po przeprowadzeniu dochodzenia islandzki organ nadzorczy stwierdził, że naruszenie było wynikiem braku wdrożenia odpowiednich zasad ochrony danych oraz odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przez administratora. Brak odpowiednich środków ochrony danych osobowych stanowił naruszenie, między innymi, art. 5 ust. 1 lit. f oraz art. 32 RODO.

5 marca 2020 r. islandzki organ nadzoru podjął decyzję o nałożeniu grzywny administracyjnej w wysokości 3.000.000 ISK (20.643 EUR) na Narodowe Centrum Medycyny Uzależnienia.

Podsumowując, pamiętajmy, że były pracownik to osoba, która nie jest już upoważniona do przetwarzania danych osobowych i samo odebranie jej dostępów do zasobów sieciowych w organizacji nie wystarczy. Ważne jest również upewnienie się, że pracownik nie ma dostępu do dokumentacji papierowej zawierającej dane osobowe.

 

A wszystkim tym, którzy wpisują się w nurt powszechnej cyfryzacji i wypełniają swoje zadania z wykorzystaniem komunikacji elektronicznej, polecamy nasze e-learningowe szkolenie z zakresu ochrony danych osobowych. Przetwarzanie danych w wersji papierowej też w nim uwzględniliśmy.

 

Szczegóły w naszej zakładce SZKOLENIA : https://rodoradar.pl/szkolenia/e-learning-rodo-dla-pracownikow/

Pliki cookies – kierunek interpretacji, w którym zmierzamy

Bez ciasteczek ani rusz

Mechanizm wykorzystywania plików cookies w celu identyfikacji użytkownika Internetu stosowany jest od ponad 20 lat. Jest on bardzo przydatny zarówno dla właścicieli stron, jak również dla użytkowników. Dzięki plikom cookies sklep internetowy „pamięta” co wrzuciliśmy do koszyka, jakie ustawienia strony wybraliśmy, a także nie musimy za każdym razem wypełniać ankiety satysfakcji z zakupów. Tego rodzaju pliki są jednak wykorzystywane również w celach przedstawiania nam dopasowanych lub spersonalizowanych treści reklamowych, a możliwe jest to dopiero po utworzeniu naszego profilu, który może nas śledzić na kolejnych odwiedzanych przez nas stronach.

Era przed-RODO

Biorąc pod uwagę tylko polskie przepisy, przed wejściem w życie RODO, wystarczające było poinformowanie użytkownika odwiedzającego stronę internetową o stosowaniu tego rodzaju plików. Przepis art. 173 ustawy Prawo telekomunikacyjne zawiera bowiem jasną regułę, że użytkownik końcowy może wyrazić zgodę na instalację plików cookies na jego urządzeniu za pomocą ustawień przeglądarki, z której korzysta. Taki stan prawny spowodował, że powszechnie wykorzystywany jest mechanizm tzw. cookie wall, który w skrócie polega tym, że na stronie internetowej wyświetlany jest baner informujący o zainstalowaniu plików cookies na urządzeniu użytkownika i jeśli użytkownik chce korzystać ze strony internetowej, to musi zgodzić się na otrzymanie przypisanie do swojego profilu plików cookies.

Warto w tym miejscu zaznaczyć, że co do zasady pliki cookies identyfikują urządzenie końcowe (komputer, smartfon), a nie konkretną osobę. Jeżeli dwie osoby korzystają z jednego komputera to pliki cookies nie dadzą możliwości ich rozróżnienia. W konsekwencji można argumentować, że pliki cookies nie przetwarzają danych osobowych (bo nie pozwalają na identyfikację konkretnej osoby), a co za tym idzie wymogi określone w przepisach dotyczących przetwarzania i ochrony danych osobowych nie mają w tym przypadku zastosowania.

RODO zmienia postrzeganie ciasteczek

Rozpoczęcie stosowania RODO zmieniło jednak postrzeganie plików cookies. Powodu zmiany podejścia można upatrywać w szybkim rozwoju tego mechanizmu (w tym szerokiego wykorzystania plików cookies firm trzecich) i znacznej ingerencji w sposób korzystania przez użytkowników z Internetu. Nie da się ukryć, że reklamy kontekstowe i behawioralne towarzyszą nam dziś na każdym kroku i nierzadko mogą być bardzo frustrujące.

