Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
GDPR/RODO – Czym są „kodeksy postępowania” i w jaki sposób mają one pomóc w implementacji rozporządzenia GDPR ?
W kolejnym artykule z naszej serii poświęconej regulacji GDPR postaramy się naświetlić temat związany z „kodeksami postępowania”.
Z artykułu będzie można dowiedzieć się między innymi:
- Czym są „kodeksy postępowania”,
- Jakie wymagania nakłada na nie rozporządzenie GDPR/RODO,
- Kto może tworzyć kodeksy postępowania i jak wygląda formalna ścieżka ich przeglądu oraz akceptacji,
- Jak wygląda przykład praktyczny istniejącego kodeksu postępowania dla rozwiązań chmurowych
W poprzednich częściach cyklu możecie poczytać ogólnie o nowych wymogach dotyczących przetwarzania danych osobowych (zachęcam też do spojrzenia na zażartą dyskusję pod tym artykułem), o karach za naruszenia czy o przejrzystości procesu przetwarzania danych osobowych; odnieśliśmy się także do roli “Inspektora Ochrony Danych” mającego czuwać nad bezpieczeństwem naszych danych osobowych.
Wstęp
W piątym z kolei artykule z naszej serii poświęconej rozporządzeniu GDPR postaramy się bliżej omówić zagadnienia związane z tzw. „kodeksami postępowania”, które są nowym mechanizmem wniesionym przez rozporządzenie. Tematyka „kodeksów postępowania” budzi ogromne zainteresowanie wśród osób, które będą objęte nową regulacją. Zainteresowanie to wynika głownie z faktu, iż na bazie owych „kodeksów” mogą zostać zdeterminowane konkretne działania, jakie będzie należało podjąć w ochronie danych osobowych, co może się przekładać na czas oraz środki potrzebne w celu implementacji wskazanych zabezpieczeń . Wciąż bardzo „mgliste” jest określnie tego, czym będą kodeksy postępowania i czy wniosą szczegółowe uregulowania, czy też tylko wysokopoziomowe zalecenia w zakresie tzw. „dobrych praktyk”.
Obserwując toczące się dyskusje nie sposób nie zauważyć pewnego aspektu potęgującego niejasności, otóż – regulacja GDPR/RODO wymaga od podmiotów przetwarzających dane osobowe, aby systemy je zabezpieczające były wdrażane na bazie podejścia opartego o wyniki „analizy ryzyka” z kolei stosowanie strategii opartej na „analizie ryzyka” w swej naturze wymaga dość dużej swobody w zakresie wyboru konkretnych rozwiązań zabezpieczających oraz działań ich wdrażania, co pozostaje w pewnej niezgodności z sytuacją, w której wskażemy konkretny (skodyfikowany) proces wdrażania zabezpieczeń.
Wydawałoby się, iż powinno tu zostać zaimplementowane rozwiązanie, które z jednej strony kodyfikuje i standaryzuje sposób ochrony danych osobowych, z drugiej zaś pozostawia swobodę pozwalającą na zróżnicowanie działań zabezpieczających w kontekście wyników uprzednio przeprowadzonej „analizy ryzyka”. Można także wyobrazić sobie rozwiązanie w którym „kodeksy postepowania” będą definiowały swoistą „linię bazową” wskazującą „minimalny poziom” zabezpieczeń, które należy wdrożyć bez względu na wyniki przeprowadzonej analizy ryzyka, natomiast zabezpieczenia o charakterze rozszerzonym byłyby stosowane wówczas, gdy poziom ryzyka w danym specyficznym obszarze przetwarzania danych osobowych przekroczyłby określony próg. Często spotyka się także wskazanie, aby stosowanie kodeksów postępowania miało charakter „fakultatywny” (nieobowiązkowy); ale czy wówczas nie będą nieco „wirtualnym” tworem? Czy ktokolwiek będzie je stosował (skoro nie będzie musiał)? czy wystarczy nam dobrej woli, samoświadomości w zakresie bezpieczeństwa i oczywiście środków finansowych?
Czym w świetle GDPR są kodeksy postępowania?
Najprościej mówiąc kodeksy postępowania są mechanizmami wskazanymi przez GDPR, pozwalającym na zdefiniowanie przez grupy instytucji (np. małe i średnie przedsiębiorstwa) lub pewne specyficzne sektory (np. instytucje zajmujące się ochroną zdrowia) list dobrych praktyk/referencji/poradników mówiących o tym, jak w najlepszy sposób w danym środowisku biznesowo – organizacyjnym wykonywać zadania związane z ochroną danych osobowych.
Forma kodeksów postępowania może być skrajnie różna, od wysokopoziomowych opisów nie zawierających detalicznych szczegółów wykonywania czynności, aż do ściślej określonych procesów i ścieżek postępowania. Jeśli chodzi o zakres obejmowania danych kodeksów postępowania, to może on obejmować organizacje znajdujące się na teranie jednego kraju EU, ale także (jeśli opisane w nim praktyki obejmują podmioty ulokowane w innych krajach Unii Europejskiej) większego obszaru Europejskiej Wspólnoty Gospodarczej, co bardzo ważne, o ile pozostawiono dość sporą swobodę w definiowaniu kodeksów, to określono ściśle proces postępowania związany z ich rejestracją i zatwierdzaniem. Kodeksy postępowania muszą być zrewidowane i formalnie zaakceptowane, jeżeli kodeks obejmuje swym zakresem jedynie instytucje znajdujące się na ternie jednego z krajów wspólnoty, wówczas podmiotem odpowiedzialnym za jego akceptacje jest krajowy organ nadzorujący (odpowiednik dzisiejszego GIODO).
