Testy bezpieczeństwa – wymagania, potrzeby a rzeczywistość  

Obserwowane zwiększone zapotrzebowanie na przeprowadzanie audytów bezpieczeństwa informacji nie jest tylko chwilową modą, czy skutkiem nałożenia na wiele podmiotów obowiązku ich przeprowadzania przez prawo lub organy nadzorcze, ale działaniem niezbędnym dla zapewnienia bezpieczeństwa systemom informatycznym i przechowywanym w nich danych.

 

  • W przypadku administracji publicznej działania te wymagane są przez Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności.
  • W przypadku podmiotów z sektora finansowego, obowiązek taki nakładają między innymi wytyczne KNF (dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w podmiotach infrastruktury rynku kapitałowego), a praktycznie wszystkie podmioty, do prowadzenia audytów bezpieczeństwa, w tym testów bezpieczeństwa – zobowiązuje Rozporządzenie RODO.

Coraz częściej audyty bezpieczeństwa obejmują także testy bezpieczeństwa i testy penetracyjne, mające na celu sprawdzenie odporności komponentów infrastruktury teleinformatycznej, systemów i procesów na próby przełamania zabezpieczeń, w sposób naśladujący zachowanie potencjalnych atakujących. Dzięki temu, testy bezpieczeństwa o ile są przeprowadzone rzetelnie i przez doświadczonego wykonawcę, stanowią rzeczywistą ocenę stanu bezpieczeństwa informacji i identyfikację słabych punktów wymagających pilnej interwencji.

 

Jakość, a nie jakoś

 

Dostępność narzędzi do wykonywania tzw. automatycznych testów bezpieczeństwa, a nawet istnienia zintegrowanych środowisk narzędziowych (np. dedykowanej dystrybucji systemu Linux) sprawia, że obecnie możliwe jest przeprowadzenie ich przez osoby nieposiadające wystarczającej wiedzy w obszarze bezpieczeństwa systemów teleinformatycznych (tzw. script kiddies). Raporty z tego typu testów są często niskiej jakości ze względu na brak doświadczenia i wiedzy „testerów” z zakresu bezpieczeństwa co prowadzi do braku możliwości prawidłowej interpretacji wyników.

 

Potrzeby a wymagania i rzeczywistość

 

Niewielkie podmioty administracji publicznej, w szczególności jednostki samorządu terytorialnego zazwyczaj ograniczają się do przeprowadzenia skanowania podatności dla posiadanych urządzeń. Dotyczy to w szczególności serwerów i stacji roboczych lub oszacowania poziomu bezpieczeństwa strony www i aplikacji web. Takie podejście jest często nierzetelne, gdyż co prawda pozwala na zidentyfikowanie otwartych portów, udostępnianie usług oraz podatnych na atak elementów, jednakże zaprezentowane przez skaner wyniki wymagają interpretacji przez doświadczonego eksperta.  

 

 

Nie zawsze pamiętamy, że nie mniej istotna od testów oprogramowania jest ocena świadomości personelu za pomocą testów socjotechnicznych, obejmujących m.in:

  • Próbę skłonienia personelu do ujawnienia haseł dostępowych np. poprzez rozmowę telefoniczną lub phishing.
  • „Podrzucenie” nośnika danych, który po podłączeniu do stacji roboczej spowoduje automatyczną instalację złośliwego oprogramowania wykradającego wpisywane hasła.

Jest to szczególnie istotne ze względu na fakt, że człowiek jest jednym z najsłabszych ogniw wszystkich systemów zabezpieczeń.

 

Jak dobrać testy penetracyjne do potrzeb

 

Wybór solidnego usługodawcy o ugruntowanej pozycji i posiadającego doświadczenie w wykonywaniu testów penetracyjnych, także odbiegających od standardowych zawsze stanowi bardzo korzystną alternatywę w stosunku do usługodawców nie mających dużego doświadczenia w świadczeniu swoich usług. Zawsze należy zawsze pamiętać, że celem takich testów jest zwiększenie poziomu bezpieczeństwa, a nie tylko spełnienie wymagań prawnych lub regulacyjnych.

Podsumowując, doświadczenie usługodawcy jest istotnym kryterium w jego wyborze, gdyż w perspektywie powinniśmy dostrzegać nie tylko  koszty związane z wykonaniem usługi, ale także potencjalne straty, finansowe i wizerunkowe związane z ewentualnym incydentem na skutek mało profesjonalnie wykonanych testów.

 

Funkcja Inspektora Ochrony Danych w oczach europejskich organów nadzorczych

Funkcja Inspektora Ochrony Danych (dalej również jako: „IOD”) na przestrzeni ostatnich kilku miesięcy stała się istotnym tematem w świecie ochrony prywatności. Zagadnieniu temu przyjrzał się bliżej nie tylko polski organ nadzorczy, ale również wydano wytyczne dotyczące pracy inspektorów we Francji. Niemniej istotne są również decyzje dotyczące pełnienia funkcji IOD z Luksemburga. Biorąc pod uwagę obecną oddolną inicjatywę UODO kontroli administratorów i podmiotów przetwarzających w zakresie IOD, konieczna jest kompleksowa lektura najnowszych wytycznych, decyzji i orzeczeń w celu spojrzenia na tę funkcję oczami europejskich organów nadzorczych.

IOD w oczach francuskiego CNIL

Najnowsze wytyczne[1] francuskiego organu nadzorczego CNIL z dnia 15 marca 2022 r. wskazują, iż funkcja IOD zmieniała się na przestrzeni ostatnich 4 lat. Zmiany w tym okresie nie miały charakteru jedynie ilościowego, ale również jakościowy. Według szacunków CNIL, powołanych zostało ponad 80.000 inspektorów ochrony danych na terenie Francji, którzy stali się „dyrygentami orkiestry” w zakresie zarządzania danymi osobowymi w organizacji. Mimo szeregu zadań, które wykonuje IOD, francuski organ nadzorczy podkreśla, iż inspektor nie odpowiada za zgodność organizacji z przepisami prawa, w tym RODO. Zadanie to należy bowiem do administratora danych.

Niezwykle interesującym zagadnieniem jest certyfikacja inspektorów we Francji. Już od 2018 roku CNIL prowadzi listę instytucji, które umożliwiają inspektorom uzyskanie dokumentu potwierdzającego adekwatny poziom znajomości przepisów RODO, który ważny jest przez okres 3 lat. Z perspektywy administratorów danych, niewątpliwie taki dokument odpowiada na potrzeby biznesowe rynku.

Niemniej ważnym problemem poruszanym we francuskich wytycznych jest konflikt interesów. Urząd, podtrzymując wyjaśnienia z wytycznych[2], wskazuje, że do przykładów powodujących konflikt interesów zalicza się łączenie funkcji inspektora ochrony danych i dyrektora zarządzającego, dyrektora operacyjnego, kierownika działu marketingu, kierownika działu personalnego czy też kierownika działu IT. Nie należy jednakże zapominać, iż pracownicy zajmujący niższe stanowiska w hierarchii organizacji, mogą również być narażeni na występowanie konfliktu interesów, gdy osoba ta decyduje o celach i sposobach przetwarzania. Francuski urząd zwraca uwagę czytelników wytycznych, aby podchodzić do badania kwestii potencjalnego konfliktu interesów w odniesieniu do konkretnych przypadków.

Należy również wspomnieć, iż wytyczne CNIL zawierają szereg informacji mogących być przydatnych nie tylko dla inspektorów (tj. jak doskonalić swoje umiejętności z zakresu ochrony prywatności), ale również dla administratorów (tj. lista pytań przy powoływaniu inspektora). Niewątpliwie wytyczne przygotowane przez francuski organ nadzorczy mogą stać się istotnym źródłem informacji dla wielu podmiotów.

IOD w oczach polskiego UODO

Polski Urząd Ochrony Danych Osobowych przez ponad 4 lata od rozpoczęcia stosowania przepisów RODO, nie przygotował kompleksowych wytycznych na temat pełnienia funkcji IOD.

W marcu 2022 r. Urząd Ochrony Danych Osobowych pochylił się nad zagadnieniem pełnienia funkcji inspektora ochrony danych rozpoczynając weryfikację przestrzegania przepisów poprzez wysyłkę listy 27 pytań do wybranej grupy kilkudziesięciu podmiotów[3]. Do przedstawienia odpowiedzi zostali wezwani administratorzy i podmioty przetwarzające pod rygorem kary za brak współpracy z organem nadzorczym. W tym miejscu należy podkreślić, iż podmioty, do których skierowano zapytania były pierwszą grupą adresatów, a urząd nie wyklucza dalszego kierowania zapytań do pozostałych podmiotów z rynku. Interesującym może być również fakt, iż przedsięwzięcie to jest oddolną inicjatywą urzędu, której nie było w planie kontroli na rok 2022, jak również to, że nieznany jest klucz doboru organizacji, do których zostały skierowane wezwania z listą 27 pytań. Wiadomym zaś jest, iż adresaci korespondencji o jednakowej treści wezwania, to podmioty zarówno z sektora prywatnego, jak i publicznego oraz że krajowy organ nie poprzestał na zadaniu jedynie wyjściowej listy zagadnień dotyczących inspektora ochrony danych w dalszej korespondencji z organizacjami.

