Regulacje RODO a komunikacja z inwestorami

Regulacje RODO a komunikacja z inwestorami

  • Jakie zdarzenia należy publikować w raportach?
  • Zgłoszenie incydentu – droga od IOD do przedstawiciela RI.
  • Podstawowe kroki do utrzymania zgodności z RODO.

 

Te tematy zostały poruszone w trakcie wywiadu przeprowadzonego przez Magdalenę Raczek-Kołodyńską z Darią Worgut-Jagnieżą podczas XI Kongresu Relacji Inwestorskich Spółek Giełdowych SEG.

 

MRK: Jaka jest specyfika danych osobowych w spółce giełdowej?

DWJ: Spółki giełdowe przetwarzają przede wszystkim dane akcjonariuszy. Są to dane, z którymi działy Relacji Inwestorskich spotykają się najczęściej w ramach organizacji walnego zgromadzenia akcjonariuszy, a także w codziennej komunikacji z inwestorami w zakresie działalności spółki. Bardzo dużą grupą danych są również dane pracowników. W zależności od charakteru spółki, mogą to być także dane konsumentów, dane kontrahentów, czy dane odbiorców aplikacji mobilnych.

MRK: Jakie najczęstsze błędy związane z RODO zdarzały się w spółkach przez ostatni rok?

DWJ: W spółkach nie były dotychczas podejmowane działania polegające na zaangażowaniu pracowników w szerzenie wiedzy o RODO, a także na reagowaniu na incydenty. Bardzo niewiele firm ma wpisane incydenty do rejestru incydentów, co nie oznacza, że one się nie zdarzają.  Po prostu nie są zgłaszane,  gdyż pracownicy nie wiedzą co to jest incydent, nie potrafią zidentyfikować takich sytuacji.

MRK: Czym jest incydent?

DWJ: Zgodnie z definicją RODO incydent jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przykładami incydentów są: zgubienie czy kradzież służbowego laptopa lub telefonu komórkowego pracownika, omyłkowe wysłanie e-maila do niewłaściwej osoby, który zawiera dane osobowe innej osoby. Incydentami są też przypadki awarii systemu informatycznego.

MRK: Jakie problemy występują z listami akcjonariuszy?

DWJ: Z mojej perspektywy najważniejszą kwestią jest konieczność spełnienia obowiązku informacyjnego wobec uczestników walnego zgromadzenia akcjonariuszy. Zwykle jest on realizowany podczas podpisywania listy obecności, natomiast część spółek obowiązek informacyjny przekazuje już podczas zawiadamiania o terminie zwołania walnego zgromadzenia. Jednak  dobrze jest obowiązek ten powtórzyć na walnym zgromadzeniu,  gdyż często uczestniczą w nim pełnomocnicy akcjonariusza, a nie sam akcjonariusz. Jeśli osoby te nie zostały poinformowane podczas walnego zgromadzenia, należy to uczynić w czasie jednego miesiąca od dnia zwołania walnego zgromadzenia. Choć sposób ten będzie zapewne bardziej kosztowny, warto to zrobić – PUODO może karać za niedopełnienie tego obowiązku.

MRK: Czy nagrywanie i transmitowanie walnego zgromadzenia rodzi dodatkowe obowiązki w związku z RODO?

DWJ: Kwestie przetwarzania danych w postaci wizerunku regulują przepisy prawa autorskiego i problematyczne jest pozyskanie właściwej podstawy prawnej do rozpowszechnienia wizerunku uczestników walnego zgromadzenia. Podstawą mogłaby być zgoda takich osób, ale należy mieć na uwadze, że część z uczestników jej nie wyrazi. Wówczas konieczne byłoby ukrycie na nagraniu wizerunku osób, które zgody nie wyraziły. Dlatego też najbezpieczniejszym rozwiązaniem jest pokazywanie tylko wizerunku osób prowadzących zgromadzenie.

MRK: Co jest najważniejsze w kontekście ochrony danych osobowych przez pracowników?

DWJ: Najważniejszą kwestią jest rozwijanie świadomości pracowników w zakresie ochrony danych osobowych tak, aby umieli oni identyfikować incydenty oraz aby robili to w odpowiednim czasie. Zgodnie z przepisami RODO  naruszenia bezpieczeństwa danych należy zgłaszać do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od stwierdzenia, a właściwie potwierdzenia incydentu. Z moich doświadczeń wynika, że nie stanowi problemu potwierdzenie incydentu, ale zgłoszenie go do PUODO. Spółki nie wiedzą jak i kiedy należy zgłosić naruszenie, i że może tego dokonać wybrana osoba, która  posiada podpis elektroniczny i pełnomocnictwo do zgłaszania takich incydentów. Bardzo istotne jest ustalenie, kto fizycznie dokonuje zgłoszenia. Może to być IOD, ale także zarząd w mniejszych firmach, czy dział prawny, jeśli posiada podpisy elektroniczne.

MRK: Czy incydent wymaga raportu bieżącego informującego rynek o takim zdarzeniu?

DWJ: Trudno ocenić kiedy informować o takim zdarzeniu inwestorów, a kiedy nie. Pomocna w tej kwestii jest metodyka ENISA tj. Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji, która pomaga oszacować jak bardzo krytyczny był incydent, ile danych wyciekło, jak szczegółowe były to dane. Po ustaleniu informacji z wykorzystaniem tej metody IOD powinien określić czy dany incydent wymaga poinformowania rynku czy nie.