Mówi o tym Art.40.Par.5 i 6 GDPR:
Art.40.Par.5 Zrzeszenia i inne podmioty, o których mowa w ust. 2 niniejszego artykułu, chcące opracować kodeks postępowania lub zmienić lub rozszerzyć zakres kodeksu już obowiązującego przedkładają projekt kodeksu, zmiany lub rozszerzenia organowi nadzorczemu właściwemu na mocy art. 55. Organ nadzorczy wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z niniejszym rozporządzeniem i zatwierdza taki projekt kodeksu, zmiany lub rozszerzenia, jeżeli uzna, że stanowią one odpowiednie zabezpieczenia.
Art.40.Par.6 W przypadku zatwierdzenia zgodnie z ust. 5 projektu kodeksu, zmiany lub rozszerzenia, organ nadzorczy rejestruje i publikuje ten kodeks, o ile nie dotyczy on czynności przetwarzania prowadzonych w kilku państwach członkowskich.
Jeżeli natomiast kodeks obejmuje swym zasięgiem większą ilość krajów Unii Europejskiej, wówczas za jego zaakceptowanie jest odpowiedzialna Europejska Rada Ochrony Danych, co zostało określone przez Art.40.Par.7 – 9.
Art.40.Par.7 „Jeżeli projekt kodeksu postępowania dotyczy czynności przetwarzania prowadzonych w kilku państwach członkowskich, organ nadzorczy właściwy na mocy art. 55 przed zatwierdzeniem projektu kodeksu, zmiany lub rozszerzenia przedkłada go zgodnie z procedurą, o której mowa w art. 63, Europejskiej Radzie Ochrony Danych, która wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z niniejszym rozporządzeniem lub w sytuacji określonej w ust. 3 niniejszego artykułu opinię o tym, czy stanowią one odpowiednie zabezpieczenia.”
Art.40.Par.8 „Jeżeli opinia, o której mowa w ust. 7, potwierdza, że projekt kodeksu, zmiany lub rozszerzenia jest zgodny z niniejszym rozporządzeniem lub w sytuacji określonej w ust. 3 stanowią odpowiednie zabezpieczenia, Europejska Rada Ochrony Danych przedkłada tę opinię Komisji.”
Art.40.Par.9 „Komisja może, w drodze aktów wykonawczych, stwierdzić, że zatwierdzony kodeks postępowania, zmiana lub rozszerzenie przedłożone jej na mocy ust. 8 niniejszego artykułu są powszechnie obowiązujące w Unii. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.”
Dlaczego GDPR zachęca do stosowania kodeksów postępowania?
W swych założeniach koncepcja i konieczność tworzenia kodeksów postępowania jest zrozumiała i akceptowalna, ponieważ mają one wprowadzić możliwość doprecyzowania sposobu ochrony danych osobowych z uwzględnieniem specyfiki różnych sektorów, jakie dokonują przetwarzania. W swym głównym założeniu kodeksy mają pozwolić np. na zróżnicowanie sposobu ochrony danych osobowych w zależności od wielkości organizacji przetwarzającej tego rodzaju dane tj. mikroprzedsiębiorstwa, małe i średnie przedsiębiorstwa. Mówi o tym Art.40.Par.1:
„Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.”
Dodatkowo Art.40.Par.2 wspomina o tym, iż zrzeszenia i inne podmioty reprezentujące określone kategorie podmiotów przetwarzających dane osobowe mogą wprowadzać zmiany oraz rozszerzać zakres obejmowania kodeksów postępowania, celem doprecyzowania rozporządzenia GDPR w odniesieniu do:
- rzetelnego i przejrzystego przetwarzania,
- prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach,
- zbierania danych osobowych,
- pseudonimizacji danych osobowych,
- informowania opinii publicznej i osób, których dane dotyczą,
- wykonywania przez osoby, których dane dotyczą, przysługujących im praw,
- informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;
- środków i procedur, o których mowa w art. 24 i 25, oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32,
- zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą,
- przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych, lub
- postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77 i 79.
Z powyższego wynika, iż właściwie każdy rodzaj kodeksu postępowania, którego celem byłoby podwyższenie „jakości” i skuteczności działań podejmowanych w ochronie danych osobowych uzasadnia jego powstanie.
W mojej ocenie dopracowany i doprecyzowany zestaw „kodeksów postępowania” napewno mógłby wnieść zupełnie nową jakość w porównaniu z dotychczasowymi przepisami. Wynika to z kilku kwestii, po pierwsze dość dużego stopnia ujednolicenia/uogólnienia przepisów, jaki występuje w chwili obecnej (bez względu czy chronimy mały zbiór wykorzystywany na potrzeby małej organizacji, czy też duży zbiór korporacyjny, zakres mechanizmów ochronnych, jakie musimy wdrożyć jest zbliżony).