Dziś nikt głośno nie kwestionuje, że wykorzystywanie plików cookies jest objęte wymogami przepisów RODO. Ciekawy jest jednak kierunek interpretacji tych przepisów, w którym zmierzają organy nadzorcze zachodnich krajów unijnych, a także Europejska Rada Ochrony Danych. Wynika on z przepisów RODO dotyczących warunków jakie musi spełniać zgoda podmiotu danych, na przetwarzanie jego danych osobowych (w tym przypadku zawartych w pliku cookies oraz jego profilu utworzonego na podstawie tych informacji). Ponieważ zgoda musi być wyrażona dobrowolnie oceniając jej zgodność uwzględnia się, czy od zgody nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

W konsekwencji mechanizm blokowania dostępu do strony internetowej, serwisu lub innej usługi w przypadku niewyrażenia zgody na instalację plików cookies zaczyna być kwestionowany. Tego rodzaju stanowiska wydało już kilka podmiotów:

  1. Europejska Rada Ochrony Danych – stanowisko do projektu dyrektywy ePrivacy (Dokument pdf).
  2. Brytyjski organ nadzorczy (ICO) – wytyczne dot. stosowania plików cookies.
  3. Francuski organ nadzorczy (CNIL) – wytyczne dot. stosowania plików cookies (https://www.cnil.fr/).

Z prawnego punktu widzenia rozróżniane są pliki cookies techniczne (utrzymujące sesję użytkownika na stronie itp.), statystyczne (zbierające statystyki odwiedzin, np. lokalizacja z której wchodzi użytkownik) oraz reklamowe (śledzące aktywność i dopasowujące treść reklam). Z nowego kierunku interpretacji wynika, że tylko cookies techniczne mogą być wykorzystywane bez zgody użytkownika, natomiast zarówno statystyczne i reklamowe mogą być stosowane po uzyskaniu jego uprzedniej zgody.

Oznacza to, że właściciele stron internetowych powinni zacząć wdrażać mechanizmy, które nie będą zapisywały plików cookies na urządzeniach końcowych użytkowników dopóki taki użytkownik nie wyrazi na to zgody. W chwili obecnej niewiele podmiotów oferuje takie rozwiązania informatyczne i takie narzędzia będą musiały być dopiero wypracowane.

Podsumowanie

Wydaje się, że nie uda się już wyłączyć plików cookies spod stosowania przepisów RODO i właściciele stron internetowych powinni zacząć na poważnie podejść do zapewnienia zgodności tego obszaru. Widać wyraźnie, że organy nadzorcze dążą do tego, aby spowodować, że każdy użytkownik Internetu będzie odwiedzał strony w domyślnie ustawionym trybie „incognito”, a więc trybie działania przeglądarki, w którym pliki cookies nie są zapisywane.

Zwalczanie koronawirusa a RODO

Podczas gdy Europa zmaga się z narastającą falą zakażeń koronawirusem Covid-19, wśród pracodawców, przewoźników oraz organizatorów większych zgromadzeń mnożą się pomysły w jaki sposób wesprzeć działania prewencyjne i zabezpieczające przed nowym zagrożeniem. Część z wdrażanych rozwiązań należy uznać za jak najbardziej uzasadnione – na przykład informowanie pracowników o prawidłowej higienie rąk, przedstawianie schematów działania w przypadku zaobserwowania u siebie objawów chorobowych, czy umożliwianie pracownikom pozostania w domu i wykonywania pracy zdalnie, jeśli wracają z rejonów występowania koronawirusa. Jednak obawa przed wirusem skłania niektóre podmioty do wprowadzenia środków, które są wątpliwe pod względem ochrony prawa do prywatności – w tym przepisów prawa ochrony danych osobowych.

Deklaracje

Jednym z rozwiązań budzących wątpliwość, jest zbieranie od pracowników lub osób przychodzących na teren określonego obiektu, deklaracji o tym, czy w ostatnim czasie odwiedzali rejony „podwyższonego ryzyka”, w których wykryto ogniska występowania koronawirusa – Chiny, Włochy, Korea Południowa – czy mieli oni bezpośrednio styczność z osobą zakażoną, bądź czy zaobserwowali u siebie objawy charakterystyczne dla osób zakażonych. Zdarza się, że osoba podpisująca deklarację zobowiązuje się do powiadomienia pracodawcy o tym, jeśli takie objawy u niej wystąpią oraz zobowiązuje się do poddania się leczeniu.

