Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
GDPR – zapewnienie przejrzystości procesu przetwarzania danych osobowych – „co, kiedy, jak i dlaczego?”
Mówiąc o wyzwaniach, jakie czekają wszystkich gromadzących, przetwarzających i przesyłających dane osobowe, warto zatrzymać się na chwilę na prawach podmiotów, jakich dane będziemy przetwarzać. Jest to istotne zarówno z punktu widzenie zrozumienia tego, w jaki sposób zabezpieczać zbiory danych, jak również z punktu widzenia ryzyka naruszeń wymagań GDPR.
Regulacja mówi tu o dwóch głównych sposobach uzyskiwania dostępu do danych osobowych:
- pozyskiwanie danych bezpośrednio od osoby której dotyczą (Art.13) oraz
- pozyskiwanie w sposób inny niż od osoby, której dane dotyczą (Art.14).
W obu przypadkach szczególnego znaczenia nabiera, konieczność udzielania przejrzystej informacji na temat czynności, jakie będą wykonywane w obrębie zbioru danych osobowych.
W przypadku bezpośredniego uzyskiwania dostępu do danych bazujemy na udzielaniu zgody administratorowi danych przez osoby, której dane mamy zamiar przetwarzać.
W przypadku pośredniego dostępu do danych sytuacja jest bardziej skomplikowana, ponieważ administrator danych jest zobowiązany poinformować osoby, których dane pozyskał o fakcie przetwarzania tych danych przez niego, oczywiście w obu przypadkach musi istnieć argumentacja formalna dla celu przetwarzania. Udzielenie informacji osobom, których dane otrzymaliśmy w sposób pośredni nie jest konieczne w przypadku, jeżeli osoba, której dane są przetwarzane posiada już wiedzę o tym do kogo dane osobowe zostają przekazane.
Z podobną sytuacją mamy do czynienia, gdyby poinformowanie osób, których dane przetwarzamy wymagało „niewspółmiernie dużych środków”, wówczas, także możemy odstąpić od takiego informowania. Warto zauważyć, że zapisy zwalniające nas z obowiązku informowania, nie są w pełni jednoznaczne, co może rodzić wiele wątpliwości i doprowadzić do nieuzasadnionych prób dochodzenia roszczeń.
W kontekście Art.13 i 14, ważne także jest to, iż przechowywanie dokładnych informacji o sposobie pozyskania danych osobnych, w tym informacji, od kogo otrzymaliśmy dany zbiór (czy był pozyskany bezpośrednio czy też pośrednio) oraz informacji, do jakich podmiotów przekazujemy zbiory danych, wymaga utrzymywania, nieustannie aktualizowanej bazy metadanych.
W świetle wymagań GDPR informacje, które jako przetwarzający dane musimy udzielić osobom, których dane przetwarzamy obejmują:
- cel przetwarzania danych osobowych,
- podstawę prawną,
- informacje o zamiarze przekazania danych do państwa trzeciego,
- okres przez który będą przetwarzane informacje – lub jeśli jest to niemożliwe, kryteria na bazie których okres taki będzie ustalany,
- informacje o prawie dostępu/modyfikacji/sprostowania danych w dowolnym momencie czasu, a także prawie do wycofania zgody na przetwarzanie informacji w dowolnym momencie czasu,
- informacje o prawie wniesienia skargi do organu nadzorczego.
Bardzo ważnym aspektem, o jakim musimy poinformować osobę, której dane osobowe przetwarzamy, to (zgodnie z Art.13.Par.2e.): czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
Wartą podkreślenia jest także treść (Art.13.Par.2f), która wnosi nową jakość w zakresie przetwarzania informacji w celu profilowania. Paragraf ten porusza problematykę gromadzenia danych osobowych: „w celu zautomatyzowanego podejmowania decyzji, w tym o profilowaniu”.
Jest to szalenie istotny temat, ponieważ wielokrotnie spotykamy się z sytuacjami, w których w momencie gromadzenia danych nie da się jednoznacznie określić zakresu wszystkich operacji wykonywanych na określonym zbiorze danych. Należy zwrócić uwagę, iż niezachowanie jednoznaczności w tym zakresie może pociągać za sobą ryzyko nadużyć w zakresie przetwarzania danych osobowych (niegodności zakresu operacji z treścią zgody na przetwarzanie), a co za tym idzie, być przyczynkiem do wystąpienia naruszenia. Bardzo często obserwuje się sytuacje, w których do szeroko pojętego „profilowania” wykorzystuje się wiele podmiotów trzecich lub „silników analitycznych” dostępnych jako „publiczne usługi chmurowe”. Podczas stosowania tego rodzaju rozwiązań należy pamiętać o zachowaniu należytej staranności. Przykładowo, jeżeli konieczne jest wykonanie zawansowanych operacji analitycznych na zbiorach danych osobowych, sugeruje się wstępne przetworzenie tych zbiorów w celu ich „pseudo-anonimizacji” – mówiąc skrótowo oddzielenie informacji przypisujących dany zbiór wartości od informacji wiążących je z konkretną osobą.