Powyższa sytuacja doprowadza albo do „przeszacowania”, albo do „niedoszacowania” siły i typu stosowanych zabezpieczeń. Kolejną kwestią jest możliwość „urealnienia” rodzajów stosowanych zabezpieczeń i dopasowanie ich do charakteru i specyfiki konkretnej branży. Może się to odbywać np. przez określenie „katalogu dobrach praktyk”, z którego mogą korzystać podmioty przetwarzające dane osobowe. Finalnie działania w obszarze definiowania kodeksów postępowania mogą przełożyć się bezpośrednio na uproszczenie, ujednolicenie i łatwiejsze zrozumienie przez administratorów zakresu zadań przed nimi stojących. Wszystko to może z kolei przełożyć się na wyższą efektywność aktywności podejmowanych w ochronie danych osobowych.
Innym wydającym się dość istotnym w świetle GDPR obszarem, w którym zastosowanie kodeksów postępowania mogłoby przynieść wymierny skutek, jest określenie zasad wymiany danych osobowych z „państwami trzecimi” oraz „instytucjami międzynarodowymi”. Także autorzy rozporządzenia wskazali ten obszar jako jeden z kluczowych w Art.40.Par.3:
„Poza administratorami lub podmiotami przetwarzającymi, którzy podlegają niniejszemu rozporządzeniu, kodeksów postępowania zatwierdzonych na mocy ust. 5 niniejszego artykułu i powszechnie obowiązujących zgodnie z ust. 9 niniejszego artykułu, mogą przestrzegać także administratorzy lub podmioty przetwarzające, którzy zgodnie z art. 3 nie podlegają niniejszemu rozporządzeniu, w celu zapewnienia odpowiednich zabezpieczeń w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych na warunkach określonych w art. 46 ust. 2 lit. e). Tacy administratorzy lub takie podmioty przetwarzające podejmują wiążące i egzekwowalne zobowiązanie – w drodze umowy lub poprzez inne prawnie wiążące instrumenty – do stosowania tych odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.”
Wątpliwości związane z monitorowaniem przestrzegania kodeksów postępowania
Wartą uwagi jest kwestia zapisów prezentowanych w Art.40.Par.4. GDPR, który mówi:
„Kodeks postępowania, o którym mowa w ust. 2 niniejszego artykułu, przewiduje mechanizmy pozwalające podmiotowi, o którym mowa w art. 41 ust. 1, prowadzić obowiązkowe monitorowanie przestrzegania przepisów kodeksu przez administratorów lub podmioty przetwarzające, którzy podjęli się jego stosowania, bez uszczerbku dla zadań i uprawnień organów nadzorczych właściwych na mocy art. 55 lub 56.”
W powyższym zapisie nieco niepokojącym jest stwierdzenie mówiące o prawie przysługującym organowi nadzorczemu do „obowiązkowego” monitorowania przestrzegania przepisów kodeksu postępowania. To stwierdzenie może pozostawać w ogólnej niezgodności z określaniem „dobrowolności stosowania kodeksów postępowania”.
Pytanie jakie się rodzi to: Czy monitorowaniu będą podlegać instytucje i organizacje, które w sposób dobrowolny zobligują się do stosowania danego kodeksu postępowania, czy też wszystkie organizacje danego sektora objętego kodeksem?
Bardzo ciężko jest na chwilę obecną doszukać się odpowiedzi na to pytanie; zakładam, że może ona być silnie uzależniona od tego, jaki poziom szczegółowości będą miały powstające kodeksy postępowania. Jeżeli zalecenia kodeksów będą bardzo ogólnikowe, wówczas dość łatwo będzie organizacjom wpisać się w wymagania przez nie stawiane i więcej organizacji będzie skłonne się do nich stosować; jeśli natomiast kodeksy będą bardzo szczegółowe i nie będą zawierać warunków różnicujących poziom ich stosowalności, wówczas jednolite dopasowanie się do ich wymagań może sprawić poważne problemy organizacjom objętym ich zakresem.
Bazując na dostępnych interpretacjach przepisów należy założyć, że samo wdrożenie, a co za tym idzie konieczność stania się przedmiotem monitorowania kodeksów postępowania, nie będzie obligatoryjne. Można natomiast założyć także, że wdrożenie danego kodeksu postępowania będzie czynnikiem różnicującym na tle organizacji funkcjonujących w konkretnym sektorze, co finalnie może się przełożyć z jednej strony na możliwość wykonywania pewnych działań niedostępnych dla organizacji nie deklarujących zgodności z danym kodeksem postępowania. Możemy sobie wyobrazić np. uwspólniony „federacyjny” dostęp do bazy danych o klientach, gdzie dostęp do tego zasobu może przysługiwać tylko tym podmiotom, które zadeklarowały i wdrożyły konkretny kodeks postępowania. Podobnie klienci organizacji, których dane osobowe mają być przez nie przetwarzane, mogą znacznie chętniej wybierać podmioty, które zadeklarowały swoją zgodność z kodeksem postępowania. Czy nie jest to zbyt dalece idący scenariusz pokaże przyszłość, aczkolwiek w moim mniemaniu sytuacja taka może zaistnieć w rzeczywistości.
Praktyczne spojrzenie na dostępne kodeksy postępowania
Niestety na chwile obecną jest jeszcze bardzo mało praktycznych przykładów kodeksów postępowania.
Jednym z najbardziej znaczących i rozpoznawalnych projektów jest przygotowany przez Cloud Infrastructure Services Providers operating in Europe – „The CISPE data protection Code of Conduct”. CISPE jest organizacją zrzeszającą największych dostawców rozwiązań „chmurowych” w Europie. Celem jej działania jest promowanie prawidłowego rozumienia rozwiązań nastawionych na „chmury obliczeniowe” oraz szerzenie wiedzy i praktyk dotyczących ich stosowania. Działalność CISPE ma bardzo ważny wymiar dla organizacji korzystających z tego rodzaju usług, gdyż poprzez popularyzację tematyki systematyzuje rozumienie tej nowej, a zarazem dość skomplikowanej (zwłaszcza w wymiarze bezpieczeństwa) dziedziny rozwiązań informatycznych.
