O
d 25 maja 2018 roku mają za-stosowanie zapisy Rozporzą-dzenia Parlamentu Europej-skiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochro-ny osób fizyczochro-nych w związku z przetwa-rzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, w skró-cie „RODO”. Takie suche, prawnicze informacje otaczają nas, ale niewie-le mówią o zamyśniewie-le autorów nowego uregulowania prawnego. W założeniuRODO ma w znaczący sposób popra-wić nasze bezpieczeństwo, poprzez pod-noszenie świadomości, uszczegółowienie operacji, wprowadzenie nowych pojęć, usystematyzowanie obowiązków stron dla ochrony danych osobowych.
Co zmienia RODO?
Czytając informacje w mediach, moż-na odnieść wrażenie, że od maja zaczęła się jakaś nowa, straszna rzeczywistość, w której nagle będziemy wszyscy sto-sować zapisy RODO w celu ochrony
danych. Ale prawda jest taka, że ustawa o ochronie danych osobowych obowią-zywała od 1997 roku i była kilkakrot-nie nowelizowana. Mieliśmy rówkilkakrot-nież Rozporządzenie MSWiA z 2004 roku, wskazujące, jak chronić dane osobowe w systemach informatycznych. Pod-mioty przetwarzające dane osobo-we działały w porządku prawnym RP, opartym na dyrektywie Unii Euro-pejskiej i efektywnie je chroniły. Skąd więc obecny w publikacjach panicz-ny ton wypowiedzi? Niech odpowiedź
nasz e spr awy
komunikacja publiczna nr 2/201864
na to pytanie pozostanie w sferze do-mysłów i teorii spiskowych.
A wniosek jest prosty: administrator, który chronił dane osobowe zgodnie z obowiązującymi przepisami, obec-nie ma do wprowadzenia obec-niewielkie zmiany, a taki, który się nie przykła-dał, ma przed sobą wielką pracę do wy-konania. Czyli jak zawsze: „kto dba – ten ma”.
Samo rozporządzenie nie jest in-strukcją, nie składa się z kolejnych punktów będących spisem czynności, nie informuje, że zastosowanie wska-zanego urządzenia czy oprogramowa-nia zapewni zakładany poziom ochrony i pokaże, czy firma zabezpieczyła dane osobowe w sposób należyty. RODO ma wpływać na bezpieczeństwo w inny sposób, ono wskazuje ideę postępo-wania z danymi osobowymi w spo-sób gwarantujący odpowiedni poziom ochrony. RODO jest jednym z niewie-lu uregulowań prawnych odpowiada-jących na pytanie, jak mamy postąpić z danymi osobowymi, kiedy pojawi się nowatorska technologia lub przełomo-we rozwiązanie informatyczne. Można zaryzykować stwierdzenie, że RODO przewiduje przyszłość.
Takie podejście można bez trudu uznać za słuszne, jeśli spojrzeć, jak dra-stycznym zmianom ulegają sposoby komunikacji, pozyskiwania czy prze-chowywania wszelkich danych cy-frowych w przeciągu zaledwie kilku-nastu lat obecnego wieku. Wyraźnie widać to na przykładzie adresu e-mail.
We wspomnianym czasie zmieniał swo-ją zasadniczą funkcjonalność, od adresu służącego wymianie tekstowych wiado-mości pomiędzy osobami użytkujący-mi komputery w sposób nieco bardziej zaawansowany, następnie jako główny środek informowania i otrzymywania informacji, aż do obecnej funkcji wy-godnego identyfikatora. Mimo, że e--mail ma 40 lat, to powyższe zmiany miały miejsce w ostatniej dekadzie.
Skala rozwoju mediów społecz-nościowych czy firm internetowych, wszelkich rozwiązań technologicznych, szczególnie elektroniki i telekomunika-cji, uniemożliwia wprowadzanie wyma-gań technicznych do rozwiązań legisla-cyjnych. Co więcej, takie podejście nie miałoby sensu, gdyż w momencie wej-ścia w życie najpewniej przepisy oka-załyby się archaiczne. Dlatego RODO pokazuje cel i kierunek, a środki i me-tody dotarcia do celu wybiera admini-strator danych.