MRK: Czy nazwisko akcjonariusza, który wypowiada się na WZA można upublicznić?

DWJ: Bezpieczniej jest tego nie robić i nie ujawniać takich informacji.

MRK: Co firma powinna robić cyklicznie, żeby mieć pewność, że jest zgodna z RODO?

DWJ: Aby mieć pewność, że firma przestrzega przepisów RODO, powinna podejmować działania polegające na systematycznym monitorowaniu procesów przetwarzania danych i stosowanych zabezpieczeń. W tym celu należy wykonywać roczne lub najlepiej kwartalne audyty, które potwierdzają zgodność z RODO. Jest to bardzo skuteczne narzędzie, gdyż pokazuje niezgodności, które należy usunąć. Proaktywna metoda  to prowadzanie cyklicznej analizy ryzyka,  która pozwoli na identyfikację istniejących w spółce ryzyk oraz zaplanowanie dla nich określonego postępowania, dzięki czemu można zapobiec występowaniu incydentów. Kluczowe jest także zaangażowanie pracowników, ciągła praca nad  rozwijaniem ich świadomości  w zakresie ochrony danych oraz prowadzenie szkoleń w taki sposób, aby pracownik rozumiał, jakie są wobec niego oczekiwania, i  obowiązujące w firmie procedury bezpieczeństwa związane z RODO.

Urzędnicy ukarani za naruszenie przepisów RODO

Pierwsza w Polsce sankcja nałożona na podmiot publiczny w wyniku postępowania kontrolnego prowadzonego przez Prezesa UODO wynosi aż 40 000 zł. To niemało, biorąc pod uwagę, że maksymalna kwota kary administracyjnej, jaką dysponuje Prezes Urzędu Ochrony Danych Osobowych w stosunku do podmiotów sektora publicznego sięga 100 000 zł.

PUODO postanowił ukarać burmistrza miasta Aleksandrów Kujawski. Za co? Przewinień było kilka, a gdybyśmy chcieli je wylistować:

  • Brak umownego uregulowania powierzenia przetwarzania danych z dostawcami usług IT.

Przetwarzanie danych osobowych przez podwykonawców administratora należy zabezpieczyć umową powierzenia przetwarzania danych. Umowy te nie są nowością wprowadzoną przez RODO, obowiązywały także przed rozpoczęciem obowiązywania Rozporządzenia. Są one szczególnie istotnie w sytuacji przetwarzania danych (w tym operacji ich przechowywania i dostępu do nich w zakresie serwisowania) przez podmioty obsługujące swoich klientów pod kątem rozwiązań IT.

  • Brak wewnętrznych regulacji dotyczących retencji danych.

Dane osobowe przetwarzać należy zgodnie z zasadą celowości, adekwatności i czasowości. Zastosowania tej ostatniej zasady zabrakło w zakresie publikacji danych w Biuletynie Informacji Publicznej ukaranego urzędu. Administratorzy zobowiązani są ustalać terminy przechowywania danych osobowych, ale też przestrzegać ustalonych terminów ich usuwania. Jeśli dane osobowe nie są już potrzebne, ustał cel ich przetwarzania, upłynął czas ich przechowywania wynikający z przepisów prawa, albo podmiot danych skutecznie zażądał ich usunięcia – dane należy trwale usunąć lub zanonimizować. Przechowywanie danych, dla których przetwarzania nie ma podstawy prawnej jest jednym z poważniejszych naruszeń przepisów Rozporządzenia.

  • Brak zabezpieczenia danych pod kątem ich dostępności.

Zapewnienie poufności, integralności i dostępności danych – to zakres obowiązków, których wykonanie administrator ma zapewnić w procesach przetwarzania danych w ramach podejścia privacy by design oraz privacy by default. Jeśli administrator przetwarza dane osobowe, to ciągle zabiega o to, by były przetwarzane zgodnie z adekwatnymi do celów przetwarzania zabezpieczeniami.

  • Brak przeprowadzenia analizy ryzyka.

Administrator zarządzając procesami przetwarzania danych osobowych, zobowiązany jest do zbadania potencjalnych ryzyk dla osób fizycznych, których dane wykorzystuje w konkretnym procesie przetwarzania. Analizy ryzyka mają być cykliczne i przeprowadzane w sposób powtarzalny i pozwalający na bieżące kontrolowanie wdrożonych rozwiązań, pozwalających na zminimalizowanie wynikających z przetwarzania negatywnych skutków dla podmiotów danych.

  • Brak rozliczalności w zakresie prowadzonej dokumentacji.

Niektórzy administratorzy danych zobowiązani są pod pewnymi warunkami prowadzić rejestr czynności przetwarzania. Rejestr ten ma być odzwierciedleniem aktualnej sytuacji dotyczącej przetwarzania danych osobowych w organizacji. Przepisy RODO dokładnie definiują jakie obligatoryjne informacje ma zawierać prawidłowo prowadzony rejestr. Weryfikacja tego dokumentu zazwyczaj stanowi punkt wyjścia przy sprawdzeniu poprawności stosowania przepisów Rozporządzenia w organizacji.

 

Dodatkowo, jak powszechnie wiadomo, jeśli uprawniony do przeprowadzenia kontroli organ nadzorczy wytyka nieprawidłowości, to dobrze jest te nieprawidłowości w miarę możliwości szybko usunąć. Sama współpraca z organem w trakcie przeprowadzania kontroli także popłaca – w końcu przecież obu stronom tej relacji zależy na uzyskaniu właściwego poziomu ochrony przetwarzania danych osobowych.