Lista praw osób, których dane przetwarzamy obejmuje także zagwarantowanie możliwości dostępu do swoich danych osobowych, a w szczególności:
- informacje o odbiorach lub kategoriach odbiorców, którym dane zostały lub zostaną ujawnione,
- prawo do niezwłocznego sprostowania i uzupełnienia swoich danych osobowych,
- prawo do usunięcia danych (tzw. „prawo do bycia zapomnianym”),
- prawo od ograniczania przetwarzania,
- prawo do bycia powiadomionym o sprostowaniu/usunięciu/ograniczeniu przetwarzania danych, prawo do przenoszenia danych.
Prawa te są dość zbliżone do obecnie występujących regulacji, dwa z nich, które wskazują nowe kierunki działań obejmują: prawo do usunięcia danych (tzw. „prawo do bycia zapomnianym), prawo do przenoszenia danych i o niech szerzej w dalszej części artykułu.
Prawo do usunięcia danych – „prawo do bycia zapomnianym”
Prawo do usunięcia danych – „prawo do bycia zapomnianym” – zakłada, iż osoba której dane dotyczą może zażądać od administratora niezwłocznego usunięcia jej danych osobowych, jeżeli zachodzą miedzy innymi następujące okoliczności: dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane, osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, jeżeli administrator upublicznił dane osobowe – (jeśli nastąpiło upublicznienie informacji administrator ma obowiązek usunięcia danych, wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje).
Dodatkowo należy brać pod uwagę pewne kryteria wskazane przez regulacje GDPR, wskazujące sytuacje, w których „prawo do bycia zapomnianym” nie jest aplikowane. Przykładem takich okoliczności jest: sytuacja w której dane mogą zostać użyte w celu ustalenia, dochodzenia lub obrony roszczeń. Z praktycznego punktu widzenia administrator danych osobowych musi za każdym razem zapoznać się dokładnie ze specyfiką wniosku o usunięcie danych osobowych, aby usuwając takie dane nie przekroczyć prawa wskazanego przez (Art.17.Par.3). Kolejną kwestią są względy ściśle techniczne, czyli to, jak bardzo rozproszone systemy przetwarzania danych osobowych wykorzystuje administrator i z jak wielu podmiotów „przetwarzających informacje” korzysta.
W tym momencie szalenie istotnego znaczenia nabiera, wspomniana wcześniej, konieczność ścisłej formalizacji łańcucha umów z podmiotami trzecimi wykorzystywanymi na potrzeby przetwarzania informacji. Postarajmy się odpowiedzieć samym sobie na pytania: Czy i jak szybko jest możliwe zrealizowanie całkowitego usunięcia wybranych zestawów danych osobowych z naszych systemów? oraz z jak dużym kosztem i zaangażowaniem zasobów ludzkich będzie się to wiązać? Pamiętać należy także o ramach czasowych, definiowanych przez GDPR w Art.12.Par.3 gdzie mowa o tym, iż administrator danych osobowych ma obowiązek rozpatrzyć wniosek o dostęp i/lub modyfikacje przetwarzanych danych osobowych w ciągu miesiąca od złożenia wniosku. Termin ten w specyficznych okolicznościach może być przedłużony o kolejne dwa miesiące, lecz osoba, której dane dotyczą, musi zostać o tym fakcie (jak i okolicznościach go powodujących) jasno poinformowana.
Prawo do przenoszenia danych
Jednym z budzących najwięcej pytań praw osób, których dane przetwarzamy, jest tzw. Prawo do przenoszenia danych. Art.20.Par.1 GDPR mówi:
Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe.
W przypadku tego prawa występuje kilka dodatkowych okoliczności determinujących jego aplikowalność tj: jeśli proces przetwarzania odbywa się w sposób zautomatyzowany, osoba której dane dotyczą może zażądać automatyzacji procesu przesyłania danych pomiędzy administratorami o ile środki techniczne na to pozwalają. Prawo do przenoszenia danych rodzi wiele niejasności, przede wszystkim w zakresie środków jakich stosowanie będzie niezbędne, aby umożliwić bezpieczny dostęp osobie, której dane są przetwarzane do „przenaszalnej” wersji tych danych.