Dane muszą być dostępne dla osób i instytucji w celu wykonania ustawo-wych obowiązków administratora da-nych osobowych. Tu pojawia się cały wachlarz możliwości zapewnienia do-stępu do danych poprzez portal inter-netowy. Niezaprzeczalnie najwygod-niejszym kanałem obsługi, na przykład związanej z kartą ŚKUP, jest internet.
Jednocześnie internet jako medium komunikacyjne ze swej natury nie jest bezpieczny, choć w powszechnej świa-domości nie jest postrzegany jako po-tencjalne zagrożenie dla prywatności, szczególnie tej powiązanej z danymi osobowymi. Problemem dostrzeżo-nym przez twórców RODO okazało się tempo zmian technologicznych, pro-wadzących do ukształtowania postaw osób intensywnie użytkujących zasoby światowej sieci. Prowadzi to do pewne-go rodzaju niefrasobliwości w sposobie dysponowania informacjami o sobie.
Z drugiej strony, instytucje posiadające dane o osobach są zobowiązane do ta-kiego zabezpieczania danych oraz za-chowywania zasad ich przetwarzania, jakie zapewni poziom ochrony wyma-gany przez obowiązujące prawo.
ŚKUP – czy dane są tam bezpieczne?
KZK GOP od lat zapewnia ochronę danych osobowych swoich pasażerów.
Od momentu uruchomienia systemu Śląskiej Karty Usług Publicznych doło-żyliśmy szczególnie dużych starań, aby zapewnić najwyższą ochronę danych oraz zadbaliśmy o ich zabezpieczenie przed nieuprawnionym dostępem. Jak wiadomo, najlepiej strzeże swoich da-nych sektor bankowy. Jest to uzasad-nione, ze względu na fakt zarządza-nia naszymi środkami finansowymi.
Właśnie w ten sposób KZK GOP za-bezpiecza dane użytkowników kart ŚKUP – przechowujemy i przetwa-rzamy je w systemach bankowych wy-konawcy systemu. W ten sposób pasa-żerowie korzystający z systemu ŚKUP mają swoje dane osobowe bezpieczne jak w banku.
Ze względu na nowe uregulowania wprowadzane przez RODO, trwa pro-ces dostosowywania przetwarzania da-nych osobowych do zapisów rozporzą-dzenia. Nasza instytucja zawsze bardzo poważnie podchodziła do ochrony da-nych osobowych. Po kolejda-nych noweli-zacjach ustawy na bieżąco wprowadza-liśmy modyfikacje w systemach oraz procesach. Obecne rozporządzenie
na-kłada na organizację konieczność prze-glądu zasobów zabezpieczających dane osobowe w bardzo szerokim zakre-sie, celem zidentyfikowania obszarów, które zostaną poddane przystosowa-niu do zapisów tegoż rozporządzenia.
Powoduje to, rzecz jasna, przeprowa-dzenie odpowiednich sprawdzeń i wy-konanie prac implementujących nowe funkcjonalności w systemach infor-matycznych.
Z ochroną danych osobowych jest jak z łańcuchem – wytrzymałość cało-ści jest zależna od najsłabszego ogni-wa. Dlatego dokładając wszelkich sta-rań na przestrzeni wielu lat, tak jak to ma miejsce w KZK GOP, można podejmować działania, które spowo-dują, że dane znajdujące się w zaso-bach są bezpieczne. A dzieje się tak, ponieważ dbamy o eliminowanie sła-bych ogniw z łańcucha przetwarzania danych.
Nie sposób oprzeć się wrażeniu, iż podczas tworzenia RODO znaczą-cy wpływ na zapisy tegoż aktu praw-nego miały osoby znające i stosujące międzynarodowe normy ISO – szcze-gólnie te z numerem 2700x. Takie po-dejście rodzi jednak realne trudności, ściśle związane z zapisami, które nie są bezpośrednio związane z przetwa-rzaniem danych w systemach informa-tycznych. Wyraźnie widać to na przy-kładzie obowiązku informacyjnego.
