EU Privacy Law

Od kilku miesięcy głośno jest o tzw. RODO lub, w wersji anglojęzycznej, GDPR. Większość artykułów na ten temat skupia się na zagadnieniu z punktu widzenia przedsiębiorcy dowolnej branży – my postanowiliśmy sprawdzić, jak RODO ma się stricte do rozwiązań świata IT. Zapytaliśmy o to Beatę Marek, właścicielkę Cyberlaw.pl oraz Pomocnik RODO.

Przy rozmowach z naszymi klientami często poruszana jest kwestia lokalizacji serwerów. Wymagają aby znajdowały się w Polsce z uwagi na przepisy GIODO, czy nadchodzące RODO. Jak to wygląda w rzeczywistości? Czy jest taki obowiązek i czy RODO cokolwiek zmienia w tej kwestii? Czy może zależy to od rodzaju przechowywanych danych (np. instytucje finansowe, dane zdrowotne)?

Generalnie dane nie powinny być przetwarzane poza Europejskim Obszarem Gospodarczym chyba, że wyrazi na to zgodę Administrator. W niektórych przypadkach [przetwarzanie poza EOG] będzie wręcz zasadne. Przykładowo jeśli zbiera się dane o użytkownikach z USA i tam świadczy usługę, to dobrze by lokacja serwerów była w USA, również z uwagi na czas odpowiedzi. Natomiast przepisy sektorowe, czy dokonana przez firmę analiza ryzyka mogą wymagać, by dane były przetwarzane w Europie lub nawet tylko w Polsce. Jest to sytuacja bardzo indywidualna.

No tak, to zrozumiałe. A czy z perspektywy RODO jakiekolwiek znaczenie ma to, w jakim środowisku działa aplikacja lub strona? Niektórzy klienci korzystają z kolokacji (własne serwery umieszczone w Data Center), inni wykupują serwery dedykowane a jeszcze inni lokują się w chmurze. Czy RODO wskazuje którąś drogę jako bardziej zgodną z przepisami?

Istotne jest by dane były należycie zabezpieczone. Klient może zdecydować się na chmurę prywatną czy hybrydową, a nawet hosting. RODO nie wprowadza tutaj żadnej zmiany. Administrator decyduje o środkach i celach przetwarzania.

A co z formalnościami? Często klienci chcą podpisywać umowy powierzenia przetwarzania danych z Data Center, który udostępnia serwery, ale w praktyce nie ma bezpośredniego dostępu do danych i ich nie przetwarza?

Umowę powierzenia należy podpisać jeżeli Administrator powierza do przetwarzania dane osobowe. W większości przypadków, przy kolokacji, dla firm oferujących takie usługi nie będzie miało to miejsca o ile usługa ogranicza się wyłącznie do fizycznego zabezpieczenia serwera. Dane w spoczynku powinny być zaszyfrowane. Jednakże z punktu widzenia Administratora zaszyfrowanie jest tylko formą zabezpieczenia danych co oznacza, że jeśli np. metoda ta zostanie przełamana to dane będą dostępne i wtedy na przykład, mogą być potencjalnie odczytane.

Czyli w gruncie rzeczy, bezpieczniej podpisać?

Tak.

A jak wygląda ta kwestia z firmami takimi jak Adminotaur, która zarządza serwerem, ale w żaden sposób nie przetwarza danych, czy też firmy programistyczne, które najczęściej także mają dostęp do serwera czy bazy danych?

Dostęp do bazy danych często już powoduje dostęp do danych osobowych. Wszystko zależy od kontroli dostępu, którą ustala Administrator. Jeżeli ktoś faktycznie nie ma dostępu do danych osobowych, nie przetwarza ich no to ciężko tu mówić o powierzeniu do przetwarzania. Należy to każdorazowo zbadać.

No dobrze, przejdźmy do kolejnego ciekawego tematu: jak można egzekwować “prawo do bycia zapomnianym” w systemach, które mają kopie zapasowe i są trzymane w chmurze? Czy ustawodawca przewidział takie rozwiązanie? Ile czasu ustawa daje na usunięcie danych?

Dane należy usunąć wtedy, gdy nie mamy podstawy prawnej do ich przetwarzania. Możemy się powołać na art. 17 ust. 3 RODO, który stanowi, że mamy prawo przetwarzać dane na potrzeby dochodzenia roszczeń (retencja danych). Okres taki wynosi 10 lat. W niektórych przypadkach okres ten może być dłuższy, np. w zakresie akt osobowych pracownika gdzie wynosi 50 lat. Tutaj należy za każdym razem zbadać przepisy szczególne.

A co w przypadku, gdy ktoś konkretnie zwraca się do Administratora z zamiarem egzekwowania tego prawa? Czy ustawa podaje jakieś ramy czasowe na odniesienie się do takiej prośby?

Ustawa nie określa ram czasowych. RODO wskazuje, że ma to nastąpić bez zbędnej zwłoki. Jeśli ktoś zwróci się z zapytaniem należy ustalić czy dane możemy przetwarzać, a w jakiej części należy je usunąć i podmiot danych (osoba, której dane dotyczą) powinna otrzymać taką informację. Żądanie powinno być skierowane do administratora. Art. 17 RODO precyzuje kwestię usuwania danych.