Dokument „The CISPE data protection Code of Conduct” (dalej nazywany CISPE CoC) jest pierwszym znanym mi formalnym kodeksem postępowania GDPR, adresującym wymagania ochrony danych osobowych w odniesieniu do usług „chmurowych”. Głównym obszarem, na którym skupia się CISPE jest : Infrastructure-as-a-Service (IaaS) (infrastruktura jako serwis). Natomiast można się w nim doszukać także wielu odniesień do innych modeli dostarczania usług „chmurowych”. Kodeks ten może być dość szeroko wykorzystywany, jako niezależne źródło wiedzy eksperckiej w zakresie bazowego poziomu zabezpieczenia danych osobowych w serwisach „chmurowych”. Warto także podkreślić, że „CISPE CoC” jest kodeksem adresowanym do bardzo szerokiego gremium odbiorców, w chwili obecnej już ponad 30 dostawców tego rodzaju usług z obszaru UE zadeklarowało chęć wdrażania zgodności z CISPE, wśród nich są między innymi tacy operatorzy jak: „Amazon Web Services (AWS), Aruba, DADA, Daticum, Gigas Hosting, Ikoula, LeaseWeb, Outscale, OVH, Seeweb, SolidHost and UpCloud” (szczegółowe informacje można znaleźć w notce prasowej dostępnej na stronie CISPE).
W świetle wymagań rozporządzenia GDPR – CISPE CoC wydaje się być dobrym przykładem prawidłowo konstruowanego kodeksu postępowania, który z jednej strony systematyzuje podejście do ochrony danych osobowych, przy jednoczesnym pozostawieniu dość sporej swobody w zakresie doboru konkretnych środków zabezpieczających. We wspomnianym kodeksie znajdziemy oczywiście wyłączenia mówiące o tym, że nie może on zastępować zarówno podejścia opartego na analizie ryzyka, jak i konieczności wprowadzenia stosownych zapisów w umowach zawieranych z klientami korzystającymi z usług „chmurowych”. Stosowanie kodeksu nie oznacza, iż organizacja zostaje zwolniona z monitorowania i prawidłowego wdrażania stosownych szczegółowych regulacji prawnych dotyczących przetwarzania danych osobowych – czytamy o tym w Cyt.CISPE CoC.str.6:
“The Code is not legal advice. Adherence to the Code will not guarantee a CISP’s or a customer’s compliance with applicable law. CISPs and customers are encouraged to obtain appropriate advice on the requirements of applicable law.
Co ważne, przyjęcie zgodności z CISPE ma charakter dobrowolny, co może być jednym z praktycznych przykładów wskazujących, że kodeksy będą posiadały formę fakultatywną.
Cyt.CISPE CoC.str.4.
„The Code is a voluntary instrument, allowing a CISP to evaluate and demonstrate its adherence to the Code Requirements for one or several of its services. This may be either (i) certification by an independent third party auditors, or (ii) self-assessment by the CISP and self-declaration of compliance.”
CISPE CoC też dość jasno mówi o tym, iż dostawcy deklarujący swoją zgodność z tym kodeksem są zobowiązani dostarczyć swoim klientom możliwość przechowywania danych osobowych na terenie Europejskiej Wspólnoty Gospodarczej. Zapis taki może mieć dość jasny wymiar praktyczny dla klientów rozwiązań „chmurowych”, ponieważ jeśli wybiorą oni usługę dostarczaną przez operatora legitymującego się zgodnością z CISPE CoC, mogą zdecydować o przechowaniu danych osobowych tylko na teranie Unii Europejskiej. Podobnie wygląda sytuacja z obligowaniem przez CISPE CoC dostawców do zaniechania wszelkich działań mających na celu wykorzystywanie informacji swoich klientów do celów inne niż niezbędne dla realizacji umowy. Dodatkowo kodeks ten mówi w sposób jasny, iż zakazuje się dostawcom rozwiązań „chmurowych” wykorzystywania danych należących do ich klientów w celu: profilowania, wykonywania działań marketingowych, czy prowadzenia masowej interpretacji zbiorów danych w sposób niezgodny z umową powierzenia przetwarzania.
Istotnym z punktu widzenia praktycznego aspektem CISPE CoC jest usystematyzowanie obszarów tematycznych wymagań. Kodeks ten obejmuje zagadnienia pogrupowane w trzech kluczowych kategoriach:
- Wymagania dotyczące ochrony danych osobowych,
- Wymagania dotyczące jasności i przejrzystości podziału odpowiedzialności pomiędzy dostawcę usługi chmurowej, a jej klienta,
- Opis i definicje powiązane ze strukturą zarządzania kodeksem CISPE CoC.
Każde z wymagań odnoszących się wprost do stosowania mechanizmów zabezpieczających mówi dość jasno, zarówno o odpowiedzialności spoczywającej na przetwarzającym dane, jak i na podmiocie dostarczającym usługę przetwarzania „chmurowego”. Pamiętajmy, iż czasem większy poziom odpowiedzialności leży po stronie przetwarzającego niż dostawcy usługi; zwłaszcza, kiedy korzystamy tylko z elementów infrastrukturalnych „chmury obliczeniowej”, wówczas architektura logiki pracy aplikacji/systemów oraz ich prawidłowe zabezpieczenie może znajdować się w pełni po stronie klienta.