Ustawodawca nałożył na podmioty przetwarzające dane osobowe obo-wiązek przekazania osobom, których dane dotyczą, kilkunastu informa-cji definiujących dosyć szczegółowo, kto, kiedy, dlaczego, w jaki sposób itd.
przetwarza dane osobowe. Dla przy-pomnienia, od kilkunastu lat polska ustawa o ochronie danych osobowych zawierała tego typu zapisy, więc dla podmiotów przestrzegających prawa nie było to żadną niespodzianką, a je-dynie poszerzeniem zakresu. Jednak to, co obserwujemy od początku roku 2018, może nieco zastanawiać. Otóż jesteśmy wręcz bombardowani klauzu-lami informacyjnymi lub formularza-mi zgody na przetwarzanie. Wchodząc na strony internetowe, nawet dużych portali, musimy wyrazić zgodę, ina-czej nie przeczytamy informacji o po-godzie. W domu skrzynka pocztowa zaczyna wyglądać jak „ludzik miche-lin”, bo przedsiębiorcy oferujący nam usługi pragną nas informować lub po-zyskiwać zgody. Stąd nasuwa się pyta-nie o to, co działo się dotychczas
z na-komunikacja publiczna nr 2/2018
nasz e spr awy
65 szymi danymi? Nie były chronione?
Handlowano nimi na prawo i lewo?
Mam nadzieję, że nie, ale jak widać, dopiero teraz niektóre przedsiębior-stwa podjęły działania w tym obsza-rze i przynajmniej to jest pozytywne.
Co warto wiedzieć o profilowaniu?
Zupełnie nowym obszarem, który nie był dotychczas uwzględniany w prawo-dawstwie, a niewątpliwie jego znaczenie we współczesnym biznesie wciąż rośnie, jest profilowanie. Szary użytkownik in-ternetu prawdopodobnie nie zatrzyma się podczas omiatania wzrokiem stro-ny, na zdaniu: „Prowadzimy automa-tyczne podejmowanie decyzji…”. Jed-nak warto zrozumieć, co kryje się za tym akapitem. Profilowanie, czyli automa-tyczne podejmowanie decyzji, jest pro-wadzone na naszych danych w wielu miejscach. I najczęściej nawet nie zda-jemy sobie z tego sprawy. Na czym po-lega? Zasadniczo chodzi o fakt pod-jęcia decyzji co do postępowania nas dotyczącego w sposób nieuwzględnia-jący w procesie decyzyjnym człowieka.
Na przykład przychodzimy do operato-ra telekomunikacyjnego w celu zawar-cia nowej umowy. Obsługa identyfiku-je nas na podstawie danych z systemu i oczekuje na propozycję warunków umowy dla abonenta. Właśnie w tym momencie nasze dane osobowe
są pod-dawane profilowaniu. Na postawie da-nych lojalnościowych, rzetelności regu-lowania zobowiązań, liczby reklamacji itd. system informatyczny podejmuje decyzje i przedstawia ofertę dla nowej umowy. W tym procesie nie uczestni-czył człowiek, wszystkie wyliczenia i de-cyzje zapadły w zasobach komputero-wych. Można powiedzieć – tego się nie obawiam. Jednak ustawodawca zauwa-żył niebezpieczeństwo płynące z takich procesów i zobligował przetwarzającego w taki sposób dane do poinformowania o tym fakcie. Dlaczego warto być świa-domym? Profilowanie jako czynność zautomatyzowana nie wnosi szczegól-nego niebezpieczeństwa danych. Przy dopracowanym algorytmie będzie dzia-łać prawidłowo. Niebezpieczeństwa jed-nak są realne. Pierwsze to wadliwy al-gorytm, nieuwzględniający wszystkich kombinacji danych i przez to mogący powodować szkodę finansową, wize-runkową itd. i prowadzić do koniecz-ności podejmowania dodatkowych kro-ków w celu dochodzenia swoich praw.
Drugie niebezpieczeństwo to posiada-nie przez podmiot dużej liczby danych o osobie, przetwarzanie ich przez długi czas, co powoduje znaczne ryzyko na-ruszenia prawa do prywatności.