Nie ma stosownych regulacji, które by jasno wskazywałyby jaki format danych powinien być stosowany, jakiej ochrony kryptograficznej będzie należało użyć do zachowania poufności i integralności danych oraz w jaki sposób osobie zainteresowanej umożliwić dostęp do danych jej dotyczących. Podobnie w przypadku przenoszenia danych pomiędzy administratorami. Nie zostało zdefiniowane pomiędzy jakiego rodzaju podmiotami będzie mogło zaistnieć przenoszenie danych, czy będzie to relacja typu „każda instytucja może przenieść dane do każdej innej”, czy też wskazanie, iż dany zbiór danych może być przenoszony jedynie pomiędzy instytucjami „tego samego typu”, przykładem może być sytuacja kiedy dane z banku mogą być przeniesione np. do urzędu gminy – relacja dwóch skrajnie różnych instytucji, lub sytuacja (dość popularna obecnie) przeniesienie zbiorów danych pomiędzy dwoma operatorami komórkowymi – relacja instytucji o takim samym charakterze.
Z punktu widzenia praktyka bezpieczeństwa, należy także zwrócić uwagę w kontekście zakresu ustalenia granic odpowiedzialności podczas procesu przenoszenia danych.
- Co w sytuacji kiedy zbiór danych w czasie przenoszenia lub krótko po jego zakończeniu ulegnie niekontrolowanemu ujawnianiu?
- Jak bronić swoich praw w takiej sytuacji?
- Jak bezstronnie np. na podstawie logów systemowych udowodnić kto zawinił?
Z pewnością prawo do przenoszenia danych jest jednym z tych, które wymaga szczególnego doprecyzowania na gruncie „krajowej przestrzeni prawnej”.
Prawo do wglądu i modyfikacji informacji
Warto także krótko wspomnieć o dość szerokim zakresie uprawnień osób fizycznych, których dane przetwarzamy do wglądu/modyfikacji swoich danych. Tutaj mamy do czynienia ze swoistą dualnością sytuacji. Wynika to z faktu, iż z jednej strony należy przyznać, że szersze prawa osób, których informacje są przetwarzane, na pewno wpłyną na zmniejszenie prawdopodobieństwa nadużyć podmiotów przetwarzających tego rodzaju informacje. Natomiast bezspornym pozostaje także fakt, że prawidłowe wdrożenie wymagań opisanych w regulacji GDPR spowoduje znaczące skompilowanie przetwarzania danych osobowych przez administratorów. Jeśli chodzi o zakres danych, do jakich wglądu/modyfikacji może zażądać osoba, której dane są przetwarzane, to pokrywa on zakres wszystkich dostępnych informacji z nią powiązanych, będących w gestii administratora oraz podmiotów powołanych przez niego do ich przetwarzania. Ramy czasowe zostały już opisane w poprzednim paragrafie i obejmują udzielanie w ciągu maksymalnie miesiąca od zgłoszenia żądania dostępu do danych odpowiedzi ze strony administratora.
Największa modyfikacja, jaka została przyjęta przez GDPR obejmuje jasne stwierdzenie, iż dostęp do danych/ich modyfikacja/usunięcie mają być działaniami podejmowanymi przez administratora bez pobierania dodatkowych opłat. Co prawda regulacja mówi, że w przypadku:
Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może: pobrać rozsądną opłatę, (uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań), odmówić podjęcia działań w związku z żądaniem.
Natomiast nie wskazuje jasnych kryteriów definiujących terminy „nieuzasadnione”, „nadmierne” czy też „ustawiczne”. Wszystko to w świetle kolejnego zapisu GDPR gdzie czytamy:
Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze
sprawia iż prawidłowa interpretacja roszczeń osoby, której dane przetwarzamy, może być bardzo niejasna.
Pytanie jakie się tutaj rodzi to: Po jakiej stronie będzie racja w sytuacji zgłoszenia przez konsumenta skargi na działanie administratora danych w zakresie odmowy do bezpłatnego dostępu do informacji?, Na jakich zasadach będzie w tym zakresie orzekał podmiot regulujący?, Co będzie służyło, jako wykładnik pozwalający oszacować nadmierność czy nieuzasadniony charakter żądań wglądu/modyfikacji danych? W tym zakresie także musimy poczekać na odpowiednie regulacje krajowe, wydaje się, że Art.12 GDPR wymaga stosownego doprecyzowania na krajowym gruncie prawnym.