Publikacja pytań przez UODO wskazuje zagadnienia, które mogą być przedmiotem kontroli również u innych organizacji. Z uwagi na publiczne udostępnienie zagadnień będących w centrum zainteresowania urzędu nadzorczego, jest to właściwy czas dla administratorów i podmiotów przetwarzających, aby dokonać wewnętrznej weryfikacji w zakresie nie tylko powołania IOD, ale również spełniania wymagań rozporządzenia.

Niewątpliwie, tę oddolną inicjatywę UODO należy ocenić pozytywnie. W szczególności, iż w dotychczas wydanych decyzjach administracyjnych jedynie jednokrotnie organ pochylił się nad zagadnieniem inspektora ochrony danych. W przedmiotowej decyzji[4], organ nadzorczy udzielił upomnienia szpitalowi za zobowiązanie inspektora ochrony danych do nadawania upoważnień personelowi w zakresie przetwarzania danych osobowych. Biorąc pod uwagę jednakże obecne działania organu, zasadnym jest pokładanie nadziei, iż wkrótce zostaną wydane kolejne decyzje administracyjne lub wytyczne w zakresie pełnienia funkcji IOD. Nieprawidłowości w tym przedmiocie są bowiem zagrożone sankcjami.

IOD w oczach luksemburskiego CNPD

Luksemburski organ nadzorczy wydał tylko w 2021 r. aż 5 kar o łącznej wysokości blisko 80.000 euro za nieprawidłowości związane z powołaniem inspektora ochrony danych. W swych decyzjach, urząd zwrócił uwagę na nieprawidłowości związane m.in. z brakiem angażowania IOD we wszystkie sprawy dotyczące ochrony danych osobowych (naruszenie art. 38 ust. 1 RODO), czy również brak podległości bezpośrednio pod zarząd organizacji (naruszenie art. 38 ust. 3 RODO). Luksemburskiemu organowi nie umknęło również zwrócenie uwagi podmiotowi z sektora publicznego, iż dane kontaktowe inspektora powinny znajdować się w łatwo dostępnym miejscu na stronie internetowej (naruszenie art. 37 ust. 7 RODO), jak również, iż administrator nie zapewniał IOD niezbędnych zasobów do pełnienia funkcji (naruszenie art. 38 ust. 2 RODO). Wyciągając wnioski z decyzji, administratorzy powinni również pamiętać o powoływaniu na funkcję inspektora ochrony danych osobę o odpowiednich kwalifikacjach. Według luksemburskiego CNPD, osoba pełniąca tę funkcję powinna dysponować minimum 3-letnim doświadczeniem związanym z ochroną prywatności.

Niewątpliwie, dopiero kompleksowa analiza wytycznych francuskiego CNIL dotycząca IOD w powiązaniu z decyzjami luksemburskiego CNPD, jak i ostatnich podjętych działaniach przez krajowy organ nadzorczy UODO, pozwala na uzyskanie szerszej perspektywy i oczekiwań europejskich urzędów do spraw ochrony danych osobowych dotyczącej materii IOD. To co różni wskazane powyżej trzy organy, to podejście do współpracy z administratorami i podmiotami przetwarzającymi. Każdy z nich zdecydował się na inną formę współpracy i komunikację swych oczekiwań wobec podmiotów zobowiązanych do stosowania przepisów RODO. Francuski organ nadzorczy skupił się na podejściu mającym na celu wyspecjalizowanie IOD oraz ich certyfikację, dając inspektorom i organizacjom możliwość zdobywania wiedzy na temat ciążących na nich obowiązków. Polski urząd podjął działania mające na celu weryfikację działań w ramach oddolnej inicjatywy, gdy zaś luksemburski organ nadzorczy zdecydował się sankcje. Mimo wyboru różnych dróg, cel europejskich organów nadzorczych jest wspólny tj. zapewnienie odpowiedniego stosowania przepisów dotyczących inspektora ochrony danych w każdej organizacji.

Webinar dotyczący IOD

Po większą dawkę wiedzy zapraszamy na nasz darmowy webinar dt. funkcji Inspektora Ochrony Danych na przestrzeni ostatnich kilku miesięcy, które są istotnym tematem w świecie ochrony prywatności. 

Data: 30.08.22, godz. 11:00 – 12:00.

 

[1] https://www.cnil.fr/

[2] Wytyczne dotyczące inspektorów ochrony danych opracowane przez Grupę Roboczą Art. 29

[3] https://uodo.gov.pl/pl/138/2336

[4] https://uodo.gov.pl/pl/354/1872

Jak skutecznie zarządzać podatnościami?

Zapraszamy na webinar, w trakcie którego podzielimy się najlepszymi praktykami nt. skutecznego zarządzania podatnościami. Podatności bezpieczeństwa to wszelkiego rodzaju luki bezpieczeństwa, które mogą być wykorzystane przez atakującego w celu nieuprawnionego pozyskania, modyfikacji lub usunięcia chronionych informacji.

Luki bezpieczeństwa mogą być spowodowane:

  • Błędami w stosowanym oprogramowaniu lub zabezpieczeniach.
  • Błędami w konfiguracji zabezpieczeń lub całych systemów informatycznych.
  • Błędami ludzkimi.
  • Stosowaniem niewłaściwych zabezpieczeń.
  • Wykorzystywaniem systemów informatycznych niezgodnie z dokumentacją eksploatacyjną.

Zarządzanie podatnościami to proaktywny proces zapobiegania potencjalnym incydentom bezpieczeństwa. Dzięki niemu mamy szanse ograniczyć (zminimalizować) możliwości potencjalnego ataku na naszą organizację przez cyberprzestępców.

Jeśli są Państwo zainteresowani pozyskaniem wiedzy, jak taki proces należy zorganizować lub wdrożyć niewielkim kosztem to serdecznie zapraszamy na nasze webinarium.

 

Data: Czwartek, 15 Września 2022, godz.: 11:00 – 12:00

Link do rejestracji.

 

Zapraszamy! 

„Dark patterns” a RODO

Europejska Rada Ochrony Danych Osobowych (EROD) 03 marca 2022 r. opublikowała „Wytyczne 3/2022 w sprawie tzw. dark patterns w interfejsach platform społecznościowych: Jak je rozpoznawać i jak ich unikać”[1]. Dokument jest obecnie na etapie konsultacji publicznych. Kwestia wykorzystywania „dark patterns”, znanych w świecie UX design jest ciekawym problemem w kontekście naruszenia przepisów Ogólnego Rozporządzenia o Ochronie Danych[2] (dalej RODO), na który zwrócił uwagę EROD, dostrzegając potrzebę wydania wytycznych w tym przedmiocie.

 

Ciemna strona świata UX – czym są tzw. dark patterns?

Warto zacząć od wyjaśnienia czym właściwie są „dark patterns”. Tym terminem określa się praktyki stosowane w dziedzinie user experience (UX). Są to różnego rodzaju rozwiązania z zakresu user experience oraz interfejsy projektowane po to, by wymusić na użytkowniku określone działanie poprzez wprowadzenie go w błąd. Nie­któ­re z nich mogą wy­glą­dać na błędy w pro­jek­to­wa­niu, ale w rze­czy­wi­sto­ści są to za­pla­no­wa­ne dzia­ła­nia ma­ją­ce na celu zdo­by­cie ad­re­su e-mail czy in­nych da­nych albo wymuszające określone zachowanie użytkownika, przykładowo dodatkowy zakup produktu. Tego rodzaju praktyki UX stosowane są w rozmaitych sektorach gospodarczych, przykładowo w e- commerce, na witrynach firm ubezpieczeniowych, czy chociażby w systemach operacyjnych.

Wprowadzenie w błąd użytkownika często przybiera postać niejasno sformułowanych komunikatów. Pożądane akcje mogą być również sugerowane wielkością i kolorystyką, np. przycisk „Tak, składam zamówienie” jest dużo większy i kolorowy, a „Nie, dziękuję” zdecydowanie mniej widoczny  i niewyróżniający się. Coraz bardziej popularnym działaniem jest również tzw. „confirmshaming”. Jest to metoda, w ramach której grając na emocjach użytkownika, w szczególności na poczuciu winy próbuje się go zmusić do określonej akcji. Przykładowo, przy zamawianiu np. karmy dla zwierzęcia, mamy do wyboru opcje w stylu: „Tak, zamawiam” albo „Rezygnuję, nie chcę dbać o zdrowie mojego zwierzęcia”. Innym przykładem może być tzw. bait and switch, schemat polegający na zwodzeniu odbiorcy poprzez wdrożenie nietypowego i nieintuicyjnego dla odbiorcy interfejsu, który jest odmienny od poprzednio przyjętego w praktyce i powszechnie znanego. Projektanci stron internetowych wprowadzają w ten sposób użytkowników w błąd, „łapiąc” ich na intuicyjne, powtarzalne ruchy, np. kliknięcie X w prawym górnym rogu, które dla większości użytkowników jest równoznaczne z zamknięciem okna. Sztandarowym przykładem „ciemnego wzoru” jest także domyślnie zaznaczony checkbox zgody na przetwarzanie danych osobowych.

Obszerną listę przykładów wraz objaśnieniem można odnaleźć we wspomnianych wytycznych EROD. Wytyczne EROD dotyczące „dark patterns” mogą być pomocne nie tylko dla mediów społecznościowych, ale dla szerokiego spektrum różnego rodzaju serwisów i aplikacji, w tym zwłaszcza e-commerce. Przedstawione tam mechanizmy mają bowiem uniwersalny charakter, dostarczają wiedzy na temat „dark patterns” oraz wskazują na kontekst prawny ochrony danych osobowych, który musi być znany wszystkim podmiotom stosującym tego typu działania.