Sk o ro m ow a o p r y w a t n o ś c i , to RODO wprowadziło także dwie zasady, z którymi w najbliższych mie-siącach będzie sporo zachodu, a może
zamieszania. Chodzi o privacy by design i privacy by default. Już sam fakt użycia angielskojęzycznych zwrotów sugeruje, że wprowadzenie ich w życie może nie być priorytetem dla przedsiębiorstw.
Być może dzieje się tak z powodu braku projektów informatycznych do wdro-żenia? Ale od początku. Privacy by de-sign to wprowadzenie zasad ochrony prywatności do wszelkich nowych pro-jektów lub procesów na etapie tworze-nia założeń. Każde nowe przedsięwzię-cie ma fazę projektową i wykonawczą, więc w fazie projektowej należy w taki sposób prowadzić działania, aby od po-czątku była uwzględniona prywatność osób, jeśli ich dane będą w przyszłości znajdować się w systemie. Ważne jest, żeby projektanci różnych dziedzin mie-li świadomość ochrony danych osobo-wych. Podobna w swojej wymowie jest privacy by default. Podejmując wszelkie działania związane z danymi osobowy-mi, należy pamiętać, że nadrzędnym prawem osób jest zasada zachowania prywatności. Powyższe normy doty-czą podejścia do danych przed proce-sem przetwarzania, można powiedzieć kształtowanie przyszłości, a nie dosto-sowywanie organizacji do przepisów.
KZK GOP zabezpiecza dane użyt-kowników kart ŚKUP – przechowuje i przetwarza je w systemach bankowych wykonawcy systemu. Na zdjęciu: Kato-wice, przystanek tramwajowy na rondzie
nasz e spr awy
komunikacja publiczna nr 2/201866
A wracając do ochrony danych poprzez zabezpieczenia oferowane systemom ban-kowym – jest jeszcze jeden tego aspekt.
W przypadku przekazania danych na-leży pamiętać, aby nie dopuścić do sy-tuacji, w której powierzone dane będą wykorzystywane w innym celu niż ten określony przez samego administratora.
Z pomocą przychodzi powierzenie da-nych. Powinno być regulowane umową bądź innym instrumentem prawnym.
Zawiera przedmiot i czas trwania prze-twarzania, cele i charakter przetwarza-nia, rodzaj danych osobowych i kategorie osób, których dane dotyczą. Ważną zmia-ną jest to, że na podmiocie przetwarza-jącym spoczywają bardzo podobne obo-wiązki, jak na administratorze danych.
Obowiązki podmiotu przetwarzającego to między innymi:
– wdrożenie środków technicznych i organizacyjnych odpowiednich do ryzyk przetwarzania,
– prowadzenie rejestru czynności prze-twarzania,
– zgłaszanie naruszeń ochrony danych do organu nadzorczego,
– wyznaczenie inspektora ochrony da-nych.
Wszystkie te wymagania są stawia-ne przez KZK GOP podmiotom reali-zującym zadania w systemach Śląskiej Karty Usług Publicznych. Wykonawcy systemu mają swoich podwykonawców i oni również są zobowiązani umowa-mi do przestrzegania ochrony danych na odpowiednim poziomie. Spis pod-miotów jest przez nas udostępniany na portalu ŚKUP.
Nowa ustawa o ochronie danych osobowych
W wyniku obowiązywania RODO mamy również, tak jak dotychczas, ustawę o ochronie danych osobowych.
W ustawie wprowadzono niżej opisa-ne zmiany.
W miejsce Generalnego Inspektora Ochrony Danych Osobowych powsta-nie Urząd Ochrony Danych Osobo-wych. Powołany zostanie Prezes Urzędu Ochrony Danych Osobowych (PU-ODO), który zastąpi funkcjonujące-go do tej pory Generalnefunkcjonujące-go Inspektora Ochrony Danych Osobowych (GIO-DO). Zamiana była automatyczna w dniu wejścia w życie ustawy, a pra-cownicy zatrudnieni w GIODO stali się pracownikami tego urzędu. Prezes urzę-du będzie powoływany na czteroletnią kadencję przez Sejm, za zgodą Senatu.