Wydaje się, że wymaganie składania takich oświadczeń jest formą zbyt daleko ingerującą w prywatność osób, w szczególności pracowników, którzy ze względu na stosunek pracy mogą czuć się przymuszeni do składania podobnych oświadczeń. Zakres zbieranych danych obejmuje przecież w tym przypadku informacje dotyczące miejsca pobytu określonej osoby, stanu jej zdrowia, jak i w niektórych wypadkach kręgu osób, w którym się obraca.

Pod względem prawa ochrony danych powinniśmy w pierwszej kolejności określić cel zbierania danych osobowych. W tym wypadku będzie nim ochrona zdrowia określonej grupy ludzi (np. pracowników). Zgodnie z zasadą adekwatności (art. 5 ust. 1 lit. c RODO) zbierane dane powinny być przetwarzane w zakresie niezbędnym do osiągnięcia celu oraz nie mogą być nadmiarowe. Pracodawcy często nie są w stanie podać konsekwencji powiadomienia przez pracownika o tym, że przebywał w rejonach występowania koronawirusa lub że miał kontakt z osobami przejawiającymi objawy charakterystyczne dla zakażenia Covid-19. Tak więc zdarza się, że dane zbierane są bez wskazania konkretnego celu i nie ma możliwości wykazania proporcjonalności takiego działania. Administrator danych ma w każdym wypadku obowiązek zagwarantować, że cel zbierania danych będzie przez niego jasno wskazany i zakomunikowany podmiotom danych, a zakres wymaganych informacji nie będzie nadmierny.

Mierzenie temperatury

Innym ze stosowanych rozwiązań jest mierzenie temperatury przy wejściu na teren obiektu. Tu również powstaje wątpliwość czy tego typu działanie jest zgodne z przepisami ochrony danych osobowych. Dane dotyczące temperatury ciała można uznać za dane dotyczące zdrowia, a te można przetwarzać jedynie w ściśle określonych przypadkach (zob. art. 9 RODO). Na chwilę obecną trudno wskazać jednoznaczną podstawę prawną do przeprowadzania takich badań – zarówno w przypadku organizacji imprez masowych jak i w przypadku zakładów pracy.  Wydaje się, że takie rozwiązanie w większości przypadków na obecnym etapie w Polsce, może zostać uznane za nadmierne, dlatego należy zachować ostrożność przed podejmowaniem tak daleko idących środków.

Wydaje się więc, że racjonalnym oraz pozbawionym większego ryzyka działaniem jest informowanie osób przebywających na terenie, którym zarządzamy lub pracowników o potencjalnych zagrożeniach związanych z podróżami w tereny występowania wirusa oraz o środkach profilaktycznych, jak np. przesyłania mailowo pracownikom informacji o higienie rąk, czy sposobie kontaktu z lekarzem w razie zauważenia u siebie objawów.

Należy również śledzić zalecenia Głównego Inspektora Sanitarnego, ponieważ wymagane środki ochrony mogą ulec zmianie. Wciąż trwają prace legislacyjne nad przyjęciem ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych,  której założeniem jest między innymi zwiększenie uprawnień pracodawców np. w zakresie zobowiązania pracowników do pracy zdalnej.

72h na zgłoszenie incydentu do PUODO – od kiedy liczymy czas?

Podejrzenie incydentu – analiza – stwierdzenie incydentu – zgłoszenie incydentu do Prezesa Urzędu Ochrony Danych Osobowych. Tak w dużym skrócie można przedstawić pierwszą część procesu reakcji na incydent bezpieczeństwa ochrony danych osobowych w organizacji. I na to wszystko tylko 72 godziny. Który moment tego procesu jest właściwym na rozpoczęcie odliczania? Co w przypadku, kiedy incydent ma miejsce u procesora, a nie administratora danych?

Przepis art. 33 ust. 1 RODO mówi o administratorze, który „bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu”.

W przepisie pojawia się oznaczenie czasu, wskazujące na etap „stwierdzenia”, co oznacza, że moment wykrycia, czy podejrzenia incydentu, nie jest tym, od którego płyną wspomniane 72h. Zwłaszcza że administrator w trakcie analizy podejrzenia incydentu, musi wziąć pod uwagę czynnik ryzyka naruszenia praw i wolności osób fizycznych, ponieważ to ten czynnik decyduje o powstaniu obowiązku zgłoszenia incydentu do PUODO.