Wśród głównych typów „dark patterns”, które wyróżnił EROD mieszczą się następujące kategorie:

  1. Przeładowywanie (Overloading), czyli konfrontowanie użytkownika z natłokiem próśb, informacji, ponagleń, opcji czy możliwości tak, aby spowodować, że udostępni on więcej danych lub że zezwoli na przetwarzanie danych w szerszym zakresie aniżeli by sobie tego życzył.
  2. Opuszczanie (Skipping), czyli zaprojektowanie interfejsu lub UX serwisu w taki sposób, aby użytkownik zapomniał lub w ogóle nie pomyślał o kwestiach związanych z ochroną danych osobowych.
  3. Zamieszanie (Stirring), czyli wpływanie na użytkowników poprzez odwoływanie się do ich emocji lub poprzez stosowanie kruczków wizualnych.
  4. Utrudnianie (Hindering): przeszkadzanie lub blokowanie użytkowników w procesie zdobywania informacji lub zarządzania danymi poprzez utrudnianie lub uniemożliwianie wykonania działania.
  5. Fałszywy, zwodniczy (Fickle): projekt interfejsu jest niespójny i  niezbyt przejrzysty, co utrudnia użytkownikom poruszanie się po różnych narzędziach kontroli ochrony danych i zrozumienie celu przetwarzania danych.
  6. Pozostawiony w niewiedzy (Left in the dark): interfejs jest zaprojektowany w taki sposób, aby ukryć informacje lub narzędzia kontroli ochrony danych lub pozostawia użytkowników w niepewności co do tego, jak przetwarzane są ich dane i jaki rodzaj kontroli nad nimi mogą mieć w zakresie korzystania z przysługujących im praw.

RODO w kontekście „dark patterns”

Stosowanie „dark patterns” jest kontrowersyjne, ponieważ rodzi ryzyka naruszenia różnych przepisów RODO. Wszystko zależy od stosowanego rodzaju „ciemnego wzoru”, a także sposobu jego prezentacji, niemniej wśród potencjalnych wymogów RODO, które mogą zostać naruszone na skutek używania „dark patterns” trzeba wskazać na poniższe aspekty zgodności z RODO.

  • Zasady przetwarzania danych określone w art. 5 ust. 1 RODO.

Niewątpliwie stosowanie „dark patterns” może być uznane za praktykę godzącą w  podstawowe zasady określone w art. 5 ust. 1 RODO, przede wszystkim zasadę zgodności z prawem, rzetelności i przejrzystości. Nie można także zapominać, że dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczenia celu) oraz adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji danych). W przypadku stosowania różnych typów „dark patterns” istnieje duże ryzyko, że wspomniane zasady zostaną naruszone. Europejska Rada Ochrony Danych  w  wytycznych dotyczących „dark patterns” podkreśla znaczenie zasady rzetelności („fairness”), wskazując, że wszystkie „ciemne wzory” nie byłyby zgodne z tą zasadą niezależnie od przestrzegania innych zasad ochrony danych. Zasada ta jest nadrzędna i wymaga, by dane osobowe nie były przetwarzane w sposób szkodliwy, dyskryminujący, nieoczekiwany lub wprowadzający w błąd osobę, której dane dotyczą.

  • Warunki wyrażenia zgody (art. 7 RODO).

Zastosowanie interfejsu nakierowanego na wymuszenie zgody w rozumieniu RODO poprzez jego nietransparentną formę, niepozostawiającą użytkownikowi dobrowolności w zakresie wyrażenia zgody prowadzić będzie wprost do naruszenia art. 7 RODO i opisanych w nim warunków wyrażenia zgody. Często bowiem, tego typu „zwodnicze” interfejsy są stosowane, by właśnie pozyskać zgodę użytkownika na określone przetwarzanie przy braku jego świadomości na co się godzi i braku spełnienia przesłanki dobrowolności.

  • Zasada przejrzystości (art. 12 RODO).

Istotna w kontekście stosowania „ciemnych wzorców” jest zasada przejrzystości szczegółowo opisana w art. 12 ust. 1 RODO. W szczególności zgodnie z tą zasadą wymagane jest, by informacje lub komunikacja były dostarczane podmiotom danych w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Należy używać jasnego i prostego języka i ów wymóg ma szczególne znaczenie, jeżeli informacje są kierowane do dziecka. Nie należy zapominać, że jakość, dostępność i zrozumiałość informacji jest tak samo ważna jak rzeczywista jej treść dostarczana osobom, których dane dotyczą[3].

Z samego więc założenia rozwiązania typu „dark patterns” naruszają wskazaną regulację, ponieważ ich stosowanie właśnie zmierza do zaciemnienia przekazu, wprowadzenia w błąd użytkownika tak, aby podjął działanie, którego w normalnych warunków nie podjąłby.

  • Zasada rozliczalności (art. 5 ust.2 RODO).

Nie można zapomnieć także o zasadzie rozliczalności, która powinna być realizowana w mediach społecznościowych za pomocą wprowadzonych na stronach internetowych rozwiązań graficznych i narzędzi. Projektowane interfejsy powinny służyć jako dowody realizacji obowiązków nałożonych przez RODO na administratora. Przykładowo, interfejs użytkownika i ścieżka użytkownika mogą być używane jako narzędzie dokumentacji służące wykazaniu, że użytkownicy, podczas swoich aktywności na platformie mediów społecznościowych zapoznali się i brali pod uwagę ochronę danych osobowych i z łatwością mogli skorzystać ze swoich praw. Innym przykładem realizacji zasady rozliczalności jest zaprojektowany panel do wyrażenia zgody na przetwarzanie danych osobowych, który pozwala na wykazanie prawidłowego, dobrowolnego i świadomego wyrażenia zgody przez podmiot danych.

  • Privacy by design i privacy by default (art. 25 RODO).

Trzeba też wspomnieć o uwzględnianiu zasady privacy by design (ochrona danych w fazie projektowania) oraz zasady privacy by default (domyślnej ochrony danych) na etapie konstruowania rozmaitych interfejsów. Administrator powinien wybrać i odpowiadać za wdrożenie domyślnych ustawień ochrony danych i opcji w taki sposób, aby jedynie przetwarzanie, które jest ściśle niezbędne do osiągnięcia określonego, zgodnego z prawem celu, było realizowane domyślnie. W takim przypadku administratorzy muszą polegać na swojej ocenie konieczności (niezbędności) przetwarzania w odniesieniu do podstaw prawnych art. 6 ust. 1 RODO. Oznacza to, że domyślnie administrator danych nie gromadzi większej liczby danych niż jest to niezbędne. Projektując rozwiązania w szczególności powinien zadbać o realizację wszystkich zasad określonych w RODO. Przykładowo, kluczowe elementy uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych w stosunku do zasady przejrzystości mogą obejmować:

  • Jasność – informacje są podawane jasnym i prostym językiem, są zwięzłe i zrozumiałe.
  • Semantykę – komunikacja ma jasne znaczenie dla danej grupy odbiorców;.
  • Dostępność – informacje są łatwo dostępne dla osoby, której dane dotyczą.
  • Kontekst – informacje są przekazywane w odpowiednim czasie i w odpowiedniej formie.
  • Zrozumiałość – osoby, których dane dotyczą, muszą dokładnie rozumieć, czego mogą oczekiwać w odniesieniu do przetwarzania ich danych osobowych, szczególnie w przypadku, gdy osobami, których dane dotyczą, są dzieci lub członkowie innych grup szczególnie wrażliwych.
  • Warstwowość – informacje powinny być ułożone warstwowo w sposób, który rozwiązuje problem napięcia między kompletnością a zrozumieniem, przy jednoczesnym uwzględnieniu uzasadnionych oczekiwań osób, których dane dotyczą. [4]

Dobre praktyki

Warto nadmienić dobre praktyki pozwalające na unikanie stosowania „dark patterns”, na które wskazuje EROD we wspomnianych w artykule wytycznych. Są to przykładowo następujące mechanizmy:

  • W polityce prywatności dla każdej informacji o ochronie danych osobowych należy podać linki, które bezpośrednio przekierowują do stron poświęconych ochronie danych osobowych na platformie społecznościowej.
  • Gdy platforma mediów społecznościowych jest dostępna za pośrednictwem różnych urządzeń (np. komputer, smartfony itp.), ustawienia i informacje związane z ochroną danych powinny być zlokalizowane w tych samych przestrzeniach w różnych wersjach i powinny być dostępne za pośrednictwem tych samych elementów interfejsu (menu, ikony itp.).
  • Sformułowania i definicje użyte w polityce prywatności powinny być spójne z tymi zastosowanymi w pozostałych miejscach na stronie internetowej.

Podsumowując, praktyka stosowania „ciemnych wzorców” prowadzi do naruszenia obowiązujących przepisów o ochronie danych osobowych. Pamiętajmy, że naruszenie zasad RODO, w tym warunków wyrażenia zgody może stanowić podstawę nałożenia przez organ nadzorczy kar pieniężnych. Z sankcjami może również  spotkać się nieuwzględnienie w ramach prowadzonych działań zasady privacy by design oraz privacy by default. Twórcy interfejsów, projektując rozwiązania dla użytkowników sieci powinni zatem brać pod uwagę kontekst ochrony danych. Pomocne w unikaniu błędów w ramach projektowanych interfejsów mogą być właśnie wskazówki EROD, które szczegółowo zarysowują otoczenie prawne dla praktyk „dark patterns” oraz wskazują na przykładowy zestaw dobrych praktyk. 