 

Szczegóły dot. tej decyzji dostępne są na stronie Urzędu Ochrony Danych Osobowych: https://www.uodo.gov.pl/pl/138/1240

Wyzwania ochrony danych osobowych w tworzeniu sztucznej inteligencji

Rozwój nowych gałęzi technologicznych stawia nieznane wcześniej wyzwania, za którymi próbuje nadążyć prawo, a to nie zawsze jest łatwe, co więcej – nie zawsze jest wykonalne. Jednym z najciekawszych tego przykładów jest tworzenie systemów sztucznej inteligencji (AI), których celem jest permanentny rozwój własny. Wykorzystują one do tego różnego rodzaju dane, w tym również dane osobowe.

Na tę kwestię zwrócił ostatnio uwagę brytyjski organ ochrony danych osobowych – Information Commissioner’s Office (ICO). Wydany przez niego poradnik wskazuje na najważniejsze kwestie łączące systemy sztucznej inteligencji z prawem ochrony danych osobowych, a także jest próbą znalezienia odpowiedzi na pytanie: jak bezpiecznie i zgodnie z prawem łączyć te dwa, czasami sprzeczne ze sobą zagadnienia?

Mówiąc ściśle, poradnik ICO wskazuje na potrzebę minimalizacji danych oraz techniki ochrony prywatności przy tworzeniu lub wprowadzaniu do użytku w swojej działalności systemów AI. Brytyjski organ podkreśla, że pierwszą sprzecznością pomiędzy tworzeniem systemów sztucznej inteligencji, a prawem ochrony danych osobowych, jest zakres zbieranych danych. Jak wskazuje organ, systemy AI potrzebują ogromnych ilości danych dla właściwego działania i rozwoju, podczas gdy w RODO zostały sformułowane zasady adekwatności oraz minimalizacji zakresu przetwarzanych danych. W związku z tym, już na samym początku przed administratorami danych stawiane są niełatwe wymagania, bowiem to po ich stronie leży wykazanie niezbędności określonego zakresu danych. Wypełnienie wskazanych powyżej zasad musi być dostosowane do konkretnego przypadku, jednak twórcy sztucznej inteligencji mogą skorzystać z pewnych znanych technik przy opracowywaniu swoich systemów.

Brytyjski organ w swoim poradniku skupił się przede wszystkim na systemach uczenia maszynowego, jako najczęściej stosowanego w działaniu sztucznej inteligencji. Osoby odpowiedzialne w organizacjach za zarządzanie ryzykiem i zgodność systemów AI powinny być świadome istnienia takich technik i być w stanie wspólnie z działami informatycznymi wprowadzać właściwe rozwiązania. Domyślne podejście badaczy danych w projektowaniu i budowaniu systemów sztucznej inteligencji niekoniecznie uwzględnia ograniczenia związane z minimalizacją danych. Organizacje muszą zatem wdrożyć właściwe praktyki zarządzania ryzykiem, aby zapewnić, że już w fazie projektowania, wymogi minimalizacji danych i wszystkie odpowiednie techniki minimalizacji zostaną w pełni uwzględniane.

Kolejnym problemem jest właściwe określenie celu przetwarzania danych. Podstawowym bowiem zadaniem AI jest rozwój i ulepszanie się, dla adekwatnego działania zaplanowanego przez twórcę. Funkcje sztucznej inteligencji i uczenia maszynowego mogą powodować, że przetwarzanie danych osobowych odbywa się na różne sposoby i jest wykorzystywane także do innych celów niż te, do których rozwiązania zostały pierwotnie zaprogramowane. Może to spowodować całkowitą utratę kontroli nad danymi osobowymi.

Dodatkowo utrudnione może się również okazać przeprowadzanie kontroli i audytów. Stopień skomplikowania niektórych algorytmów, będących budulcami rozwiązań AI, wymagać będzie przeprowadzania badań z udziałem kompetentnych osób. Twórcy sztucznej inteligencji będą mieć także potrzebę utrzymania swojego know-how i tajemnic handlowych, co może utrudniać powszechnie przyjętą praktyką okresowych kontroli działania systemów.

 

Wprowadzenie RODO i usystematyzowanie prawa ochrony danych osobowych z całą pewnością nie było wymierzone w twórców sztucznej inteligencji i nie powstrzymało ich pracy w tworzeniu rozwiązań IT. Nałożone zostały na nich jednak dodatkowe obowiązki, których wykonanie stanowi wyjątkowe utrudnienie w tym obszarze działalności.

 

Dane osobowe (RODO) w badaniach – seminarium

Serdecznie zapraszamy na seminarium dotyczące realizacji badań naukowych i społecznych w uwarunkowaniach RODO, organizowane przez Dział Badań i Analiz CZIiTT PW.

Spotkanie będzie miało charakter wymiany opinii na temat zmian jakie zachodzą zarówno w ilościowych, jak i jakościowych badaniach społecznych na skutek wejścia w życie rozporządzenia o ochronie danych osobowych. Reprezentować nas będą Agnieszka Świerczyńska i Angelika Niezgoda, które przedstawią role podmiotów w badaniach społecznych.