Analogiczną sytuację przedstawia przykład incydentu, który zdarzył się u procesora. To administrator odpowiedzialny jest za analizę zdarzenia oraz zgłoszenie zdarzenia zakwalifikowanego jako incydent do PUODO, nawet jeśli do incydentu doszło w organizacji podmiotu przetwarzającego. Ten zobowiązany jest z kolei, do spełniania szeregu wymogów dotyczących stosowanych środków bezpieczeństwa przetwarzania powierzonych danych, oraz bezzwłocznego poinformowania administratora o podejrzeniu incydentu, a także współpracy z administratorem w trakcie wyjaśniania przyczyn i przebiegu incydentu, niwelowaniu jego negatywnych skutków, czy też zapobieganiu wzrostu skali zdarzenia, uznanego za incydent naruszenia bezpieczeństwa danych osobowych.

Moment stwierdzenia incydentu, możemy określić za Grupą Roboczą Art. 29, jako uzyskanie wystarczającego stopnia pewności, że doszło do zdarzenia zagrażającego bezpieczeństwu, które w skutkach doprowadziło do naruszenia ochrony danych osobowych. Ze względu jednak na pierwotny cel wprowadzenia tego przepisu, którym jest realne zapobieganie negatywnym skutkom, jakie naruszenie bezpieczeństwa danych może przynieść osobom fizycznym, czas działania, także ten niezakreślony w przepisowych 72 godzinach, jest niezwykle istotny. Im szybciej dojdzie do poinformowania administratora o zdarzeniu, tym szybciej zostanie przeprowadzona jego analiza, a kiedy okaże się, że zdarzenie stanowi incydent naruszenia bezpieczeństwa danych, będzie można wprowadzać działania zatrzymujące jego negatywne skutki.

Związek Firm Ochrony Danych Osobowych (ZFODO) wydał niedawno opinię dotyczącą zagadnienia biegu terminu zawiadamiania PUODO o incydencie, w której podsumowuje dotychczasowe stanowiska Grupy Roboczej Art. 29 oraz Prezesa UODO. Opinia dostępna pod linkiem: https://www.zfodo.org.pl/opinie/stanowisko-zfodo-w-zakresie-sposobu-liczenia-terminu-72h-na-zgloszenie-incydentu-do-regulatora/

Interesuje Cię kompleksowa oferta usługi Outsourcingu Inspektora Ochrony Danych?

Outsourcing Inspektora Ochrony Danych

Walka rządu z pornografią w Internecie w świetle prawa do prywatności

Porno pod ścisłą kontrolą

Stowarzyszenie Twoja Sprawa przedstawiło projekt ustawy „o ochronie małoletnich przed treściami pornograficznymi”, która zakłada ograniczenie dzieciom dostępu do treści pornograficznych w Internecie. Projekt został pozytywnie przyjęty przez premiera Mateusza Morawieckiego, który ogłosił, że rząd będzie nad nim pracował, ponieważ dostrzega ten problem jako istotny i popiera kierunek zaproponowany przez stowarzyszenie.

Większość osób zajmujących się obszarem prawa do prywatności, bezpieczeństwem w Internecie oraz ochroną dzieci zgodnie przyznaje, że dostęp do pornografii dla dzieci i młodzieży jest zbyt łatwy. Z badań Instytutu Profilaktyki Zintegrowanej przeprowadzonych wśród ok. 10 tys. uczniów w wieku 14-16 lat wynika, że pornografię co najmniej raz dziennie ogląda ponad 11 proc. chłopców, a co najmniej raz w miesiącu trafia na nią 60 proc. chłopców i 40 proc. dziewcząt. Natomiast pierwszy kontakt z takimi treściami dziecko ma średnio przed ukończeniem 12 roku życia.

Diabeł tkwi w szczegółach

Ograniczenie dostępu do konkretnych stron internetowych tylko do osób pełnoletnich wymaga jakiegoś rodzaju weryfikacji wieku takiego użytkownika. Żeby dokonać takiej weryfikacji konieczne jest zebranie informacji umożliwiających identyfikację użytkownika, a aby weryfikacja była skuteczna, tego rodzaju baza musiałaby być zarządzana centralnie.