[1] https://edpb.europa.eu/

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[3] Wytyczne Grupy Roboczej art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679, WP260 rev.01

[4] Wytyczne EROD nr 4/2019 dotyczące artykułu 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych Wersja 2.0 przyjęte 20 października 2020 r.

Inspektor Ochrony Danych – najnowsze wytyczne, orzecznictwo i podejście UODO

Działalność Inspektorów Ochrony Danych stała się istotnym tematem w świecie ochrony prywatności. Przedstawimy Państwu kompleksowe omówienie roli IOD w organizacji, co zwiększy nie tylko Państwa wiedzę na temat tej funkcji, ale również pozwoli uzyskać szerszą perspektywę i umożliwi podjęcie odpowiednich dalszych działań

Agenda:

  • Inspektor Ochrony Danych – kim jest, jakie są jego zadania i jaką pełni funkcję w organizacji?
  • Najnowsze wytyczne dotyczące IOD, czyli jak powinna kształtować się funkcja inspektora w organizacjach i w perspektywie organów nadzorczych w Europie.
  • Orzecznictwo i decyzje organów europejskich dotyczące pełnienia funkcji IOD, czyli co już wiemy i w jakim kierunku powinniśmy podążać.
  • IOD w opinii polskiego UODO.

 

Data: 30.08.2022, godz. 11:00 – 12:00.

Link do wydarzenia.

Serdecznie zapraszamy!

Odpowiedzialność karna a RODO

Czy brak wdrożenia RODO w organizacji może skutkować odpowiedzialnością karną kierownictwa organizacji? Czy pracownik organizacji, zobowiązany do ochrony danych osobowych, może zostać pociągnięty do odpowiedzialności karnej? Na jakie sankcje narażony jest pracownik, który narusza przepisy ochrony danych osobowych? Zasada rozliczalności jako obrona przed odpowiedzialnością karną.

Pomimo tego, iż Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/ 46/ WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) nie wprowadza  sankcji karnych za niezgodne z prawem przetwarzanie danych osobowych, nie oznacza to że prawodawca europejski nie przewidział możliwości ich wprowadzenia przez poszczególne państwa członkowskie. Zgodnie z art. 84 ust 1 RODO „państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.”

 

W motywie 149 RODO znajduje się odwołanie wprost do sankcji karnych. Zgodnie z tym motywem „państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie RODO, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach.” Należy jednak mieć na uwadze, że zgodnie z wykładnią Trybunału Sprawiedliwości Unii Europejskiej (por. wyroki w sprawach C-524/ 15 Luca Menci, C-537/ 16 Garlsson Real Estate SA i in./ Commissione Nazionale per le Società e la Borsa (Consob) oraz w sprawach połączonych C-596/ 16 Enzo Di Puma/ Consob i C-597/ 16 Consob/ Antonio Zecca), nałożenie sankcji za naruszenie przepisów krajowych i nałożenie kar administracyjnych nie może ograniczać zasady ne bis in idem, czyli ta sama osoba nie może być ponownie sądzona lub ukarana za to samo przestępstwo w postępowaniu karnym, a także w zbiegu postępowań karnych z administracyjnymi (szerzej na ten temat: Arkadiusz LACH, Sankcje administracyjne i karne a zakaz podwójnego karania w świetle najnowszego orzecznictwa ETPCz i TS [1]).

 

Ustawodawca krajowy uregulował odpowiedzialność karną za naruszenie przepisów o ochronie danych osobowych w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: UODO). Art. 107 i 108 tejże ustawy statuują odpowiedzialność karną w następujących przypadkach:

  • Przetwarzanie danych osobowych jest niezgodne z prawem (art. 107 ust. 1 in principium UODO).
  • Przetwarzanie danych osobowych odbywa się przez osobę do tego nieuprawnioną (art. 107 ust. 2 in fine UODO).
  • Udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych albo niedostarczanie danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarczanie danych, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej (art. 108 ust. 1 i 2 UODO).

 

Zgodnie z UODO, powyższe występki zagrożone są karami grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch, w przypadku zaś, gdy czyn, określony w art. 107 ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

 

Zgodnie z treścią art. 1 § 1 kodeksu karnego „odpowiedzialności karnej podlega ten tylko, kto popełnia czyn zabroniony pod groźbą kary przez ustawę obowiązującą w czasie jego popełnienia, odpowiedzialność karną za naruszenie przepisów ochrony danych osobowych może ponosić wyłącznie pracownik organizacji, w tym również członek jej kierownictwa.

 

Występki określone w art. 107 UODO należą do kategorii przestępstw powszechnych, mogą one zostać popełnione przez każdą osobę, której można przypisać zdolność do odpowiedzialności karnej, są przestępstwami ściganymi z urzędu, z oskarżenia publicznego.

 

Odpowiedzialności karnej za niedopuszczalne lub niezgodne z prawem przetwarzanie danych podlega ten, kto:

  • Przetwarza dane osobowe.
  • Czyni to w sposób niedopuszczalny w danym stanie faktycznym lub nie posiada uprawnienia do takiego przetwarzania.
  • Przetwarza dane w sposób umyślny.

 

Warto zwrócić w tym miejscu uwagę na fakt, iż przestępstw niezgodnego z prawem lub nieuprawnionego przetwarzania danych można dokonać niezależnie od tego, czy do przetwarzania danych sprawca zobowiązany był do stosowania przepisów RODO czy nie. Przetwarzanie danych osobowych, nawet, jeśli nie mają do niego zastosowania przepisy RODO, wciąż pozostaje przetwarzaniem danych osobowych. Przykładami tego typu przetwarzania jest np. nielegalne wejście sprawcy w posiadanie danych osobowych, nielegalne wykorzystanie przez niego danych osobowych lub ich przetwarzanie w ramach czynności o czysto osobistym lub domowym charakterze, np. gdy zostały pozyskane wskutek pomyłki nadawcy wiadomości, zawierającej takie dane.

 

Obok przestępstw opisanych w UODO, może także dojść do przestępstw przeciwko ochronie informacji, wskazanych w rozdziale XXXIII kodeksu karnego. Pomimo tego, że obie kategorie przestępstw są od siebie niezależne, sprawca jednym działaniem może popełnić przestępstwa określone w kilku przepisach karnych. Może się tak bowiem zdarzyć, że osoba, działając bez uprawnienia  uzyska dostęp do informacji dla niego nieprzeznaczonej, wypełniając swoim działaniem znamiona dwóch przestępstw, tj. art. 267 § 1 kk oraz art. 107 ust. 1 UODO.

 

Zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO, na administratorze (lub na podmiocie przetwarzającym) ciąży obowiązek wykazania zgodności przetwarzania danych z przepisami RODO lub konieczność wykazania, że nie ponosi on winy za wyrządzoną szkodę. Kluczowa, z punktu widzenia RODO, zasada rozliczalności jest faktycznie przeciwieństwem zasady domniemania niewinności, wynikającym z art. 5 § 1 kodeksu karnego (dalej kk). W zakresie odpowiedzialności karnej za niezgodne z prawem przetwarzanie danych osobowych nie pozostaje ona jednak bez wpływu na ewentualną odpowiedzialność karną sprawcy naruszenia.

 

Stosując zasadę rozliczalności można przypisać sprawcy odpowiedzialność karną. Aby udowodnić sprawcy popełnienie przestępstwa, prokurator może wnieść zarzut o niedopuszczalności lub niezgodności z prawem przetwarzania danych osobowych. Milczenie sprawcy działa na w tym przypadku na jego niekorzyść. Jeśli nie potrafi on wykazać (rozliczyć się), iż przetwarza dane osobowe w sposób legalny, przyjmuje się, że albo nie zna on podstawy prawnej przetwarzania danych osobowych albo stara się ją ukryć. A contrario, zasada rozliczalności stanowi więc kluczowy element dla obrony przed podejrzeniem o popełnienie przestępstwa. Dokumentowanie procesów przetwarzania danych osobowych, wskazujących na ich zgodność z prawem okazuje się więc kluczowe dla obrony przez podejrzeniem o popełnienie przestępstwa. Brak takich dowodów może bowiem negatywnie wpłynąć na ocenę działań podejmowanych przez sprawcę.

 

Obok zasady rozliczalności warto także wspomnieć o zasadzie minimalizacji (art. 25 ust. 2 RODO). Organizacje, które stosują łącznie obie powyższe zasady są dużo bardziej odporne na uniknięcie odpowiedzialności karnej za podejrzenie o przetwarzaniu danych osobowych bez uprawnień. Właściwe stosowanie tych zasad pozwala na łatwiejszą identyfikację osób, którym przydzielono konkretny zakres uprawnień do przetwarzania danych osobowych, co pozwala na przypisanie konkretnej odpowiedzialności.

 

Zasada rozliczalności pomaga również wykazać umyślność popełnienia przestępstwa, szczególnie jeżeli sprawca działał w zamiarze ewentualnym. Ten typ zamiaru polega bowiem na tym, że sprawca wie o tym, że jego działanie może być przestępstwem, jednakże godzi się na taką konsekwencję (art. 9 § 1 in fine kk).