W moim odczuciu CISPE CoC jest dobrym przykładem na początek prawdopodobnie długiej drogi różnych sektorów i branż w budowaniu własnych kodeksów postępowania. Wydaje się, że w sposób zbalansowany ustala ramy postępowania, przy jednoczesnym pozostawieniu swobody w wyborze konkretnych środków zabezpieczających.
Podsumowanie
Fakt powołania przez GDPR mechanizmu „kodeksów postępowania” napewno należy uznać za właściwy. Wielokrotnie w przeszłości obserwowaliśmy przypadki, kiedy regulacje dotyczące ochrony danych osobowych nie mogły być skutecznie stosowane w praktyce, ponieważ poziom abstrakcji i braku elastyczności wskazywanych środków bezpieczeństwa nie pozwalał na ich prawidłową (taką, która w rzeczywistości chroni dane osobowe) implementację.
Oczywiście musimy mieć na uwadze fakt, że samo otwarcie możliwości tworzenia kodeksów nie rozwiązuje problemu, gdyż muszą pojawić się „oddolne” inicjatywy i chęć ich definiowania przez głównych zainteresowanych, czyli sektory zobligowane do posiadania zgodności z wymaganiami GDPR. W moim odczuciu, patrząc przez pryzmat tego, jak skrajnie różne mogą być ogólne wytyczne do ochrony danych osobowych oraz jaka ilość możliwych rozwiązań zabezpieczających występuje dziś na rynku, „kodeksy postępowania” spotkają się z zainteresowaniem różnego rodzaju zrzeszeń tematycznych i konsorcjów. Miejmy nadzieje, że podobnie jak rozwój standardów technologicznych, także i rozwijanie „kodeksów postępowania” będzie przebiegać w sposób synergiczny, kiedy to połączone siły wielu reprezentantów zainteresowanych stron doprowadzą do powstania produktów „doskonalszych” w swej naturze, niż rozwiązania przygotowane przez każdego z zainteresowanych osobno. Niezaprzeczalnym jest to, że stosowanie „kodeksów postępowania” może doprowadzić do systematyzacji w następujących obszarach:
- Ustalenia zakresu odpowiedzialności stron biorących udział w przetwarzaniu danych osobowych,
- Wskazania podstawowych machizmów ochronnych, które mogą określać linie bazowe dla rozwiązań bezpieczeństwa (operacyjnego – systemowego i technicznego),
- Jasnego wyartykułowania działań mogących nieść ryzyko przetwarzania danych osobowych w specyficznym sektorze (ryzyka takie mogą być ciężkie do przewidzenia przez zainteresowane strony z osobna),
- Budowania ogólnej świadomości w kontekście stosowania środków zabezpieczających dane osobowe, zwłaszcza w środowisku małych i średnich przedsiębiorstw, które nie posiadają wyspecjalizowanej kadry zajmujących się bezpieczeństwem informacji,
- Motywowania do stosowania zabezpieczeń, które mogą stać się wyróżnikiem w budowaniu pozycji konkurencyjnej na danym obszarze rynku.
W komentarzach pod poprzednimi artykułami naszego cyklu możemy przeczytać wiele uwag mówiących o tym, iż bezpieczeństwo danych osobowych było do tej pory bytem dość enigmatycznym i mało rozumianym, a stosowane środki bezpieczeństwa rzadko dopasowane do realnych potrzeb. Wydaje mi się, że „kodeksy postępowania” (jeśli oczywiści przyjmą się na rynku i będą przedmiotem zainteresowania podmiotów, które mogą je tworzyć) staną się tym „brakującym ogniwem” spajającym świat nomenklatury prawnej i niskopoziomowych potrzeb w ochronie informacji.
Pamiętajmy także, iż mechanizm tworzenia „kodeksów postępowania” może być wykorzystany przez nas samych, jeśli mamy swoje przemyślenia i doświadczenia (zarówno te pozytywne, jak i negatywne) dotyczące ochrony danych osobowych, zwłaszcza w branżach, w których działamy; może sensownym będzie pomyślenie nad zrzeszeniem się i stworzenie własnego projektu „kodeksu postepowania”? Jest to napewno podejście wysoce proaktywne i nie łatwe, ale jak to mówią „Jeśli nie my to kto, jeśli nie teraz to kiedy” :-)… Pozostawiam Was z tą myślą i zachęcam oczywiście, jak zwykle do komentowania, każdy z Waszych komentarzy wnosi wartość dodaną do naszych artykułów.
–Maciej Pokorniecki
Nic z tego nie rozumiem.
Lepiej zrozum, bo jak nie to grozi 10 baniek euro kary – albo i więcej jak masz pecha ;)
Nałożą na niego 10 mln euro kary i co? I nic. Potrzebne to jak kretom grabki.
Zazdroszczę luzu :-)
3/4 świata ma taki luz jak ja i świetnie prosperują. Np. USA czy Japonia, nie mają takich durnoctw i jakimś cudem funkcjonują. Jakimś cudem funkcjonują bez tych biurokratycznych bzdetów i jakimś cudem powstało takie coś jak Cloudflare, za którą się chowacie. Projekt USA, za amerykańskie pieniądze, który powstał bez udziału urzędasów czy GIODO. Dlaczego nie stosujecie rozwiązań unijnych?