Będzie go wspierało trzech zastępców
(wcześniej jeden), a organem opinio-dawczo-doradczym jest Rada ds. Ochro-ny DaOchro-nych Osobowych. Według ustawy rada składa się z ośmiu członków, któ-rych powoła PUODO spośród kandy-datów zgłoszonych między innymi przez Radę Ministrów, fundacje i stowarzy-szenia, Rzecznika Praw Obywatelskich, izby gospodarcze. Rada będzie powoły-wana na dwuletnią kadencję. Wzmoc-nieniu pozycji urzędu służyć ma także przyznanie prawa do przeprowadzania kontroli naruszenia zasad ochrony da-nych osobowych. W ustawie zapisano, że prezes urzędu będzie mógł nakładać kary finansowe na administrację pu-bliczną i inne podmioty za naruszenie dotyczące danych osobowych.
W nowym prawie zapisano rów-nież możliwość certyfikacji w dzie-dzinie ochrony danych osobowych.
Wyłączono stosowanie niektórych przepisów rozporządzenia do dzia-łalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub pu-blikowaniu materiałów prasowych, wypowiedzi w ramach działalności li-terackiej, wypowiedzi w ramach dzia-łalności artystycznej oraz wypowiedzi akademickiej.
RODO zakłada między innymi pra-wo do bycia zapomnianym, czyli moż-liwość usunięcia – również z internetu – informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe, a także prawo do przenoszenia danych – będzie można zażądać, aby każdy urząd albo bank, które mają nasze dane, przeka-zał je innemu urzędowi lub bankowi.
RODO nakłada także obowiązek po-wiadomienia o wycieku danych osobo-wych. Stanowi też, że przetwarzanie da-nych będzie możliwe za wyraźną zgodą tego, kogo dotyczą. Skróceniu ma ulec czas postępowań dotyczących naruszeń danych osobowych.
Uwzględniono również zapisy RODO dotyczące Inspektora Danych Osobowych, który pojawia się po Admi-nistratorze Bezpieczeństwa Informacji.
Czyli według obowiązującego po-rządku prawnego znajdujemy się w na-stępującej sytuacji. Jest prawo unijne wskazujące i regulujące ważny obszar życia i jest krajowy akt prawny sfor-mułowany na podstawie unijnego.
Na skutek RODO wykonano wielką pracę nad dostosowaniem setek ustaw i rozporządzeń do regulacji unijnej.
Wprowadzono bardzo głębokie zmiany w prawie krajowym. W ramach euro-pejskiego obszaru gospodarczego tylko kilka krajów zdążyło wypracować prze-pisy krajowe, w tym Polska. Znakomi-cie ułatwia to wprowadzanie nowych rozwiązań oraz udoskonalanie istnie-jących w ochronie danych osobowych.
W efekcie wprowadzenia nowej ustawy o ochronie danych osobowych na podstawie RODO spodziewamy się znacznego podniesienia bezpieczeń-stwa osób przez realizowanie zapisów aktów prawnych. Najważniejszą jed-nak wartością, która jest nie do przece-nienia w tej sytuacji, jest podniesienie, w skali całego społeczeństwa, świado-mości, jak cenne są dane przetwarzane w systemach informatycznych współ-czesnego świata. Nieustannie przepły-wające pomiędzy systemami, centra-mi danych, serweracentra-mi, bez zważania na granice, odległości, przeszkody i czas, są delikatną częścią porządko-wanego cyfrowo ogromnego strumie-nia danych. RODO przyniosło również głośne przypomnienie o cenie prywat-ności oraz wolprywat-ności w cyfrowym świe-cie. RODO stawia granice, które słu-żą naszemu bezpieczeństwu. Praktyka pokaże, jak wpłynęło na obszary życia, w których posługujemy się naszymi da-nymi osobowymi. Jest nadzieja, że ro-bimy to w pełni świadomie.
Dariusz Pajunk | Inspektor Ochrony Danych w KZK GOP
e-mail: dpajunk@kzkgop.com.pl