 

Podsumowując, brak wdrożenia RODO w organizacji jest z pewnością przesłanką obciążającą jej kierownictwo i może skutkować jego odpowiedzialnością karną. W poprawnie funkcjonującej organizacji łatwo jest wskazać osoby odpowiedzialne za przetwarzanie danych osobowych, a co za tym idzie także osoby odpowiedzialne za popełnienie jednego z opisywanych powyżej przestępstw.  Wdrożenie RODO oraz odpowiednie przeszkolenie osób bezpośrednio odpowiedzialnych za przetwarzanie danych osobowych zwalnia kierownictwo organizacji od poniesienia odpowiedzialności karnej. Osobom upoważnionym do przetwarzania danych osobowych, które dodatkowo przeszły szkolenie RODO trudniej jest bowiem wytłumaczyć się niewiedzą.

[1] https://pk.gov.pl/wp-content/uploads/2017/09/fd6d39319302d20826f35d00015c463b.doc

EROD wydaje wytyczne dotyczące harmonizacji kar – czy administratorzy danych otrzymają taryfikator przewinień?

Unia Europejska, za pomocą ogólnego rozporządzenia o ochronie danych (zwanego dalej „RODO”, „Rozporządzenie”) zakończyła ważny etap kompleksowej reformy regulacji ochrony danych w Europie. Rozporządzenie opiera się na kilku kluczowych elementach, a jednym z nich są silniejsze uprawnienia organów nadzorczych w zakresie egzekwowania przepisów. Rozporządzenie nakłada znacznie podwyższony poziom kar pieniężnych za naruszenie przepisów ochrony danych osobowych – znany już także polskim przedsiębiorcom.

Rozporządzenie przewiduje także harmonizację wysokości kar w poszczególnych państwach członkowskich – jednak czy faktycznie do tego doprowadziło?

 

5 kroków dla organów nadzorczych

W związku z przewidzianym w Rozporządzeniu obowiązkiem harmonizacji, Europejska Rada Ochrony Danych (dalej: „EROD”) opracowała wytyczne, które mają zapewnić jasną i przejrzystą podstawę dla organów nadzorczych do ustalania wysokości kar administracyjnych. Biorąc pod uwagę ogólne warunki nakładania kar administracyjnych zawarte w art. 83 RODO, EROD określiła 5 etapową metodologię obliczania wysokości kar.

  • W pierwszej kolejności, organ ochrony danych musi ustalić, czy dana sprawa dotyczy jednego czy większej liczby przypadków zachowania podlegającego sankcjonowaniu i czy doprowadziły one do jednego czy wielu naruszeń.

Organ ochrony danych powinien rozważyć, jakie zachowania i naruszenia miałyby być podstawą nałożenia kary administracyjnej. Artykuł 83 ust. 3 RODO stanowi, że jeżeli administrator lub podmiot przetwarzający narusza kilka przepisów Rozporządzenia w ramach tych samych lub powiązanych operacji przetwarzania, to całkowita kwota kary administracyjnej nie może przekroczyć maksymalnej kwoty mającej zastosowanie do najpoważniejszego z tych naruszeń.

  • Po drugie, przy decyzji o nałożeniu kary administracyjnej organ ochrony danych musi opierać się na punkcie wyjścia do obliczenia kary pieniężnej, dla którego EROD zapewnia zharmonizowaną metodę.

Organ ochrony danych powinien przede wszystkim dokonać klasyfikacji naruszenia zgodnie z art. 83 ust. 4-6 RODO, który wskazuje dwa przedziały maksymalnych kar administracyjnych w zależności od przepisu Rozporządzenia, którego dotyczyło naruszenie. W dalszej kolejności organ powinien zwrócić uwagę na charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, których dane dotyczą oraz rozmiar poniesionej przez nie szkody, kategorie danych osobowych których dotyczyło naruszenie oraz umyślność lub nieumyślność naruszenia (art. 83 ust. 2 lit. a), b), g) RODO). W celu nałożenia skutecznej, odstraszającej i proporcjonalnej kary pieniężnej organ bierze również pod uwagę obroty przedsiębiorstwa, którego miałaby dotyczyć sankcja.

  • Po trzecie, organ ochrony danych powinien wziąć pod uwagę okoliczności obciążające lub łagodzące, które mogą zwiększyć lub zmniejszyć kwotę kary pieniężnej.

Po określeniu punktu wyjścia przez organ, bierze on pod uwagę okoliczności wskazane w art. 83 ust. 2 RODO takie jak: działania podjęte przez administratora (lub podmiot przetwarzający) w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, wcześniejsze naruszenia czy stopień współpracy z organem nadzorczym.

  • Czwartym krokiem ma być określenie maksymalnych pułapów kar pieniężnych określonych w art. 83 ust. 4–6 RODO oraz zapewnienie, że kwoty te nie zostaną przekroczone.

Maksymalna wysokość grzywny będzie zależeć od tego, czy naruszenie wchodzi w zakres art. 83 ust. 4 RODO, czy też art. 83 ust. 5 i 6 RODO. Mimo że EROD stara się odnieść w tym punkcie pomocniczo do pojęć z zakresu prawa konkurencji oraz dorobku orzeczniczego Trybunału Sprawiedliwości Unii Europejskiej, nie wprowadza żadnych jasnych i nowych interpretacji, ponad te z którymi zaznajomieni są praktycy prawa europejskiego.

  • W piątym i ostatnim etapie organ ochrony danych musi przeanalizować, czy obliczona kwota końcowa spełnia wymogi dotyczące skuteczności, odstraszającego charakteru i proporcjonalności, czy też konieczne są dalsze korekty kwoty.

Ostatnim krokiem w proponowanej przez EROD metodologii jest ocena, czy obliczona ostateczna kwota spełnia wspomniane wymogi skuteczności, odstraszania i proporcjonalności. Jeżeli jest to konieczne do spełnienia wymogu skuteczności, odstraszania i proporcjonalności kary, organ nadzorczy może nadal korygować jej wysokość – nie przekraczając jednak odpowiedniego maksimum prawnego.

 

Praktyczne skutki wytycznych dla administratorów danych

EROD wskazuje, że w wytycznych przedstawia jedynie ogólną metodę obliczania kar administracyjnych, która ma ułatwiać dalszą harmonizację i przejrzystość praktyki organów nadzorczych w zakresie ich nakładania. Podkreśla przy tym, że nałożenie kary administracyjnej musi zawsze opierać się na ocenie wszystkich istotnych okoliczności sprawy oraz musi być skuteczne, proporcjonalne i odstraszające w odniesieniu do konkretnego przypadku. Metodologia w żadnym razie nie powinna być rozumiana jako forma automatycznego lub arytmetycznego obliczania.

Jakkolwiek cel wydania wytycznych był szczytny, trudno uznać że EROD spełnił wymagania co do ich jasności i przejrzystości, które przed sobą postawił. Administratorzy danych nadal nie uzyskali odpowiedzi na pytania, które nurtują ich najbardziej – czyli jaka potencjalna kara może zostać na nich nałożona za konkretne naruszenie w obszarze ochrony danych osobowych. Wytyczne nie wprowadzają rewolucji w podejściu organów do kwestii nakładania kar, powtarzając i jedynie rozwijając przesłanki zawarte już w Rozporządzeniu.

Wytyczne zostały skierowane do konsultacji publicznych, po których zostanie przyjęta ich ostateczna wersja.

 

Źródła:

https://eur-lex.europa.eu/legal-content

https://uodo.gov.pl/pl/138/2383

https://edpb.europa.eu/our-work-tools

https://edpb.europa.eu/system.pdf

 

Webinar: Retencja danych osobowych – problemy praktyczne przy ustalaniu zasad i terminów

POLITYKA RETENCJI DANYCH OSOBOWYCH to ustalone przez organizację zasady przechowywania informacji zarówno na potrzeby operacyjne, jak i zgodności z przepisami.

Czy wiesz jak sformułować PROCEDURY PRZECHOWYWANIA I USUWANIA DANYCH? Jak organizować informacje, aby można było je wyszukać i uzyskać do nich dostęp oraz usuwać informacje, które nie są już potrzebne?

Chcesz skonfrontować rozwiązania swojej organizacji z doświadczeniami innych specjalistów do spraw zgodności z RODO?

A może chcesz skorzystać ze wskazówek udzielonych przez konsultanta uznanej firmy doradczej?

Zapraszamy na webinar poświęcony tematyce skutecznego wdrożenia ZASADY OGRANICZENIA PRZECHOWYWANIA DANYCH.

Spotkanie skierowane jest do osób pełniących rolę Inspektorów Ochrony Danych (IOD) oraz wszystkich osób zainteresowanych COMPLIANCE RODO – niezależnie od branży i wielkości organizacji.


1. Forma przechowywania danych i obowiązek ich usuwania:

  • Zasada ograniczenia przechowywania oraz inne ważne zasady.
  • Zbieranie danych „na zapas” w stanowiskach UODO.
  • Sankcje za naruszenie zasad.


2. Skuteczne polityki i procedury uwzględniające obowiązki usuwania danych:

  • Kluczowa rola inwentaryzacji danych.
  • Przepisy szczególne regulujące obowiązek przetwarzania informacji przez
    z góry ustalony okres.
  • Określanie okresu przydatności danych przy braku przepisów szczególnych.
  • Wstrzymanie biegu terminów retencji.