PS.
Komuniści zawsze słynęli i słyną z wymyślania sobie problemów, które nigdzie indziej nie występują, a z którymi bohatersko walczą.
Ale za co 10 baniek skoro wg art. 40.1 RODO „Państwa członkowskie, organy nadzorcze […] ZACHĘCAJĄ do sporządzania kodeksów postępowania […]”.
A jeśli zachęcają to nie jest to obligatoryjne.
Poza tym, proszę wskazać konkretny art. w RODO mówiący o tym że za brak posiadania kodeksów postępowania grozi kara w wysokości 10 mln lub więcej? Chyba że, czytamy różne wersje RODO.
:)
A za to: https://sekurak.pl/naruszenia-bajonskie-kary-presja-72-godzin-czyli-jak-tu-zyc-drogi-gdpr/
To są kary za konkretne przewinienia. Nadal ani słowa o karze za brak kodeksu postępowania.
Według RODO, fryzjer też musi wprowadzać odpowiednie zabezpieczenia fizyczne i organizacyjne. Jest jedynie zwolniony z rejestrowania czynności przetwarzania ale czy to oznacza że za przewinienie zostanie mu nałożona kara 10 baniek lub 2% rocznego obrotu?!? Przecież zaorają go do 4 pokolenia do przodu! Kary będą dostosowane do przewinienia a RODO podaje najwyższy wymiar kary po to aby co poniektóre firmy, które do tej pory miały sobie za nic ustawę czy dyrektywę, czuły bat.
Czy GIODO kiedykolwiek nałożyło na jakiegoś ADO karę pozbawienia wolności do lat 3 (wg art.49.2 może). Nigdy nie było takiej sytuacji.
Karolina: nikt nie pisał że kary są za brak kodeksów. Co więcej można być zgodnym z kodeksem a i tak dostać karę.
Co będzie to oczywiście nikt nie wie – na razie jest cały czas gdybanie. A z pozbawienia wolności takie GIODO nic nie ma – a z wrzucenia dużej kary – już tak…
Zdanie:
‘W powyższym zapisie nieco niepokojącym jest stwierdzenie mówiące o prawie przysługującym organowi nadzorczemu do „obowiązkowego” monitorowania przestrzegania przepisów kodeksu postępowania.’ -Nie chodzi tu o organ nadzorczy, ale odnosi się do o podmiotu (określonego w art. 41) akredytowanego przez organ nadzorczy. Można wnosić, że jego rola będzie podobna jak auditora dla ogranizacji, które wybiorą drogę zgodności z normami np.: z grupy: ISO-29100.
Czytając angielską wersję tego przepisu odniosłem wrażenie, że chodzi o: ‘Kodeks postępowania, o którym mowa w ust. 2 niniejszego artykułu, powinien pozwalać podmiotowi określonemu w art. 41 ust 1. prowadzić(/wypełniać) wymagane(/obowiązkowe) monitorowanie zgodności z postanowieniami przyjętymi przez ADO lub przetwarzającego do których stosowania się zobowiązali, …’
Wymagane/obowiązkowe dla ADO czy procesora jeżeli przyjął, że stosuje kodeks postępowania.
Z dużą atencją śledzę i kibicuję działalności edukacyjnej autora, serdecznie pozdrawiam Robert Żurakowski.
Moim zdaniem każda firma mała czy duża powinna rozpocząć od analizy ryzyka utraty lub wycieku poufnych danych (a w tym przypadku danych osobowych). Dlatego coś takiego jak dobre praktyki postępowania w razie incydentów bezpieczeństwa są dobrym pomysłem. Przykładowo firmy zazwyczaj, bo oczywiście nie wszystkie, kupują komputer z zainstalowanym systemem operacyjnym i nawet nie silą się do jego optymalizacji pod kątem bezpieczeństwa. A potem, gdy baza danych zostanie wykradziona bo dane uwierzytelniające przesyłano jawnie, jest wielkie zdziwienie, że nie było porządnego antywirusa albo było coś darmowego bo szkoda kasy na komercyjne rozwiązanie. Albo ludzie dowiadują się, że trzeba tworzyć hasła o minimalnej długości np. 12 znaków i to ze znakami specjalnymi i cyframi. Nie wspomnę już o szyfrowaniu dysku; ile to razy słyszałem, że to to już paranoja.
A jeśli chodzi o analizę ryzyka to prawie w każdej firmie z którą miałem do czynienia nie przeprowadzano takich analiz. Ewentualnie było coś wspomniane ale nic formalnie nie sporządzono.
Kodeksy postępowania to nie jest taki głupi pomysł. Może jak ludzie będą zmuszeni do ich stosowania i najlepiej będą mieli czarno na białym wypisane co robić w danej sytuacji to nie będą oni robić takich głupot, szczególnie, że będą mieli świadomość, że czeka ich za to sroga kara. Nie można wymagać od zwykłego pracownika biurowego żeby znał się na inżynierii wstecznej ale powinien on umieć wykrywać choćby te łatwiejsze próby ataków hakerskich czy wyłudzenia danych.