Agenda:

  • Dariusz Parzych, Dział Badań i Analiz Centrum Zarządzania Innowacjami i Transferem Technologii PW: Wprowadzenie.
  • Bartłomiej Serafinowicz, LAWMORE Maciejewicz, Jaraczewski sp. k.: Możliwość przetwarzania szczególnych kategorii danych w trakcie badań naukowych. Konieczność minimalizacji przetwarzanych danych oraz ich anonimizacji.
  • Jarosław Feliński, Stowarzyszenie Inspektorów Ochrony Danych Osobowych: Prywatność w społeczeństwie informacyjnym.
  • Angelika Niezgoda, Agnieszka Świerczyńska, Audytel S.A.: Spełnienie obowiązku informacyjnego i role podmiotów w badaniach społecznych.
  • Przemysław Sierzputowski, Omni Modo sp. z o. o.: Praktyczne kwestie zastosowania prawa ochrony danych osobowych do badań społecznych.
  • Dyskusja z udziałem prelegentów i publiczności (GP).

Pierwsza kara szwedzkiego DPA

20 sierpnia tego roku szwedzki organ nadzorczy ds. przetwarzania danych osobowych (Datainspektionen ) nałożył pierwszą karę na podstawie przepisów RODO. Kara 200 000 SEK (około 80 000 złotych) została nałożona na szkołę w miejscowości Skellefteå, która testowała system rejestrujący obecność uczniów za pomocą kamer wyposażonych w funkcję rozpoznawania twarzy.

Założeniem testowanego systemu było zaoszczędzenie czasu koniecznego do sprawdzania listy obecności podczas każdych zajęć lekcyjnych. Wyliczono, że ta prosta czynność powtarzana na każdej lekcji zajmuje przeciętnie około 10 minut. W całym roku szkolnym, rezygnując ze sprawdzania obecności metodą tradycyjną szkoła mogłaby więc zaoszczędzić około 17 tysięcy godzin.

W programie testowym, który trwał zaledwie 3 tygodnie uczestniczyło 22 uczniów,  wszyscy prawni opiekunowie badanej grupy uczniów wyrazili wyraźną zgodę na udział ich podopiecznych w eksperymencie. Przetwarzane dane ograniczały się do zdjęć poszczególnych uczniów oraz ich imienia i nazwiska, które były przechowywane na dysku w zamkniętej szafie bez dostępu do Internetu.

Po przeprowadzeniu audytu kontrolnego Datainspektionen wskazał, że przetwarzanie danych pozyskanych za pomocą systemów wykrywania twarzy (facial recognition systems) stanowi przetwarzanie danych biometrycznych, a więc danych szczególnych kategorii zgodnie z art. 9 RODO. Według organu, uzyskiwana zgoda na udział w programie nie mogła zostać uznana za prawidłową przesłankę przetwarzania danych, ze względu na nierówność stron – szkoły, jako administratora danych oraz ucznia pozostającego w relacji podporządkowania organizacyjnego. Taka nierówność w opinii organu wyłączyła możliwość uznania zgody za dobrowolną, a w rezultacie za skutecznie złożoną.

Drugim zarzutem podniesionym przez szwedzki DPA było naruszenie art. 5 RODO, stanowiącego o minimalizacji zbieranych danych, ograniczeniu celu oraz proporcjonalności przy przetwarzaniu danych. Zgodnie z opinią organu, cel, którym było sprawdzenie obecności uczniów, mógł być z łatwością osiągnięty poprzez użycie środków znacznie mniej inwazyjnych pod względem prywatności. Użycie zatem środków analizujących dane biometryczne było przejawem naruszenia zasady proporcjonalności.

Ponadto organ nadzorczy stwierdził, że dyrekcja szkoły nie spełniła obowiązków wskazanych w art. 35 oraz 36 RODO, a więc nie przeprowadziła prawidłowej oceny skutków naruszenia danych (DPiA) oraz nie spełniła obowiązku uprzedniej konsultacji z organem nadzorczym. Obowiązek przeprowadzenia oceny był w tym przypadku jednoznaczny i wynikał z faktu użycia nowych technologii w celu analizy danych szczególnych kategorii w ramach monitoringu. Założenia programu zawierały co prawda krótką analizę skutków programu, lecz nie uwzględniały analizy ryzyka dla praw i wolności podmiotów, których dane były przetwarzane, oraz nie badały kwestii, czy sposób przetwarzania danych jest niezbędny dla osiągnięcia zamierzonego celu.

Kara szwedzkiego organu być może nie należy do najwyższych, lecz biorąc pod uwagę małą skalę naruszenia (3 tygodniowe monitorowanie obejmujące 22 osoby) może być uznana za dotkliwą. Jest ona jasnym sygnałem, że samo zbieranie zgody nie oznacza możliwości każdego rodzaju przetwarzania danych bez uwzględnienia zasad ograniczenia celu i minimalizacji.

Co musi wiedzieć Inspektor Ochrony Danych?

CNIL (Commission nationale de l’informatique et des libertés), czyli francuski organ właściwy ds. ochrony danych osobowych, określił kryteria certyfikacji kompetencji Inspektora Ochrony Danych (IOD), w których podał 17 konkretnych wymagań, jakie musi spełniać kandydat na IOD. 

Kandydat na IOD powinien spełnić jeden z dwóch wstępnych warunków, do których należy:

a)      Doświadczenie zawodowe trwające minimum 2 lata w obszarze projektów, czynności lub zadań związanych z funkcją IOD w obszarze ochrony danych osobowych.

b)      Doświadczenie zawodowe trwające minimum 2 lata oraz odbycie szkolenia trwającego przynajmniej 35 godzin w obszarze ochrony danych osobowych, przeprowadzonego przez podmiot organizujący szkolenia.