Kolejny interesujący zapis to “Prawo do przenoszenia danych” – o co właściwie chodzi?

Najprościej chyba wyjaśnić to w ten sposób, że podmiot danych ma prawo przenieść swoje dane od jednego Administratora do drugiego. Można zaimplementować rozwiązanie w aplikacji, które będzie integrować się z inną aplikacją, która będzie autoryzowana przez użytkownika, czyli będzie to przepływ danych w ramach integracji po API. Należy jednak ustalić jakie dane może przenieść użytkownik, a jakie mogą stanowić tajemnicę przedsiębiorstwa lub ich ujawnienie mogłoby naruszyć tajemnicę.

I wtedy ten pierwszy Administrator ma obowiązek te dane wykasować?

Nie. W dalszym ciągu mamy okres retencji na przetwarzanie danych. Gdyby było inaczej nie moglibyśmy się bronić np. w sądzie gdyby ktoś zarzucił nam, że niewłaściwe realizowaliśmy umowę. Dysponując informacjami na temat wykonywanej umowy zabezpieczamy materiał. Oznacza to zatem, że dane osobowe przetwarzamy tylko w takim celu w jakim możemy.

Czytając portale zajmujące się cyberbezpieczeństwem, nie sposób nie zauważyć, że dużo mniejszych sklepów internetowych, uczelni, bibliotek staje się źródłem potencjalnych (0-day) wycieków danych przez nieuwagę lub starą infrastrukturę, która pewnych rzeczy po prostu nie brała pod uwagę. Czy to znaczy, że wszystkie te instytucje muszą przed wejściem RODO wyłożyć odpowiednią kwotę na audyt, szkolenia pracowników i uszczelnienie zabezpieczeń? Co w wypadku, jeśli ich na to zwyczajnie nie stać?

Art. 32 RODO jest tutaj kluczowy. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przykładowe środki wskazuje art. 32 RODO. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

W takim razie z jak wysokimi karami należy się liczyć w wypadku niedostatecznego zabezpieczenia danych i jak załapać się na “okoliczności łagodzące”?

Kary są na poziomie 10 – 20 mln euro lub odpowiednio 2% – 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wysokość kar zależy od rodzaju naruszenia, ale nie tylko. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j) [ostrzeżenia, upomnienia, nakazy, zawieszenie certyfikacji]. Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na: charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody; umyślny lub nieumyślny charakter naruszenia;działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą oraz inne wymienione w art. 83 ust. 2 RODO. Ważne jest, że jeżeli Administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

A jaka kara grozi za, chyba najczęstszą formę wycieku danych, pomylenie kopii ukrytej z jawną w wiadomości email? Chyba każdy przynajmniej raz dostał tego typu maila…

Zobaczymy po pierwszej nałożonej przez organ nadzorczy karze. Natomiast może skończyć się na upomnieniu.

Wspomniałaś wcześniej o kodeksach postępowania. Czy te kodeksy postępowania to takie trochę plany Disaster Recovery? Coś, co wprowadzamy w życie, kiedy już problem się wydarzy? Czy dotyczą również dobrych praktyk i ochrony na codzień?

Kodeksy postępowania to takie kodeksy dobrych praktyk, które zatwierdził organ nadzorczy i firmy z danej branży zobowiązują się przestrzegać. Nie postrzegam ich jako plany Disaster Recovery, bo zupełnie inny jest ich cel i charakter. Przystępuje się do nich, jeśli jest się z danej branży i zgadza się przetwarzać dane w sposób przyjęty i zaakceptowany w tej branży. To raczej forma gwarancji i pewnych standardów.

Czy w takim razie kodeks postępowania, który wypuściło CISPE, może być bez żadnych poprawek zastosowany dla polskich środowisk chmurowych?

To nie jest zatwierdzony kodeks postępowania w rozumieniu RODO. Należałoby przejść procedurę i wtedy organ nadzorczy uzna w jakim zakresie należy wnieść ewentualne poprawki.

Bardzo Ci dziękuję za podzielenie się z nami Twoją wiedzą o RODO. Myślę, że udało nam się kilka rzeczy rozjaśnić i wytłumaczyć w bardziej przystępny sposób.

Jeśli macie jakieś pytania do tematu RODO, zadawajcie je w komentarzach pod tekstem. Postaramy się, aby żadne nie pozostało bez odpowiedzi 🙂

Moją rozmówczynią była:

Beata Marek

Prawniczka i właścicielka Cyberlaw. Na co dzień łączy biznes z prawem i bezpieczeństwem teleinformatycznym. Uwielbia pracę w interdyscyplinarnych zespołach i atmosferę startupów. Specjalizuje się w prawie nowych technologii.

Autorka wielu publikacji i prelegentka na licznych, branżowych konferencjach. Dyrektor ds. prawnych w ISSA Polska – Stowarzyszeniu do spraw Bezpieczeństwa Systemów Informacyjnych, wiceprezes Cloud Security Alliance Polska, członkini International Cyber Threat Task Force, a także Fundacji Bezpieczna Cyberprzestrzeń.

Redaktor naczelna kwartalnika naukowego „ICT Law Review“ oraz autorka bloga dla programistów i e-przedsiębiorców „cyberlaw.pl“.