Z mojej praktyki dobrym rozwiązaniem na poprawianie świadomości pracowników odpowiedzialnych za przetwarzanie danych wrażliwych jest ich atakowanie. Nie mówię tutaj o zmasowanym ataku, który położy całą sieć firmową ale o subtelnej nauce na co zwracać uwagę. Kiedy człowiek sam doświadczy takiego ataku to na dłużej zapamięta jakie skutki może on wyrządzić. W moim przypadku się to sprawdziło. Naprawdę polecam bo zwykła pogadanka może nie wystarczyć. Jest tylko jeden minus takich działań. Możecie nie mieć przyjaciół w firmie.
Wróćmy jednak do tematu. Swoją drogą cały dokument jest dość skomplikowany a w dodatku jeszcze dużo trzeba dopracować. Jak na razie mało jest konkretów i jeśli to się nie zmieni to danej firmie będzie można wlepić karę za banalne rzeczy np. brak procedur postępowania w przypadku przenoszenia wrażliwych danych. Myślę, że już niedługo nadejdą czasy (choć chyba już to się stało) gdzie każda firma, mała czy duża, będzie musiała mieć pracownika, który ogarnie kwestię bezpieczeństwa IT i będzie szkolił niższych pracowników z zakresu bezpieczeństwa i dobrych praktyk postępowania. Ja ogólnie jestem za. A tak wysokie kary świadczą tylko o tym, że nic się nie zmieniło. Państwo zawsze będzie potrzebowało pieniędzy a te najlepiej wyciągnąć z firm poprzez nakładanie kar. Jednak w tym przypadku chodzi o poprawę bezpieczeństwa obrotem moimi danymi osobowymi (między innymi) więc raczej chciałbym aby firma do której je wysyłam lub przekazuje należycie się z nimi obchodziła.
Pozdrawiam wszystkich i trzymajcie się bezpiecznie.
Witam, bardzo dziękuję za Twój komentarz i zainteresowanie.
Tak oczywiście w pełni się zgadzam i doprecyzowując; oczywiście na mocy art.41 ust.1 „monitorowanie” będzie wykonywał podmiot akredytowany przez organ nadzorczy.
Celem jaki mi przyświecał przy wspomnieniu o monitorowaniu to raczej zdanie kilku pytań:
Czy monitorowanie będzie miało charakter bezwzględny tzn. czy jeśli dana organizacja zdecyduje się wyłączyć pewien element kodeksu postępowania z implementacji (np. ponieważ wynik analizy ryzyka wykazał, że obszar ten generuje ryzyko akceptowalne przez daną organizację) to będzie uznane to przez „podmiot akredytowany” jako niewypełnienie postanowień „kodeksu postępowania”? Tutaj właśnie może zachodzić mała „kolizja” pomiędzy podejściem opartym na analizie ryzyka, a byciem zgodnym z „literą” kodeksu postępowania :-(
Czy „monitorowanie” może odbyć się tylko w chwili kiedy organizacja podda się procesowi certyfikacji, czy też niezależnie od tego procesu (a przyczynkiem do przeprowadzenia monitorowania będzie zgłoszenie dobrowolnego stosowania danego kodeksu postępowania)? Tutaj właśnie moje zainteresowanie budzi określanie „obowiązkowe” – ponieważ (tak jak Piszesz) wydaje mi się, że już sama deklaracja stosowania danego kodeksu jest przyczynkiem do monitorowania.
Co w sytuacji kiedy będziemy mieli do czynienia z kodeksami zaakceptowanymi na poziomie EU – czy będą one monitorowane przez „podmioty akredytowane” na poziomie krajowym czy też inne podmioty funkcjonujące w ramach „Europejskiej Rady Ochrony Danych”?
Czy np. będzie dopuszczone powołanie wewnętrznych działań „samooceny” przez grupę, która definiuje dany kodeks postępowania i zajmuje się jego utrzymaniem?
Oczywiście w trakcie krystalizacji tematu będę starał się także odpowiedzieć na te pytania :-)
Pozdrawiam serdecznie
Certyfikacja to certyfikacja, kodeksy to kodeksy.
Jeśli certyfikacja to monitorowanie spełnienia kryteriów uzyskania certyfikacji. Kodeks postępowania nie ma nic wspólnego z certyfikacją. Z punktu widzenia RODO kodeks postępowania to takie wytyczne – dobre praktyki – więc w pewnym sensie dobrowolne, nie monitorowane przez akredytowane jednostki certyfikujące, bo te będą działać w obrębie wymagań certyfikacji. Oczywiście wymagania certyfikacji mogą pokrywać się z wymaganiami kodeksów postępowania – dobrych praktyk. Natomiast monitorowanie wdrożenie kodeksów postępowania może robić GIODO – w ramach sprawdzeń u ADO.
To ja się zapytam inaczej… a co było złego w dotychczasowych przepisach albo jakie konkretne sytuacje życiowe były inspiracją dla wprowadzenia nowych regulacji? Lubię jak zmiany coś poprawiają a nie są dokonywane same dla siebie.
Dobry jest choćby mechanizm certyfikacji systemów ochrony.
Kolego drogo. Rzecz rozchodzi sie przecie o biurokracje. O następne przepisy, okólniki, zarządzenia i zam…dzie. Chodzi o produkcje przepisów. Chodzi o to, żeby urzędasy rosły miały co robić. Żeby marchew rosła tak jak sobie tego zażyczą tęgie głowy.
Jak to powiedział znajomy inżynier: „u nas w firmie, sami dyrektorzy, nie ma komu pracować, same sekretarki, asystencji od segregacji papierów, norm. Wszystkiego trzydzieści sztuk. I na te gęby pracują trzej inżynierowie i dwaj technicy.