Warunki odnoszą się do kompetencji oraz wiedzy, które wymagane są od przyszłego Inspektora Ochrony Danych.

Zgodnie z wytycznymi CNIL, kandydat na IOD powinien przede wszystkim znać oraz rozumieć zasady przetwarzania danych osobowych, które zostały określone w art. 5 RODO i do których należą: zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu, minimalizacja danych, poprawność danych, ograniczony okres przechowywania danych, integralność, poufność oraz rozliczalność. Kandydat powinien być w stanie właściwie zidentyfikować podstawę prawną przetwarzania.

Kandydat powinien być w stanie określić właściwe środki oraz treść informacji podawanych osobom, których dane dotyczą, a także wdrożyć odpowiednią procedurę postępowania z wnioskami osób, których dane dotyczą, dotyczącymi realizacji przysługujących im praw.

Francuski organ nadzorczy słusznie zwraca uwagę na konieczność znajomości przez kandydata na IOD, istotnych z praktycznego punktu widzenia, zagadnień dotyczących powierzenia przetwarzania danych osobowych oraz transferu danych osobowych do państw trzecich, jak również znajomość rejestru czynności przetwarzania, rejestru kategorii czynności przetwarzania, dokumentacji dotyczącej naruszeń ochrony danych, a także dokumentacji niezbędnej do wykazania zgodności z RODO.

Kolejne wymogi dotyczą kluczowych umiejętności, które musi posiadać każdy Inspektor Ochrony Danych, aby mógł skutecznie pełnić swą rolę. Należą do nich umiejętności:

1.      Opracowania oraz wdrożenia polityki zawierającej wewnętrzne reguły w obszarze ochrony danych.

2.      Przeprowadzania audytów w zakresie ochrony danych osobowych.

3.      Prowadzenia szkoleń dla pracowników.

4.      Uwrażliwiania pracowników oraz kierownictwa organizacji na problematykę ochrony danych osobowych.

5.      wyboru odpowiednich środków ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default) dostosowanych do poziomu ryzyka oraz charakteru operacji przetwarzania.

6.      identyfikacji naruszeń ochrony danych, wymagających poinformowania osób, których dane dotyczą oraz zgłoszenia ich do organu nadzorczego.

Istotnym wymogiem jest konieczność posiadania przez kandydata na IOD umiejętności dokonania analizy, czy należy przeprowadzić ocenę skutków dla ochrony danych oraz poprawności jej przeprowadzenia, a także udzielania porad dotyczących oceny skutków dla ochrony danych, w szczególności w przedmiocie metodologii, powierzenia przetwarzania oraz wyboru odpowiednich środków organizacyjnych i technicznych, które należy zastosować.

CNIL wskazuje na potrzebę, aby IOD potrafił zarządzać kontaktami z organami nadzorczymi w ramach udzielania odpowiedzi na ich pytania oraz był w stanie ułatwiać działania urzędów w przypadku kontroli oraz rozpatrywania skarg. Niezbędna jest również umiejętność dokonywania przez IOD oceny swoich działań, za pomocą przeznaczonych do tego narzędzi analitycznych lub corocznych zestawień.

Źródło:

1. https://www.legifrance.gouv.fr/

Interesuje Cię kompleksowa oferta usługi Inspektor Ochrony Danych – Outsourcing?

Potrzebujesz więcej informacji?

Kara PUODO dla Morele.net okiem specjalisty IT – część I

Decyzja Prezesa Urzędu Ochrony Danych Osobowych dotycząca ukarania spółki Morele.net administracyjną sankcją pieniężną w wysokości 2 830 410 zł (co stanowi równowartość 660 000 EUR), wzbudziła w ostatnim tygodniu wiele emocji. Wiemy, że doszło do naruszenia integralności i poufności  danych osobowych ponad 2 milionów klientów ukaranej spółki. Wiemy, że przyczyny tego naruszenia Prezes Urzędu dopatrzył się w lukach dotyczących zabezpieczeń po stronie IT, w stosowanych przez administratora systemach. Spróbujmy przeanalizować, czy faktycznie proponowane przez Urząd działania mogłyby uchronić spółkę przed przykrymi konsekwencjami?

 

Analiza ryzyka

Jednym z obowiązków administratorów danych jest cykliczne przeprowadzanie analiz ryzyka pod kątem naruszenia praw i wolności podmiotów danych, których dane osobowe administrator przetwarza. Z decyzji dowiadujemy się, że spółka dokonywała doraźnych analiz ryzyka dla poszczególnych procesów przetwarzania danych w sposób niesformalizowany. Sposób ten faktycznie może budzić wątpliwości co do poprawności działania, ze względu na brak powtarzalności oraz możliwości weryfikacji i nadzoru zastosowanych w wyniku takiej analizy ryzyka zabezpieczeń i ich skuteczności.