3. Odpowiednie przypisanie ról i odpowiedzialności pomiędzy funkcjami w organizacji:

  • Przeglądy i alokacja ryzyka.
  • Raportowanie niezgodności.

4. Praktyczne problemy związane z retencją danych:

  • Zautomatyzowany albo manualny charakter usuwania danych
    – wytyczne brytyjskiego organu nadzorczego (ICO).
  • Te same dane – różne terminy retencji.
  • Szara strefa danych osobowych.
  • Precyzyjna mapa danych.
  • Rozwiązania techniczno-organizacyjne.

.

Data: 21.06.2022, godz.10:00.

Link do wydarzenia.

 

Zapraszamy!

Transatlantyckie przekazywanie danych – w oczekiwaniu na Privacy Shield 2.0

W piątek 25 marca rząd Stanów Zjednoczonych oraz Komisja Europejska ogłosiły[1] uzgodnienie zasadniczych założeń nowego transatlantyckiego porozumienia w zakresie ochrony danych osobowych, które ma w pełni uregulować przekazywanie danych osobowych pomiędzy Stanami Zjednoczonymi a Unią Europejską.

Obecnie, w związku z orzeczeniami Trybunału Sprawiedliwości UE, obowiązują standardowe zasady przekazywania danych osobowych wskazane w Rozdziale V RODO[2], ale ich prawidłowe stosowanie do wymiany transatlantyckiej budzi poważne trudności w związku z działalnością amerykańskich agencji wywiadowczych. W szczególności uregulowanie pozwalające władzom publicznym Stanów Zjednoczonych na uzyskanie powszechnego dostępu do treści wiadomości elektronicznych, zdaniem Trybunału Sprawiedliwości UE[3], należy uznać za naruszenie zasadniczej istoty prawa podstawowego do poszanowania życia prywatnego wynikającego z art. 7 Karty Praw Podstawowych UE.

W tym roku opublikowane zostało już kilka decyzji (m.in. austriackiego i francuskiego organu nadzorczego) wskazujących, iż  w wielu przypadkach praktycznie nie jest możliwe legalne przekazanie danych osobowych do Stanów Zjednoczonych, właśnie z uwagi na fakt, iż uprawnienia amerykańskich organów nie gwarantują należytej ochrony praw i wolności osób, których dane są przekazywane z Europejskiego Obszaru Gospodarczego do Stanów Zjednoczonych. Takie przekazywanie musiałoby uniemożliwiać dostęp do danych organom amerykańskim, a to z kolei jest niedopuszczalne w świetle przepisów Stanów Zjednoczonych.

Stwarza to istotne problemy np. w korzystaniu z narzędzi analitycznych Google Analitics, ale również w wykorzystywaniu aplikacji, czy usług podmiotów korzystających z infrastruktury zlokalizowanej w Stanach Zjednoczonych. Warto podkreślić, że przez transfer danych rozumiane jest również zapewnienie dostępów, bez fizycznego przekazania na serwery poza EOG[4], a więc np. przez modyfikowanie, analizę czy podgląd danych przez podmioty znajdujące się w Stanach Zjednoczonych. Problem może więc dotyczyć np. usług serwisowych dla danych przechowywanych w EOG, stosowania aplikacji i narządzi utrzymywanych przez dostawcę w Stanach Zjednoczonych, czy nawet korzystanie z komunikatorów i innych pośredników w przekazywaniu informacji między jednym urządzeniem a drugim.

Przyszłe porozumienie między Unią Europejską a Stanami Zjednoczonymi będzie kolejną próbą uregulowania tych kwestii, a dla pełnego zrozumienia kontekstu, warto przeanalizować poszczególne etapy sporu o bezpieczeństwo transferu danych do USA i powody, dla których konieczne jest zawarcie planowanego porozumienia.

Historyczne porozumienie, określane jako Safe Harbour, regulowało wymianę danych osobowych w zawiązku z wprowadzeniem dyrektywy 95/46/WE – pierwszego unijnego aktu ustanawiającego ochronę danych osobowych. Na podstawie zawartych w tym porozumieniu postanowień, amerykańskie podmioty gospodarcze mogły poddać się certyfikacji, a z kolei Komisja (UE) wydała decyzję stwierdzającą, że podmioty które zadeklarują zgodność z postanowieniami oraz uzyskają wpis na listę podmiotów certyfikowanych będą mogły bez dalszych ograniczeń przesyłać dane między UE a USA. Wyjaśnijmy, że bez takiej decyzji transfer musiałby podlegać dalszym środkom zabezpieczającym i ograniczeniom wynikającym z dyrektywy, co w istotny sposób wpływałoby na swobodę przekazywania danych – np. przez standardowych klauzul umownych określonych przez Komisję, które zawarte między stronami transferu (np. w ramach regulaminu usługi) wiążą podmiot spoza EOG oraz zapewniają ochronę praw i wolności osób, których dane dotyczą. Tak przyjęte wzorce umowne mają zapewniać właściwą ochronę danych oraz realizację praw osób, których dotyczą – np. w zakresie ograniczenia nieuprawnionego wykorzystywania, czy dalszego udostępniania. Jeśli zaś nie da się podjąć odpowiednich środków bezpieczeństwa i transfer nie może zostać oparty na wyjątkach dotyczących pojedynczych transferów, eksporter danych, zgodnie z RODO (a wcześniej zgodnie z Dyrektywą 95/46/WE), musi pozyskać zgodę właściwego organu nadzorczego na przekazywanie danych poza EOG.

Oparte na Safe Harbour transatlantyckie przekazywanie danych funkcjonowało bez większych problemów do 2013 r. kiedy to rozpoczęła się burzliwa historia przekazywania danych związana z amerykańskimi gigantami technologicznymi – Facebook Ireland Ltd. i Google LLC – oraz austriackim prawnikiem-aktywistą Maksem Schremsem.

 

PRISM

W 2013 r. w dziennikach Washington Post oraz The Guardian opublikowane zostały fragmenty plików z prezentacją informacji przekazanych przez współpracownika amerykańskiej Narodowej Agencji Bezpieczeństwa (National Security Agency – NSA) – Edwarda Snowdena dotyczących programu PRISM. W ramach tego programu NSA poprzez bezpośredni dostęp do serwerów amerykańskich korporacji bez nadzoru przejmowała i gromadziła komunikację internetową przetwarzaną za pośrednictwem tych serwerów, posiadając tym samym dostęp praktycznie do wszystkich informacji przesyłanych przez klientów tych korporacji. Ujawnione dokumenty wskazywały, iż w PRISM uczestniczyły największe amerykańskie firmy technologiczne w tym np. Microsoft, Yahoo!, Google, Facebook, YouTube, Skype i Apple.

Na żądanie NSA korporacje udostępniały (i udostępniają) informacje zawarte w wiadomościach e-mail i innej korespondencji, wszelkie dane przechowywane na serwerach (w tym także zdjęcia i materiały wideo), dane przekazywane w przesyłanych na serwery w niezaszyfrowanych plikach (archiwach, arkuszach, bazach), zapisy wideokonferencji, czatów (także głosowych i wideo), dane gromadzone przez serwisy społecznościowe (np. w komunikatorach, zapis komentarzy, reakcje i relacje z innymi użytkownikami portali etc.), a także loginy użytkowników. Dotyczyło to zarówno danych osób korzystających z usług amerykańskich gigantów prywatnie, jak i klientów europejskich firm korzystających z rozwiązań dostarczanych przez amerykańskie korporacje.

Warto podkreślić, iż działania NSA opierały się na obowiązującej do dziś amerykańskiej ustawie Foreign Intelligence Surveillance Act (z ang. ustawa o nadzorze nad obcym wywiadem), która w zasadzie w niezmienionej formie funkcjonuje od 2008 r. do chwili obecnej. Zgodnie z paragrafem 702 FISA, agencje wywiadu mogą zostać upoważnione do zbierania i analizy, w zasadzie bez ograniczeń, informacji o osobach spoza USA, a w pewnych okolicznościach także obywateli USA.

Safe Harbour i Schrems I

Maks Schrems uznał, m.in. w oparciu o informacje udostępnione opinii publicznej przez E. Snowdena, w związku z programem PRISM, iż nie ma żadnych gwarancji, że amerykańskie korporacje faktycznie chronią dane osobowe, tak jak to deklarują – w szczególności, że dane podlegają odpowiedniej ochronie przed nadużyciami ze strony organów rządowych – i w związku z przekazywaniem jego danych do Stanów Zjednoczonych skierował skargę do organu nadzorczego przeciwko Facebookowi. Kwestionował tym samym ważność decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony w Stanach Zjednoczonych.

Spór prowadzony przed irlandzkim organem nadzorczym ze skarmi Maksa Schremsa zakończył się wyrokiem TSUE z dnia 6 października 2015 r. (C‑362/14) – tzw. Schrems I[5] – w którym Trybunał orzekł nieważność decyzji Komisji, w sprawie adekwatności ochrony przewidzianej w ramach porozumienia z rządem USA – tzw. Bezpiecznej Przystani (Safe Harbour).

Trybunał stwierdził, że system Bezpiecznej Przystani oparty na porozumieniu z 2000 r. nie chroni przed nadmierną ingerencją amerykańskich organów władz publicznych w prawa podstawowe i prywatność obywateli Unii Europejskiej, a przez to nie ma odpowiednich podstaw do stwierdzenia przez Komisję, że amerykańskie podmioty zapewniają odpowiedni poziom ochrony informacji o obywatelach UE.