–Maciej Pokorniecki
Bardzo celne wskazania, ale czy można prosić – szczególnie te wytłuszczone fragmenty – w bardziej zwięzłej formie+drobne poprawki interpunkcji (zwłaszcza ostatni fragment)? A może autor pokusiłby się o podsumowanie lub wskazanie priorytetów?
Witam oczywiście poprawki naniesiemy :-) dziękujemy.
W zakres dobrych praktyk, priorytetów – na pewno włączyłbym:
1. Koniecznie zadbać o świadomość kierownictwa organizacji, jak wskazują różne badania jest z tym bardzo słabo,
2. Przeanalizować architekturę systemów i poszukać wszystkich miejsc przetwarzania danych osobowych,
3. Zrobić analizę ryzyka w kontekście wymagań GDPR – nie jest to łatwe – i się zgadzam – bo wymagania nie są dość wyraziste, ale jest to konieczne by ustalić priorytety działań i nawiązać dialog z kierownictwem,
4. Wesprzeć się prawnikiem najlepiej dobrze znającym regulacje branżowe, zwłaszcza po to, aby jasno określić sobie zewnętrzne zobowiązania obejmujące naszą organizacje np. konieczność archiwizacji danych osobowych – co w szczególnych przypadkach automatycznie uniemożliwia ich bezpowrotne kasowanie (na życzenie osób jakich dane przetwarzamy).
To tak na szybko, oczywiście postaramy się w dalszej części cyklu spojrzeć praktycznie na GDPR i zasugerować przydatne rozwiązania. Pamiętajmy, że GDPR nie ma jeszcze konkretnego ulokowania w krajowej przestrzeni prawnej więc ciężko mówić o detalach implementacji. Jak tylko takie wytyczne się pojawią na pewno się do nich odniesiemy.
Bardzo dziękuję za odpowiedź. Ja np. rozważam czynną współpracę z MC w sprawie konsultacji projektu ustawy :)
Prowadzę niewielkie forum, jest tam obecnie < 20 osób, docelowo < 50, czy to wymaga zgłoszenia bazy danych do GiODO? Przechowuję ciasteczka na komputerach użytkowników, ich emaile i IP w bazie danych.
btw pamiętaj że ta nasza seria tekstów to o NOWYM temacie który obowiązuje od maja 2018
Na gruncie obecnych przepisów masz dwie możliwości. Zgłaszasz, albo powołujesz ABI, którego zgłaszasz do GIODO i wtedy nie musisz zgłaszać zbioru danych. Sugerowałbym usunięcie danych osobowych jeśli tylko możesz.
„Udzielenie informacji osobą, których dane otrzymaliśmy w sposób pośredni nie jest konieczne” -> nie powinno być osobOM ?
Poza tym proszę o sprecyzowanie, co to znaczy usuwanie danych z kopii i już zreplikowanych? Jak mam na tasiemkach kopie miesięczne, to musze kopię podstawić i w każdej z nich usunąć daną osobową? Do tej pory wydawało mi się, że po prostu wystarczy odnotować ten fakt (jak system umożliwia, to w samym systemie, jakaś flaga) – aby dane nie wychodzily poza system (chociaz przetwarzanie danych nadal mogłoby mieć miejsce, więc sam nie wiem?). I w przypadku podstawienia kiedyś kopii byłaby jasna sytuacja, które z danych nie powinny być przetwarzane. Trochę to mimo wszystko skomplikowane. Dla tych co wymyślają takie dyrdymały i mają z tego kasę (w tym: szkolący) pewnie nie.
Niestety potwierdzam :-( bazując na informacjach jakie posiadam, kopie danych osobowych muszą posiadać możliwość usuwania z nich poszczególnych rekordów.
Było kilka wyroków sądów w tym zakresie, lecz ostatecznie stanęło na takim właśnie zaleceniu – (wyrok z z 16.01.2008 sygn. akt II SA/Wa 1801/07) cyt: „Jeżeli dane osobowe skarżącego zostały usunięte ze zbioru danych osobowych prowadzonych przez Bank, wobec braku podstaw do ich przetwarzania, to nie ma również podstaw prawnych, by dane te przetwarzane były na kopii zapasowej”…
Myślę i zakładam, że w przypadku GDPR obszar ten będzie pokryty podobnie jak obecnie to wygląda/powinno w implementacjach ODO (pewnym dodatkowym czynnikiem utrudniającym może być „prawo do przenoszenia danych”, o którym pisałem w artykule, gdyż na konieczność usuwania danych należy także nałożyć potencjalną konieczność standaryzacji formy zapisów zbiorów danych).