Co niemniej istotne, z przedstawionych w decyzji informacji wynika, że spółka nie sprawdzała w ramach analizy ryzyka potencjalnych ryzyk dla przetwarzanych danych, ale jedynie badała podatności znane już dla wykorzystywanych w procesie przetwarzania komponentów IT. Bazowanie jedynie na zidentyfikowanych już podatnościach aktywów oraz weryfikowanie skuteczności zastosowanych w celu wyeliminowania tych podatności zabezpieczeń, nie wyczerpuje zakresu analizy ryzyka, którą administratorzy danych zobowiązani są przeprowadzać. Takie podejście mogłoby ograniczać się jedynie do ciągłej weryfikacji, czy podmiot posiada oprogramowanie w wersji aktualnej, co ma wykluczać obciążenie znanymi podatnościami, do których nie dostosowano zabezpieczeń. Do sprawdzania aktualności wersji stosuje się dedykowane skanery, czyli zewnętrzne narzędzia bezpieczeństwa, które służą do wykonania testów bezpieczeństwa – ale to podstawowy element stosowany w ramach testów bezpieczeństwa – i jak powszechnie wiadomo, niewystarczający.

Poza tym, że ograniczanie się do weryfikacji aktualności oprogramowania, jest niewystarczające ze względu na obowiązujące przepisy, należy też pamiętać, że nie dla każdego rodzaju komponentu IT będziemy mogli z łatwości wgrać aktualizację. Zdarza się, że ze względu np. na potrzeby ciągłości działania organizacji, nie jesteśmy w stanie wyłączyć z użycia np. serwera, na którym zapisane jest oprogramowanie, dla którego planujemy aktualizację, gdyż to mogłoby zaburzyć w sposób istotny funkcjonowanie całej spółki. Ten problem można rozwiązać stosując co najmniej kilka warstw zabezpieczających. Przykładowo serwery backend’owe mogą zostać oddzielone od frontend’u za pomocą rozwiązań typu reverse proxy, czyli mechanizmów pośredniczących w ruchu pomiędzy nimi. Dzięki temu podatności wykryte w warstwie backend’owej nie są bezpośrednio narażane na wykorzystanie.

Co jednak z pożądanym zakresem analizy ryzyka? Powinien on poza znanymi podatnościami obejmować także podatności potencjalne, czyli takie, dla których nie mamy już wdrożonych czy zaplanowanych zabezpieczeń, ale w stosunku do których powinniśmy dobierać środki zabezpieczające. Zasadą powinno być opieranie systemu zabezpieczeń na więcej niż jednym mechanizmie  bezpieczeństwa, z uwagi na brak istnienia niezawodnego mechanizmu, zapewniającego bezpieczeństwo w 100%.

 

Zwiększony ruch na bramie sieciowej

Kolejną kwestią podniesioną przez Urząd, jest niestwierdzenie przez spółkę zwiększonego ruchu na bramie sieciowej w czasie, gdy dochodziło do pobierania bazy danych klientów, pomimo iż spółka deklarowała nieprzerwane monitorowanie ruchu sieciowego w trybie 24/7.

Czy faktycznie za pomocą stosowanego monitoringu ruchu sieciowego można byłoby wykryć włamanie do bazy i zapobiec jego skutkom? Z prostego ćwiczenia (które każdy z nas może przeprowadzić) wynika, że plik tekstowy zawierający 2 miliony rekordów danych logowania zajmuje kilkadziesiąt MB. Przepływ takiego pliku z punktu widzenia monitorowania ruchu sieciowego nawet małej organizacji jest nieistotny. Plik z danymi klientów, wygenerowany w odpowiedzi na zapytanie włamującego i wysłany do niego, powoduje ruch sieciowy zbliżony do tego, jaki generuje kilku użytkowników. Zatem z punktu widzenia monitorowania sieci, trudno byłoby zauważyć coś niepokojącego.

Inaczej zdecydowanie sytuacja przedstawia się z punktu widzenia monitorowania bazy danych. Jedno duże zapytanie, które w odpowiedzi zwróciło jednemu zewnętrznemu użytkownikowi kilka milionów rekordów, powinno zostać zauważone i sprawdzone. Potencjalnym zagrożeniem dla danych osobowych jest możliwość włamania się do bazy z zewnątrz. Włamanie takie może być skutkiem np. odpowiednio zdefiniowanego zapytania w języku SQL, wykorzystującego podatność typu SQL injection. Znane są jednak powszechnie narzędzia służące do wykrywania tego typy ataków, jak również narzędzia do monitorowania zapytań do baz danych. Korzystanie z takich narzędzi, adekwatnych do przetwarzanych danych oraz stosowanych rozwiązań IT, pozwala ograniczyć ryzyko nieuprawnionego dostępu do bazy, a w konsekwencji wycieku danych.

Wyświetlasz banery reklamowe zalogowanym użytkownikom? Wyrok NSA powinien Cię zainteresować.

W marcu 2019 roku Naczelny Sąd Administracyjny wydał wyrok, który – jeśli przedstawiona linia orzecznicza się utrzyma – może spowodować konieczność przemodelowania wielu stosowanych w firmach sposobów prezentowania treści marketingowych. Wyrok został wydany jeszcze na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, ale ocena Sądu w sferze faktów i mechanizmów marketingowych przekłada się wprost na dzisiejszą rzeczywistość.

 

Sprzeciw wobec działań marketingowych

Sprawa zaczęła się od złożenia przez Klienta jednego z operatorów telewizyjnych sprzeciwu wobec przetwarzania jego danych osobowych w celach marketingowych. Pomimo otrzymania sprzeciwu, firma nadal kierowała do klienta wiadomości marketingowe – były one wysyłane za pośrednictwem serwisu internetowego operatora, dostępnego dla klienta po zalogowaniu, w ramach panelu „Wiadomości”. W toku postępowania przed Generalnym Inspektorem Ochrony Danych Osobowych firma zaprzestała wysyłania wiadomości, natomiast nadal wyświetlała baner reklamowy o treści „Nie masz jeszcze dekodera? Zadzwoń”.