Privacy Shield

W związku z uchyleniem wspomnianej decyzji Komisji, rząd Stanów Zjednoczonych oraz Komisja Europejska przystąpiły do negocjacji nowych warunków przekazywania danych mających uwzględnić zastrzeżenia TSUE. Skutkiem negocjacji było nowe porozumienie określone jako Privacy Shield przyjęte w 2016 r. stanowiące podstawę do przyjęcia przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony, podobnie jak to miało miejsce na gruncie porozumienia Safe Harbour.

Privacy Shield jeszcze na etapie negocjacji warunków budziło wątpliwości organów ochrony danych osobowych, zwłaszcza w kontekście uprawnień amerykańskich agencji wywiadowczych. W Opinii 01/2016 dotyczącej projektu decyzji Komisji, Grupa Robocza Art. 29 (kolegialny organ złożony z organów nadzorczych poszczególnych państw UE) wskazywała, iż Privacy Shield w znaczącym stopniu poprawia ochronę praw i wolności obywateli UE, to jednak nie zapewnia właściwego poziomu ochrony wymaganego przepisami unijnymi i może zostać zakwestionowana przez Trybunał Sprawiedliwości, podobnie jak miało to miejsce w kwestii Safe Harbour.

Schrems II

Zgodnie z przewidywaniami Grupy Roboczej Art. 29, Trybunał Sprawiedliwości w 2020 r. w odpowiedzi na pytania prejudycjalne irlandzkiego Wysokiego Trybunału prowadzonej z wniosku irlandzkiego organu ochrony danych przeciwko Facebook Ireland Ltd. przy udziale Maksymiliana Schremsa, orzekł iż Privacy Shield także nie zapewnia obywatelom UE należytej ochronnym przed śledzeniem ze strony amerykańskich organów i wobec tego Trybunał orzekł, iż nieważna jest decyzja Komisji Europejskiej oparta o to porozumienie (tzw. Schrems II[6]).

Drugim równie ważnym elementem orzeczenia było stwierdzenie, iż zapewnienie właściwych środków zabezpieczających transfer nie może się sprowadzać do zastosowania standardowych klauzul umownych, ale w każdym przypadku należy dokonać analizy ich skuteczności i rozważyć zastosowanie dodatkowych środków, ponieważ w niektórych przypadkach standardowe klauzule umowne mogą nie stanowić wystarczającego środka pozwalającego na zapewnienie w praktyce skutecznej ochrony danych osobowych przekazywanych do danego państwa trzeciego – np. gdy pomimo formalnych zobowiązań umownych prawo państwa trzeciego umożliwia nadmierny i niekontrolowany dostęp do danych przez organy publiczne.

Od wyroku Schrems II transatlantycka wymiana danych była regulowana głównie umowami wg wzorców określonych przez Komisję. Amerykańskie firmy w swoich regulacjach zapewniały również, iż podejmują dodatkowe środki ochrony zabezpieczające transfer. Jak się później okazało zapewnienia te zostały zweryfikowane negatywnie, przynajmniej w przypadku Google LLC.

Zakaz transferu do USA

W sierpniu 2020 r. Maks Schrems ogłosił, iż zarządzana przez niego organizacja non-profit NOYB (None of Your Business) złożyła 101 skarg we wszystkich 30 krajach członkowskich UE i EOG na 101 firm europejskich[7], które nadal przesyłają dane do Google i Facebooka o każdym odwiedzającym ich strony.

W styczniu 2022 r. na skutek jednej ze skarg austriacki organ ochrony danych zakazał portalowi NetDoktor korzystania z narzędzi Google Analitics[8] dostarczanych przez amerykańską firmę Google LLC w związku z ustaleniem, iż w ramach tych narzędzi dochodzi do transferu danych poza EOG i w przypadku transferu do Stanów Zjednoczonych, gdzie zlokalizowane są serwery Google, standardowe klauzule umowne nie są wystarczającym zabezpieczeniem. Dane przekazywane i przechowywane są w postaci plików tekstowych przez co w przypadku dostępu do samego pliku nie są w żaden sposób zabezpieczone.

Potwierdzenie tego stanowiska zawarł w swojej decyzji z lutego 2022 r. francuski organ nadzorczy CNIL, który podobnie jak austriacki odpowiednik uznał, iż transfer do jakiego dochodzi w ramach korzystania z narzędzi Google nie jest oparty na wystarczających środkach zabezpieczających i zakazał francuskiemu portalowi korzystania z tych narzędzi[9]. CNIL również wskazał, iż doszło do naruszenia art. 44 RODO, pomimo zastosowania przez Google dodatkowych środków zabezpieczających (poza standardowymi klauzulami umownymi), ponieważ nadal nie sposób wykluczyć niezgodnego ze standardami unijnymi dostępu do danych przez amerykańskie organy w ramach działalności kontrwywiadowczej.

CNIL jednocześnie udzielił istotnej wskazówki, iż nie jest konieczna rezygnacja z tego narzędzia pod warunkiem zapewnienia właściwej anonimizacji danych w ramach dostępnych rozwiązań konfiguracyjnych.

Privacy Shield 2.0

Nowe założenia zakładają, iż Stany Zjednoczone znowelizują własne ustawodawstwo w celu wzmocnienia prywatności osób fizycznych oraz zapewnienia lepszej ochrony praw i wolności tych osób w działaniach amerykańskich agencji wywiadowczych.

Stany Zjednoczone mają się zobowiązać do wprowadzenia nowych środków ochrony zapewniających, iż śledzenie przez instytucje rządowe zostanie ograniczone do tego, co konieczne oraz proporcjonalne w realizacji konkretnych i wskazanych celów z zakresu bezpieczeństwa narodowego. Wprowadzą także dodatkowe mechanizmy zmierzające do zapewniania odpowiednich środków kontroli oraz szczegółowego i wielopoziomowego nadzoru nad działalnością wywiadowczą, zapewniając zgodność ich działalności z przyjętymi ograniczeniami. Jednym z jego elementów będzie sąd zajmujący się kontrolą ochrony danych, do którego będą się mogli zwrócić obywatele UE, których dane są transferowane. Sędziowie mają być wskazywani spośród osób spoza USA, co ma gwarantować ich niezależność.

Dodatkowo, amerykańskie agencje wywiadowcze wdrożą odpowiednie procedury zapewaniające skuteczny nadzór nad nowymi rozwiązaniami chroniącymi praw i wolności obywateli UE.

Kolejny etap

Przyszłe porozumienie będzie skutkiem przeszło rocznych negocjacji pomiędzy Stanami Zjednoczonymi a Unią Europejską. Jego zawarcie ma ukształtować trwałe podstawy dla transatlantyckiej wymiany danych osobowych, określić reguły kluczowe dla ochrony praw i wolności obywatelskich, a przez to umożliwiając nieskrępowaną wymianę informacji w ramach działalności gospodarczej we wszystkich sektorach gospodarki.

Trzeba jednak podkreślić, iż na ten moment powstały jedynie ogólne założenia przyszłego porozumienia i mamy do czynienia jedynie z polityczną deklaracją nie popartą żadnym wiążącym dokumentem. Zespół złożony z przedstawicieli Komisji Europejskiej oraz rządu Stanów Zjednoczonych będzie nadal pracował nad konkretnymi uzgodnieniami, które zostaną przyjęte jako rozporządzenie wykonawcze, a w konsekwencji zmian w prawie amerykańskim Komisja będzie mogła wydać decyzję stwierdzającą odpowiednie środki ochrony – tak jak to miało miejsce w przypadku Safe Harbour i Privacy Shield. Perspektywa przyszłych zmian to na pewno nie mniej niż kilka miesięcy, oczywiście pod warunkiem że uzgodnienia faktycznie doprowadzą do zapewnianie odpowiedniej ochrony danych obywateli UE.

Mimo, że przedstawione założenia w żaden sposób nie wpływają na transfer danych do Stanów Zjednoczonych w tym momencie, w tym zwłaszcza na jego legalność (dopuszczalność), to jednak dają strategiczną perspektywę zmian jakie nas czekają w przyszłości. W świetle ostatnich orzeczeń organów nadzorczych wiele firm ma dylemat, czy korzystanie z narzędzi, w ramach których dochodzi do transferu do Stanów Zjednoczonych jest dopuszczalne w świetle przepisów RODO oraz czy takie rozwiązania będą dostępne w przyszłości.

Jeśli zawarte porozumienie zagwarantuje należytą ochronę praw obywateli UE w przypadku transferu ich danych do Stanów Zjednoczonych, będzie miało fundamentalne znaczenie dla przyszłości transatlantyckiej współpracy gospodarczej. Organizacje takie jak NYOB już jednak podnoszą[10], iż zaproponowane założenia przyszłego porozumienia są niewystarczające i nie rozwiąże to problemu śledzenia obywateli UE przez amerykańskie agencje. Można również założyć  , iż nowa decyzja również będzie oceniana przez TSUE i prawdopodobnie czeka nas kolejne kilka lat niepewności i dalszych sporów o bezpieczeństwo transferu danych.