Kolego, przecież trzeba coś zrobić z tymi dla których za ciężko było na technicznym kierunku, więc poszli na dosyć dziwaczne kierunki.
Chwalą się często że „ukończyli zarządzanie” a pierwsza lepsza karierka z Biedronki lepiej sobie radzi w roli kierownika sklepu niż
oni.
Dopuścić takich do komputera to zrobią takie bagno że szkoda gadać. To autentyczny przykład z mojej pracy”: panienka po „zarządzaniu tak sobie klikała i klikała że nieszczęście wyklinała ;)
Niestety, nieszczęście dla firmy. Inna, nie potrafiła zwykłego skanera obsłużyć, za to pisała piękne okólniki i tak zmysłowo przybijała pieczątki ;)
Faktycznie, definicja ryzyka jest tak obszerna jak regulacje normatywne (np. PN ISO 31000). Co do zasady podjeście sytemowe (jakościowe) ma zapewnić kontrolę nad procesami a analiza ryzyka to dumanie co może się przez ten system prześlizgnąć. Choć może właśnie na odwrót – absurdalność definicji „ryzyko”. Myślę, że wprowadzenie pojęcia ryzyka jest luką samą w sobie.
I jak zwykle wszystko będzie na ostatnią chwilę zrobione przez „nowe” firmy oferujące swoje cudowne papierowe rozwiązania… kosztowne rozwiązania. Znowu zapłaci się kasiorę za sformułowania opisujące iż sprzątaczka nie powinna mieć kluczy do serwerowni, czy też że nie należy wchodzić na warez z komputera na którym się robi firmowe przelewy. To już niestety było. Niby to śmiesznie wygląda, ale ciekawe czy będzie jakieś zróżnicowanie kodeksów w zależności od wielkości firmy w danym dziale. Jeśli ktoś kojarzy Rekomendację D i szaleństwo audytorów, to wie, że o nieadekwatne wymagania bardzo łatwo… gorzej z tymi, którzy muszą to spełnić. Bo nikogo nie obchodzi skąd weźmiesz fundusze na to.
Jeszcze mogą być ubezpieczenia które będą dawały komfort psychiczny ;-)
kodeksy zazwyczaj różnicuje się ze względu na rodzaj procesów organizacyjnych, czyli branże, a nie na ich wielkość organizacji – stąd masz Rekomendacje D czy ISO 27011
Banał, otwierasz firmę w Anglii. Następnie otwierasz firmę w Polsce, której jedynym zadaniem jest praca dla firmy z Anglii (żebyś mógł zatrudnić sobie programistów, czy tam grafików, czy co tam sobie chcesz). Cały zysk zalicza firma w Anglii i jest ona tak jakby jedynym klientem dla firmy z Polski, pokrywając jedynie pensje pracownicze/biurowe. I już, gotowe. Według prawa Unii, każda spółka/firma może prowadzić działalność w dowolnym miejscu na ziemi, ale to czy prowadzisz działalność na terenie danego kraju definiuje tylko to, czy posiadasz na terenie tego kraju BIURO oraz serwery. Biura nie musisz mieć, a serwery kupujesz w Czechach za BTC i gotowe. Żadnych kontroli, żadnych podatków (oczywiście, do momentu, gdy w Anglii nie przekroczysz progów podatkowych).
Zastanawiam się, czemu po prostu ludzie/firmy się na to godzą? Przecież przeniesienie działalności (wiem to z doświadczenia ;p ) to dosłownie tydzień. Myślę, że wszyscy się po prostu boją, ale rynek państwowy powinien wyglądać dokładnie tak, jak rynek konsumencki (np. abonament telefoniczny) – jeżeli coś ci się nie podoba, zmieniasz operatora, ale jeżeli zmienisz operatora nie oznacza to, że tracisz zasięg ;) W sumie, są specjalistyczne firmy, które kompleksowo przenoszą działalności międzynarodowo, w Unii czy nie, za jakieś 2-3k $ (pewnie też zależy od „pakietu”), z otwarciem rachunku bankowego oraz wsparciem prawnym i księgowością przez rok. Dlaczego o tym wspominam? Bo TO PAŃSTWO ma zachęcić do otwierania firm w danym kraju, przepisy mają być elastyczne, regulacje przyjazne. Jeżeli dany kraj przestaje być przyjazny, bo nie potrafi mentalnie wyjść z komunizmu – cóż, trudno.
Czy nowe rozporządzenie będzie miało wpływ na organizacje, które świadomie nie podporządkowują się panującym regulacją? Z pewnością zarządzanie danymi przez – Kościół Katolicki – jest skuteczne, lecz co z kwestią bezpieczeństwa oraz obowiązku ich usunięcia (np. w procesie apostazji). Obecna procedura nie przewiduje usunięcia zapisu o dokonaniu chrztu, a nawet prowadzona jest księga osób, które odeszły od Kościoła.
Jestem zaniepokojony usunięciem bądź nie opublikowaniem mojego rozbudowanego komentarza na temat „dlaczego potrzebny jest nam internet 2.0” i dlaczego uważam takie komunistyczne wymysły jak GDPRRODO za śmieszne.
RODO to nic innego jak kolejny powod do tego zeby zatrudnic jeszcze wieksza bandę urzednikow do egzekwowania nastepnych bezmyslnych przepisow. Pamietajmy ze urzednik niczego nie produkuje, to pasozyt ktory zyje z pieniedzy podatnikow.