Właśnie w odniesieniu do rzeczonego baneru reklamowego pojawiają się kontrowersje. Naczelny Sąd Administracyjny podzielił bowiem opinię GIODO, iż po wniesieniu sprzeciwu klient po zalogowaniu nie powinien otrzymywać ŻADNYCH reklam. W ocenie NSA po takim zalogowaniu klient (..) powinien mieć dostęp tylko do spersonalizowanych informacji tj. takich, które będą uwzględniały jego sprzeciw wobec kierowania do niego reklam. W tych okolicznościach, nie budzi wątpliwości Naczelnego Sądu Administracyjnego, że jeżeli po zalogowaniu do indywidualnego konta (przypisanego konkretnej osobie) klient ma możliwość zapoznania się z reklamą to świadczy to o wykorzystywaniu jego danych osobowych w celach marketingowych, co w przypadku złożenia sprzeciwu nie powinno mieć miejsca.

Z powyższego wynika, że jakakolwiek reklama wyświetlana klientowi po zalogowaniu do systemu informatycznego administratora jest przetwarzaniem danych osobowych klienta w celach marketingowych. W konsekwencji sprzeciw wobec takie przetwarzania danych osobowych powinien spowodować zaprzestanie wyświetlania jakichkolwiek reklam. W ocenie NSA „Żadnego znaczenia w sprawie nie ma okoliczność, że emitowana reklama zarówno przed zalogowaniem, jak i po zalogowaniu, miała taką samą treść. Z uwagi na sprzeciw nie powinna być emitowana na indywidualnym koncie uczestnika.”

Użytkownik niezalogowany, użytkownik zalogowany

Nie trudno wyobrazić sobie inne przykłady wyświetlania banerów reklamowych zalogowanym do systemów użytkownikom. Większość sklepów i serwisów internetowych posiada na swojej stronie internetowej różne banery reklamowe, które nie są skorelowane z faktem logowania się klienta/użytkownika. Wyświetlanie tego rodzaju treści nie musi być personalizowane dla zalogowanego użytkownika, a będzie wynikało z faktu, że użytkownik znajduje się w konkretnym miejscu na danej stronie internetowej. Podobnie wygląda to w przypadku wielu serwisów internetowych, w ramach których klient może zarządzać wykupionymi usługami – administrator decyduje, że pewien obszar strony będzie wyświetlał reklamy i nie musi mieć kontroli nad tym czy konkretny użytkownik widzi taką reklamę.

W toku postępowania pozwana firma powołała się na przykład stacjonarnych salonów sprzedaży, w których widnieją różne banery reklamowe, a klient po wejściu do takiego salonu jest niewątpliwie zidentyfikowany przez jego pracowników. NSA bez szczegółowej argumentacji przyjął jednak, że w tym przypadku klient godzi się na oglądanie reklam, podobnie jak w przypadku gdy anonimowo korzysta ze strony internetowej. Niestety Sąd nie podzielił się podstawami takiego rozumowania, a jedynie arbitralnie stwierdził, że mamy do czynienia ze zgodą.

Podsumowanie

Wydaje się, że NSA dosyć powierzchownie przeanalizował stan faktyczny leżący u podstaw omawianej sprawy. Odwołanie się wyłącznie do statusu anonimowego i zidentyfikowanego internauty nie uwzględnia wielu pośrednich mechanizmów prezentowania reklam w Internecie, które wyświetlane są zalogowanym użytkownikom. Jeżeli takie rozumienie wykorzystywania banerów reklamowych utrzyma się w przyszłości, może to oznaczać dla wielu firm konieczność przeprojektowania systemów informatycznych, a nawet konieczność zbierania dodatkowych informacji o użytkownikach, których dziś nie zbierają – aby zaprzestać wyświetlania reklamy konkretnemu użytkownikowi administrator musi najpierw wiedzieć, że jest ona mu wyświetlana.

Art. 11 RODO – Przetwarzanie niewymagające identyfikacji

Wiele wątpliwości interpretacyjnych wzbudza art. 11 RODO, który dotyczy przetwarzania danych osoby niewymagającego jej identyfikacji.

Artykuł ten w ust. 1. odnosi się do sytuacji kiedy cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez administratora osoby, której dane dotyczą. W takiej sytuacji administrator nie jest zobowiązany do zachowania czy uzyskania dodatkowych informacji, aby móc zidentyfikować osobę, której dane dotyczą wyłącznie w celu spełnienia obowiązków wynikających z RODO (np. realizacja obowiązku informacyjnego). Jest to ściśle związane z zasadą minimalizacji danych, zgodnie z którą dane osobowe muszą być adekwatne, stosowne oraz ograniczone do celów, w których są przetwarzane. W praktyce administrator powinien przetwarzać tylko taki zakres danych, który pozwoli mu na zrealizowanie celu przetwarzania.