Specjaliści z zakresu prawa ochrony danych osobowych i prywatności mają wiele wątpliwości dotyczących proponowanych przepisów projektu ustawy, a właściwie do tego czego w nich brakuje. Projekt nie zawiera bowiem szczegółów technicznych określających choćby zakres danych, na podstawie którego następowałaby weryfikacja. Projekt nie wskazuje również kto miałby tę bazę zbudować i nią zarządzać. Pojawiające się w mediach informacje mogą budzić obawy. Najpierw podano, że weryfikacja wieku miałaby się odbywać przy użyciu karty kredytowej, a na początku stycznia minister cyfryzacji Marek Zagórski w rozmowie z RMF FM ogłosił, że jednym z pomysłów ma być wypracowanie porozumienia z operatorami przeglądarek internetowych. Google, Microsoft czy Mozilla mieliby blokować internautom treści pornograficzne, do których dostęp można by uzyskać poprzez wygenerowanie specjalnego klucza.

Wyobraźmy sobie, że jakaś instytucja państwowa ma zbiór danych o wszystkich Polakach odwiedzających strony pornograficzne (również osoby pełnoletnie musiałyby się zweryfikować) i dokładnie wie kto i jak często odwiedza dane serwisy. Idąc dalej na podstawie metadanych, np. specyfice konkretnych serwisów, mogłaby ocenić preferencje seksualne konkretnych osób. Na koniec wystarczy sobie wyobrazić wyciek danych z takiej bazy i mamy gotowy przepis na katastrofę.

Czy to w ogóle ma sens?

W świetle ogromnego ryzyka naruszenia prawa do prywatności Polaków warto się zastanowić czy taki mechanizm faktycznie zminimalizuje dostęp dzieci do treści pornograficznych. Specjaliści z serwisu Niebezpiecznik.pl na łamach swojego serwisu przygotowali bardzo ciekawą analizę projektu ustawy pod kątem jego ewentualnej skuteczności (tu link). Z tej lektury możemy dowiedzieć się, że proponowana blokada może być iluzoryczna (jej obejście jest względnie proste), wybiórcza (nie uwzględnia serwisów takich jak Twitter czy Instagram) i niedopracowana (brak istotnych szczegółów technicznych).

Podsumowanie

Niepokojące jest, że choć rząd zadeklarował pełne poparcie projektu i nadał mu bieg, to nadal nie znamy odpowiedzi na krytyczne pytania rozwiewające powyższe wątpliwości. Nic nie wskazuje na to, aby do tej pory została przeprowadzona analiza ryzyka tego rozwiązania, a następnie określone zostały środki, które mogłoby je zminimalizować. Nie pojawiła się również analiza skuteczności rozwiązania w odniesieniu do ryzyka istnienia takiej bazy danych. Możemy liczyć jedynie na to, że zostaną one przeprowadzone na czas.

 

Naruszenie prawa do ochrony danych osobowych – skarga do Prezesa Urzędu Ochrony Danych Osobowych czy pozew do sądu ? – cz. 2.

Ustawa z 10 maja 2018 r. o ochronie danych osobowych doprecyzowuje przepisy RODO w zakresie odpowiedzialności cywilnej z tytułu naruszenia przepisów o ochronie danych osobowych.  Jak zostało wskazane w poprzedniej części artykułu, w zakresie nieuregulowanym przepisami RODO, do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych należy stosować przepisy kodeksu cywilnego. Samo postępowanie przed sądem regulowane jest przepisami ustawy o ochronie danych osobowych, natomiast w zakresie nieuregulowanym w ustawie – przepisami kodeksu postepowania cywilnego (na podst. art. 100 ustawy o ochronie danych osobowych).

Sądem właściwym do spraw roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych jest, na podst. art. 93 ustawy o ochronie danych osobowych, sąd okręgowy. Pozew podlega opłacie stałej w wysokości 600 zł. Zgodnie z art. 79 ust. 2 RODO, pozew można złożyć albo przed sąd właściwy dla siedziby administratora lub podmiotu przetwarzającego, albo przed sądem właściwym dla miejsca stałego pobytu osoby, której dane dotyczą, co jest korzystnym rozwiązaniem dla podmiotów danych.

Ustawodawca był świadomy możliwości zbiegu skierowania roszczenia do sądu jak i skargi do Prezesa UODO w związku z tym samym naruszeniem przepisów o ochronie danych osobowych, dlatego wprowadził przepisy regulujące takie sytuacje. Sąd oraz Prezes UODO mają obowiązek wzajemnego przekazywania sobie informacji związanych z toczącymi się lub zakończonymi postępowaniami dotyczącymi tego samego naruszenia (art. 94 ustawy o ochronie danych osobowych).