 

[1] https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/united-states-and-european-commission-joint-statement-on-trans-atlantic-data-privacy-framework/

[2] https://rodoradar.pl/artykul-44-ogolna-zasada-przekazywania/

[3] https://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=1086872

[4] Tak Wytyczne EROD 5/2021 https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_pl

[5] https://curia.europa.eu/juris/liste.jsf?num=C-362/14

[6] https://curia.europa.eu/juris/liste.jsf?num=C-311/18

[7] https://noyb.eu/pl/101-skargi-dotyczace-zlozonych-transferow-ue-usa

[8] https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf

[9] https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply

[10] https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems

Giełda wierzytelności a RODO

Giełda wierzytelności to miejsce, w którym wierzyciel ma możliwość zaoferowania do „sprzedaży” swojej wierzytelności innym osobom. Należy mieć na uwadze, iż oferowane przez wierzyciela wierzytelności nie podlegają klasycznej sprzedaży w rozumieniu art. 535 Kodeksu cywilnego (dalej: kc), lecz są oferowane w ramach tzw. „cesji”, którą regulują przepisy art. 509 i następne kc. Dodatkowym elementem charakterystycznym dla giełdy jest okoliczność, iż taka oferta podlega publicznemu ujawnieniu, a zarazem, o fakcie wystawienia wierzytelności na giełdzie, informowany jest dłużnik. W ten sposób realizowana jest zasada transparentności.

 

Szczególną rolę w procesie przeniesienia własności wierzytelności odgrywa operator giełdy, pomimo, iż nie jest on stroną w relacji wierzyciel-dłużnik, nie wpływa na cenę wierzytelności, ani nie uzyskuje z tego tytułu korzyści.

 

Wiele osób może zastanawiać się nad tym, czy transakcje prowadzone na giełdzie wierzytelności są zgodne z prawem, w szczególności, czy nie naruszają przepisów dotyczących ochrony danych osobowych dłużnika. Aby odpowiedzieć sobie na tak postawione pytanie, należy się zastanowić nad tym, gdzie tkwią potencjalne ryzyka związane z operacjami przetwarzania danych osobowych na giełdzie wierzytelności. Istotna jest kwestia istnienia przepisów prawa, pozwalających na dokonywanie tego typu transakcji, które z jednej strony nie zabraniają egzekwowania słusznych praw wierzycieli, z drugiej zaś zapewniają ochronę prywatności dłużników.

 

Z punktu widzenia przepisów RODO, najważniejsze wydają się dwie kluczowe zasady, tj. zasada legalności przetwarzania danych (art. 5 ust. 1 lit. a RODO) oraz zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO).

 

Ze względu na specyficzny charakter celu, z jakim wiążą się operacje obrotu wierzytelnościami, niezwykle istotnym zagadnieniem jest przeprowadzenie rzetelnej analizy ryzyka oraz oceny skutków przetwarzania (DPIA). Czynności tych, w ramach dochowania należytej staranności profesjonalisty winien dokonać operator giełdy. Ponadto, w celu zapewnienia zasady rozliczalności, niezbędne jest sporządzenie przez uczestniczące w procesach ujawniania i oferowania do „sprzedaży” wierzytelności podmioty odpowiedniej dokumentacji, wymaganej przepisami prawa, w tym między innymi sporządzenie rejestru czynności przetwarzania, o którym jest mowa w art. 30 ust. 1 RODO, rejestru kategorii czynności przetwarzania, czy prowadzenie innych rejestrów jak np. rejestru upoważnień. Z uwagi na to, że przetwarzanie danych osobowych odbywa się na zasadzie prawnie uzasadnionego interesu realizowanego przez administratora, niezbędne jest przeprowadzenie tzw. oceny balansu interesów (LIA), czyli wyważenia interesów administratora względem interesów i podstawowych wolności podmiotów danych.

 

Jeśli chodzi o zasadę legalności przetwarzania danych osobowych na giełdzie wierzytelności, to konieczne jest spojrzenie na to zagadnienie z punktu widzenia, po pierwsze interesów administratora, czyli wierzyciela oraz po drugie – interesów operatora giełdy.

 

Podstawą prawną przetwarzania danych osobowych przez wierzyciela jest realizacja jego prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), np. przez uzyskanie zapłaty przeterminowanej wierzytelności, przy jednoczesnym wskazaniu, iż ów interes jest silniejszy, niż ochrona prywatności dłużnika. Nie jest w tym miejscu istotne, czy zapłaty takiej dokona sam dłużnik, czy osoba trzecia, na którą wierzyciel dokona cesji swojej wierzytelności. Zgodnie z motywem 47 RODO „podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz”.

 

Jak wskazuje Prezes UODO w Decyzji wydanej w dniu 4 stycznia 2019 r. w sprawie ZSPR.440.631.2018 „należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, bowiem dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw i wolności”.

 

W wypadku operatora giełdy, podstawą prawną przetwarzania danych osobowych jest art. 28 ust. 3 RODO w zw. z art. 6 ust. 1 lit. f RODO, która materializuje się przez łączącą operatora giełdy z wierzycielem umowę powierzenia przetwarzania danych osobowych. Operator ten bowiem występuje w całym procesie w roli podmiotu przetwarzającego, czyli procesora. Dodatkową podstawą prawną dla operatora giełdy stanowi art. 66 § 1 kc oraz art. 4 ustawy z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (t.j. Dz.U. 2018 nr 470). Pierwszy z cytowanych przepisów mówi o tym, że „oświadczenie drugiej stronie woli zawarcia umowy stanowi ofertę, jeżeli określa istotne postanowienia tej umowy”, drugi zaś wskazuje, że „udostępnianie informacji gospodarczych osobom trzecim nieoznaczonym w chwili przeznaczania tych informacji do udostępniania następuje wyłącznie za pośrednictwem biura informacji gospodarczej, chyba że przepisy prawa przewidują inny tryb udostępniania danych”. Przepis ten więc, rozszerzająco, dopuszcza ujawnianie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO.

 

Aby druga zasada, tzw. minimalizacji danych była w procesie obrotu wierzytelnościami spełniona, konieczna jest dokonanie analizy, które dane osobowe dłużnika są w tym celu faktycznie niezbędne. Stanowiska Prezesa UODO, potwierdzone orzecznictwem sądów pozwalają na określenie maksymalnego zakresu danych osobowych dłużnika, który wierzyciel, w ramach wykonywania swoich praw, może przetwarzać. I tak, zgodne z prawem jest przekazywanie na giełdę wierzytelności danych dłużnika, zarówno osoby fizycznej (konsumenta), jak i przedsiębiorcy. O ile dłużnikiem jest osoba prawna, np. spółka kapitałowa, fundacja lub stowarzyszenie, możliwe jest upublicznienie jego pełnych danych. W wypadku osób fizycznych prowadzących, bądź nie działalność gospodarczą, na giełdę wierzytelności można przekazać wyłącznie podstawowe dane, tj. imię i nazwisko osoby zadłużonej, jej firmę oraz nr NIP (w wypadku przedsiębiorcy), miejscowość, w której taka osoba mieszka, lub prowadzi działalność, bez wskazywania jednak dokładnego adresu. Ponadto, dozwolone jest przekazywanie informacji o zobowiązaniu, jego źródle, aktualnej wysokości zadłużenia oraz dotychczas prowadzonych działaniach windykacyjnych, wraz z informacją, czy dłużnik uznaje dług, czy zaprzecza jego istnieniu.

 

Z punktu widzenia legalności przetwarzania danych osobowych ważne jest dokumentowanie, zarówno przez wierzyciela, jak i operatora giełdy wszystkich procesów związanych z takim przetwarzaniem. Kluczowe w tym miejscu jest udokumentowanie, iż została przeprowadzona analiza ryzyka oraz ocena skutków przetwarzania dla ochrony prywatności podmiotów danych. Nie należy w tym miejscu pomijać innych aspektów, takich jak zastosowanie odpowiednich środków w celu zabezpieczenia danych osobowych przed nieuprawnionym dostępem osób trzecich, atakami hackerskimi oraz innymi incydentami, mogącymi prowadzić do wypadków naruszenia ochrony danych osobowych.

 

Równie istotną kwestią dla zapewnienia należytej ochrony danych osobowych jest przeprowadzenie oceny balansu interesów, w którym mowa w art. 6 ust. 1 lit. f in fine RODO. Test taki powinien składać się trzech części, mianowicie testu celowości, niezbędności oraz równowagi. O konieczności dokonania takiej analizy, w wypadku oparcia przez administratora danych osobowych przetwarzania na podstawie prawnie uzasadnionego interesu administratora, wielokrotnie informował na swoich stronach internetowych Prezes UODO, więc praktykę taką należy uznać obecnie za ugruntowaną.

 

Podsumowując, należy stwierdzić, że w świetle obowiązujących przepisów prowadzenie giełdy wierzytelności jest dopuszczalne. Zgodnie bowiem z art. 66 § 1 kc niezbędnym warunkiem, aby wierzytelność mogła się stać przedmiotem rozporządzania jest dostateczne jej oznaczenie. Materialnym zaś przejawem tejże konkretyzacji jest wskazanie danych osobowych dłużnika. Oferowanie, poprzez ujawnianie na giełdach wierzytelności, wierzytelności do sprzedaży jest zgodne z prawem, a podstawą prawną przetwarzania danych osobowych dłużnika jest prawnie uzasadniony interes wierzyciela (administratora), co potwierdza m. in. wyrok Sądu Apelacyjnego w Łodzi z dnia 17 lutego 2017 r. I ACa 1081/ 16 (LEX nr 2282450).