Również treść ust. 2. tegoż artykułu budzi wątpliwości. Wynika z niej, że jeśli administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje ją o tym. Nasuwa się zatem pytanie w jaki sposób administrator może poinformować tę osobę, skoro nie jest możliwe jej zidentyfikowanie? W komentarzu do RODO pod red. Edyty Bielak-Jomaa i Dominika Lubasza czytamy, że prawdopodobnie chodzi tu o sytuację, kiedy administrator nie zamierza zachować danych osobowych podmiotu danych, ponieważ przetwarzanie ich stało się niecelowe. I właśnie w takim przypadku powinien powiadomić osobę, której dane dotyczą o tej okoliczności.

W związku z powyższymi regulacjami nie mają zastosowania przepisy art. 15-20, czyli realizacja praw podmiotów danych:

  1. Prawa dostępu do danych osobowych.
  2. Prawa do sprostowania danych osobowych.
  3. Prawa do usunięcia danych osobowych.
  4. Prawa do ograniczenia przetwarzania danych osobowych.
  5. Prawa do uzyskania informacji o odbiorcach danych osobowych.
  6. Prawa do przenoszenia danych.

Powyższe uprawnienia będą jednak miały zastosowanie, jeśli osoba, której dane dotyczą, w celu wykonania przysługujących jej praw, dostarczy dodatkowych informacji, które pozwolą na jej identyfikację. W motywie 57 czytamy, że administrator nie powinien odmawiać przyjęcia dodatkowych danych od osoby, której dane dotyczą, by ułatwić wykonanie jej praw.

Przykładem zastosowania art. 11 może być sytuacja, kiedy administrator nie może spełnić obowiązku informacyjnego, gdyż nie przetwarza w swoich bazach danych teleadresowych osób, jak adres korespondencyjny czy adres e-mail. Pozyskanie tych danych tylko w celu spełnienia powyższego obowiązku nie jest konieczne, zwłaszcza że działanie takie byłoby sprzeczne z zasadą minimalizmu, która zobowiązuje administratorów do przetwarzania tylko takiego zakresu danych, który pozwoli zrealizować im główny cel przetwarzania.

Co naprawdę słyszy Google?

Hamburski Organ Nadzorczy, odpowiedzialny za kontrolowanie przetwarzania danych osobowych – Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), wszczął postępowanie przeciwko Google dotyczące przetwarzania danych za pomocą urządzeń, na których zainstalowano Asystenta Google (Google Assistant).

Hamburski DPA wziął pod lupę doniesienia dotyczące możliwości fizycznego analizowania przez pracowników Google nagrań, pozyskanych w ramach korzystania z Asystenta Google. Odnosząc się do ujawnionych rewelacji, Google przyznał, że analizowanie poleceń głosowych faktycznie ma miejsce. Ma ono na celu rozwój narzędzia jakim jest Google Assistant – różnice w sposobie wypowiadania się każdego człowieka (np. na skutek posługiwania się różnymi dialektami) mogą sprawiać, że polecenia głosowe nie będą zrozumiane, tak więc część z dostarczonych nagrań jest analizowanych przez ekspertów językowych, a następnie ręcznie wprowadzanych do systemu w celu poprawienia jakości analizatora mowy.

Broniąc swoich działań, Google stwierdził, że jedynie 0.2% przechowywanych nagrań poddawanych jest bezpośredniej analizie przez ekspertów językowych, a przekazywane im nagrania nie są powiązane z kontem użytkownika od którego pochodzą. Dodatkowo nagrania poleceń głosowych przesyłane są na serwery Google’a jedynie po aktywacji Asystenta – np. za pomocą komendy głosowej „Hey Google”, lub kliknięcia ikony mikrofonu, a proces ich pozyskiwania i przechowywania jest dobrze zabezpieczony.

Tłumaczenia Google nie przekonały HmbBfDI, które wskazało, że zgodnie z doniesieniami medialnymi pracownicy Google dokonując analiz próbek głosu mieli możliwość pozyskania danych osobowych (w tym danych szczególnych kategorii), co nierzadko było wynikiem niezamierzonej aktywacji Asystenta. Dodatkowo, niektóre z tak pozyskanych danych pochodziły od nieświadomych używania narzędzia osób trzecich, gdy mikrofon urządzenia rejestrował dźwięki w tle.

W związku z powyższym organ nakazał Google wstrzymanie dokonywania analiz nagrań głosu z pomocą swoich pracowników oraz podwykonawców na okres 3 miesięcy. Wskazano, że takie ograniczenie przetwarzania danych ma na celu tymczasową ochronę prawa do prywatności podmiotów danych.

Pod koniec sierpnia, Hamburski DPA przedstawił listę wymagań dotyczących wznowienia przez Google przetwarzania próbek głosu w celu usprawnienia działania systemów analizujących mowę. Wśród nich wyszczególniono m.in. że:

  • Do przetwarzania próbek głosu Google powinien uzyskać świadomą zgodę użytkowników.
  • Google powinien udzielić wyczerpujących informacji dotyczących przypadkowej aktywacji nagrywania głosu.
  • Użytkownicy powinni mieć świadomość, że wykorzystywanie narzędzia analizującego mowę może wiązać się z pozyskiwaniem nagrań osób im towarzyszących.

Źródła:

  1. https://datenschutz-hamburg.de/assets/pdf/2019-08-01_press-release-Google_Assistant.pdf, dostęp 01.09.2019
  2. https://www.blog.google/products/assistant/more-information-about-our-processes-safeguard-speech-data/ dostęp 01.09.2019
  3. https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-eavesdropping-even-in-flemish-living-rooms/, dostęp 01.09.2019