Zgodnie z art. 95 tej ustawy, sąd zawiesza postępowanie, jeśli w odniesieniu do tego samego naruszenia została już wszczęta sprawa przed Prezesem UODO. Jest to niejako przyznanie pierwszeństwa zbadania sprawy specjalistycznemu organowi w drodze postępowania administracyjnego. Warto zauważyć, że w związku z dużą liczbą skarg kierowanych do Prezesa UODO, niektóre sprawy wiele miesięcy czekały na podjęcie działań przez Urząd. Dodatkowo, odwołanie od decyzji Prezesa UODO kieruje się do Wojewódzkiego Sądu Administracyjnego, gdzie postępowanie może również długo trwać, zatem sprawy o zadośćuczynienie będą zawieszone przed sądami cywilnymi aż do prawomocnego zakończenia postępowania przed sądem administracyjnym. Z uwagi na długi okres oczekiwania na prawomocne orzeczenie warto rozważyć, zwłaszcza w przypadku, gdy zależy nam przede wszystkich na uzyskaniu zadośćuczynienia, czy skarga do Prezesa UODO nie wydłuży zbytnio całej procedury. I czy bardziej korzystnym nie będzie skierowanie sprawy od razu na drogę postępowania cywilnego, pomijając składanie skargi do PUODO.

Zgodnie z art. 96 ustawy, sąd umorzy postępowanie w zakresie, w jakim wcześniejsza decyzja PUODO uwzględniła roszczenie dochodzone przed sądem. Przepis ten nie dotyczy jednak roszczeń o odszkodowanie, ponieważ Prezes UODO nie ma uprawnienia do przyznania odszkodowań pieniężnych osobom, których prawa do ochrony danych osobowych zostały naruszone.

Polska ustawa określa również związanie sądu decyzjami PUODO, ponieważ zgodnie z art. 97 wspomnianej ustawy, ustalenie w drodze decyzji przez Prezesa UODO naruszenia przepisów o ochronie danych osobowych wiąże sąd cywilny, zatem uzyskanie pozytywnej dla nas decyzji PUODO o naruszeniu naszych praw zmniejsza ilość elementów, które trzeba będzie udowodnić przed sądem cywilnym. Warto jednak zauważyć, że w powyższym przepisie mowa jedynie o związaniu sądu „ustaleniem w drodze decyzji przez Prezesa UODO naruszenia przepisów”, zatem taka decyzja PUODO, która nie stwierdza żadnych naruszeń, nie wiąże sądu i będzie on mógł zająć odmienne stanowisko niż urząd i stwierdzić naruszenie przepisów tam, gdzie Prezes UODO naruszenia się nie dopatrzył.

Podsumowując, w przypadku naruszenia naszych praw do ochrony danych osobowych należy się przede wszystkim zastanowić, na czym nam zależy. Jeśli najbardziej istotne jest dla nas przywrócenie stanu zgodnego z prawem oraz ewentualne nałożenie kary finansowej na administratora, należy złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. Jednak gdy ponieśliśmy krzywdę wskutek naruszenia naszych praw, warto zastanowić się od razu nad złożeniem pozwu do sądu cywilnego. Sprawa znajdzie wtedy rozstrzygnięcie o wiele krócej, niż w przypadku, gdy uprzednio złożymy skargę do PUODO. Sąd cywilny może również przywrócić stan zgodny z prawem, np. nakazać zaprzestanie administratorowi niezgodnego z prawem udostępniania innym naszych danych, dodatkowo ma możliwość przyznania zadośćuczynienia, stosownie do wielkości poniesionej krzywdy.

Wdrożenie RODO – oferta cenowa

Zewnętrzny Inspektor Ochrony Danych

Audyt RODO

Ochrona danych osobowych a Brexit

31 stycznia 2020 r. Wielka Brytania oficjalnie opuściła Unię Europejską. Wraz z wyjściem z Unii Brytyjczycy znaleźli się poza Europejskim Okręgiem Gospodarczym (EOG),  do którego przystąpili nie jako państwo, lecz jako członek UE. Wśród wielu pytań dotyczących przyszłości relacji Zjednoczonego Królestwa z Unią, nie sposób pominąć kwestii dotyczących ochrony danych osobowych. Co dalej z ochroną danych na Wyspach? Czy Wielka Brytania stała się „państwem trzecim”? Czy w przypadku transferu danych poza Europę kontynentalną powinno się stosować przepisy rozdziału V. RODO?