GDPR w kilku miejscach przywołuje możliwość, a nawet konieczność stosowania mechanizmów kryptograficznych. Także zastosowanie mechanizmu szyfrowania danych, o którym Piszesz jeden z komentujących pod drugim artykułem z serii, było by bardzo dobre. Oddzielenie danych od klucza, a później niszczenie samego klucza byłoby ok. Tylko jak wygenerować odrębny klucz do każdego rekordu i jak tym zarządzać? :-( Jeśli Macie jakieś pomysły napiszcie o nich.
Obawiam się, że implementacja szyfrowania powinny być na poziomie aplikacji już a nie koniecznie samej bazy. Wtedy dane w bd masz zaszyfrowane już na poziomie aplikacji, co oczywiście uniemożliwia wykorzystanie ich w jakimkolwiek innym miejscu (BI czy własnym zakresie, bo zapewne każdy z producentów oprogramowania będzie się swoimi algorytmami posługiwał – $$$).
Zastanawia mnie realizacja i sensowność usuwania danych z kopii zapasowych. Jeśli ze względów bezpieczeństwa przechowujemy kopie danych w zewnętrznym DC, a nawet fizycznie w sejfie, kasie, skrytce bankowej, która nie jest dostępna to ile zachodu i miejsc możliwości wycieku danych może nastąpić podczas próby usunięcia danych na wniosek jednego z wnioskodawców. Co w wypadku gdy miesięcznie takich wniosków będzie kilkanaście. Za każdym razem szarpać sie do ww skrytki żeby dane wyciągać? trochę chore…
To może ja odpowiem – absolutnie nie ma takiej możliwości, żeby dla poszczególnych rekordów stosować osobne klucze szyfrujące. Chyba, że ktoś ma 5 klientów. Ale wtedy nie ma problemu, bo ich dane mogą być trzymane na nośniku umożliwiającym ich łatwe usuwanie. I chyba niestety literalne trzymanie się tych zapisów podowuje, że dane osobowe mogą być przechowywane jedynie na nośnikach o w miarę rozsądnym czasie dostępu i umożliwiających selektywne usuwanie. Producenci macierzy dyskowych zacierają ręce.
Rozwiązaniem mogłoby być trzymanie danych osobowych w jednym-dwóch miejscach, a w pozostałych systemach jedynie identyfikatora jednoznacznie wskazującego na to, której danej w bazie danych osobowych dotyczy rekord. Np. Jan Kowalski, ul.Wiejska 3, itd. uid={…}, a w bazie zamówień tylko uid. Ew tego typu podział zrobić na poziomie bazy danych tak, żeby było to transparentne dla aplikacji.
Sama baza z danymi osobowymi nigdy nie będzie duża, bo nawet gdybyśmy mieli 10 milionów klientów, to i tak będzie to malutkie i proste do backupowania/archiwizacji na dyskach.
Witam, zastanawia mnie również kwestia dostępu do danych służb do tego upoważnionych (np. komornik). Jeżeli firma na wniosek komornika udostępni dane klienta, to czy klient jest informowany, że jego dane zostały przetworzone przez jednostkę inną, niż ta, dla której wyraził zgodę?
Przychodzi mi na myśl również kwestia już przechowywanych danych osobowych, np. w urzędach, szkolnych archiwach? Niektóre z tych danych nie mają odpowiedniego „papierka” uprawniającego do przetwarzania danych i określonego zakresu ich przetwarzania. Pozdrawiam.
Mam pytanie odnośnie definicji danych osobowych a mianowicie do tej pory było tak, że „za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”, oraz „informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagało by to nadmiernych kosztów, czasu lub działań”. Jeżeli po swojej stronie skompresuję dane podzielę je na chunki (rozczłonkuję), a następnie zaszyfruję AES 256 i w tej formie wyślę na serwer do firmy trzeciej, to muszę z nią podpisywać umowę i czy ona staje się Administratorem danych osobowych? Czy w takiej formie nie dochodzi do powierzenia danych osobowych?
Czuję że sobie sam odpowiedziałem ale wolał bym poznać opinię kogoś mądrzejszego.