 

Okres przejściowy

Status Wielkiej Brytanii w ramach nowego kształtu Europy dopiero się formuje. Zgodnie z Umową zawartą pomiędzy Zjednoczonym Królestwem a UE (The Withdrawal Agreement) do końca grudnia 2020 roku trwać będzie „okres przejściowy”, podczas którego negocjowane będą dalsze relacje obu stron. Do tego czasu Wielka Brytania podlegać będzie prawu unijnemu – w tym przepisom RODO, jak dotychczas i w świetle Rozporządzenia będzie traktowana jak państwo członkowskie.  W związku z powyższym, na ten moment nie ma konieczności dokonywania żadnych zmian, jeśli administrator z Unii przekazuje dane do podmiotów znajdujących się na Wyspach; jednak w najbliższych miesiącach należy bacznie przyglądać się trwającym negocjacjom.

 

Co po okresie przejściowym?

Ciężko przewidzieć jaki będzie efekt nadchodzących negocjacji, jednak w przypadku ich niepowodzenia można spodziewać się sporych utrudnień w przepływie danych. Po okresie przejściowym przepisy prawa unijnego przestaną obowiązywać w Zjednoczonym Królestwie. Jako Państwo nienależące do EOG, traktowane będzie ono jako państwo trzecie – podobnie jak Szwajcaria, z tym wyjątkiem, że w stosunku do Wielkiej Brytanii  Komisja Europejska nie podjęła jeszcze decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 RODO), tak więc w przypadku transferu danych konieczne może okazać się stosowanie standardowych klauzul umownych, o których mowa w art. 46 RODO.  Oznacza to konieczność aneksowania wszelkich umów zawieranych z brytyjskimi kontrahentami, w ramach których przetwarzane są dane osobowe. W niektórych przypadkach konieczna może się okazać zmiana klauzul informacyjnych poprzez poinformowanie podmiotów o transferze danych do państwa trzeciego (art. 13 ust. 1 lit. f, oraz art. 14 ust. 1 lit. f RODO)  oraz ponowne oszacowanie ryzyka dla naruszenia praw i wolności podmiotów danych związana z transferem danych do państw trzecich.

Co do przekazywania danych z Wielkiej Brytanii do EOG można spodziewać się, że obowiązująca w Zjednoczonym Królestwie ustawa doprecyzowująca przepisy RODO (The Data Protection Act  z 2018 roku) zostanie rozszerzona, w taki sposób aby jej kształt odpowiadał przepisom unijnego Rozporządzenia. Brytyjski ustawodawca zapowiada, że nie będzie nakładał dodatkowych restrykcji w przypadku transferu danych do państw Europy kontynentalnej, jednak przedsiębiorcy przetwarzający dane obywateli na terenie UE mogą być zobligowani do powołania swojego Przedstawiciela w UE zgodnie z art. 27 RODO, a to wiąże się z dodatkowymi kosztami[1].

 

Co dalej?

Dzisiaj trudno przewidzieć, jakie będą rezultaty negocjacji prowadzonych pomiędzy Wielką Brytanią a Unią Europejską. Do końca okresu przejściowego pozostało relatywnie niewiele czasu, a dotychczasowe dyskusje Londynu z Brukselą nie napawają optymizmem. W najbliższych miesiącach warto przyglądać się toczącym się rozmowom, ponieważ od ich przebiegu zależą obowiązki administratorów i podmiotów przetwarzających przekazujących dane do Zjednoczonego Królestwa. Wydaje się niemal pewne, że prędzej czy później Komisja Europejska przyzna w drodze decyzji, że Wielka Brytania zapewnia odpowiednie zabezpieczenia w zakresie przetwarzania danych osobowych – w końcu ma ona olbrzymie zasługi w rozwoju tej dziedziny prawa, a brytyjski organ nadzorczy – ICO  jest jednym z najbardziej cenionych w Europie. Trudno jednak stwierdzić kiedy taka decyzja zapadnie i transfer danych na Wyspy zostanie unormowany.

 

 

 

 

 

[1]Information rights and Brexit Frequently Asked Questions, Information’s Commissioner Office,  https://ico.org.uk/media/for-organisations/documents/brexit/2617110/information-rights-and-brexit-faqs-v2_3.pdf dostęp: 02.02.2020.