Popełniłem artykuł – ochrona danych osobowych w systemach informatycznych

przez

W naj­now­szym nume­rze Mło­dej Pale­stry – Cza­so­pi­śmie Apli­kan­tów Adwo­kac­kich opu­bli­ko­wa­ny został arty­kuł moje­go autor­stwa doty­czą­cy pra­wa ochro­ny danych oso­bo­wych pod tytu­łem Pro­blem dobo­ru środ­ków tech­nicz­nych i orga­ni­za­cyj­nych w sys­te­mach infor­ma­tycz­nych w per­spek­ty­wie ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych (GDPR).

W arty­ku­le sta­wiam tezę opo­nu­ją­cą do poja­wia­ją­cych się wśród pol­skich praw­ni­ków poglą­dów – moim zda­niem moż­na speł­nić wymo­gi pri­va­cy by design bez spe­cjal­nej doku­men­ta­cji, zaś wymo­gi oce­ny skut­ków prze­twa­rza­nia danych oso­bo­wych w przy­pad­ku sys­te­mów infor­ma­tycz­nych mogą zostać speł­nio­ne w przy­pad­ku zacho­wa­nia odpo­wied­nich mate­ria­łów z eta­pu roz­wo­jo­we­go opro­gra­mo­wa­nia. Wska­zu­ję tak­że, w jaki spo­sób postę­po­wać w okre­sie przej­ścio­wym – wycho­dząc z pol­skiej usta­wy, a wcho­dząc w GDPR (potocz­nie nazy­wa­ne RODO). GDPR jest prze­ze mnie jed­no­znacz­nie oce­nia­ny jako wiel­ka szan­sa pozwa­la­ją­ca ode­rwać się od skost­nia­łych z tech­no­lo­gicz­ne­go punk­tu widze­nia prze­pi­sów pol­skie­go pra­wa, któ­re w absur­dal­ny spo­sób wymu­sza­ją zmia­nę haseł co 30 dni czy sto­so­wa­nie opro­gra­mo­wa­nia anty­wi­ru­so­we­go w każ­dym systemie.

Arty­kuł może być szcze­gól­nie inte­re­su­ją­cy dla pro­gra­mi­stów ze wzglę­du na wyja­śnie­nie róż­nic pomię­dzy obec­nym sta­nem praw­nym a nad­cho­dzą­cą refor­mą – sta­ram się odpo­wie­dzieć jak wyglą­da­ją obec­ne i jak będą wyglą­da­ły przy­szłe ramy wymo­gów praw­nych sta­wia­nych sys­te­mom infor­ma­tycz­nym. Coś dla sie­bie znaj­dą tak­że oso­by inte­re­su­ją­ce się ochro­ną danych na eta­pie pro­jek­to­wa­nia (pri­va­cy by design). Posta­ra­łem się jasno nakre­ślić jakie wymo­gi powin­ny speł­niać sys­te­my infor­ma­tycz­ne w per­spek­ty­wie refor­my pra­wa ochro­ny danych, któ­rą zacznie­my sto­so­wać za nie­ca­ły rok. W arty­ku­le znaj­du­je się tak­że odnie­sie­nie do funk­cjo­no­wa­nia kan­ce­la­rii praw­nych, któ­rych przed­sta­wi­cie­le sta­no­wią spo­rą gru­pę Czy­tel­ni­ków moje­go bloga.

Zachę­cam Cię do lek­tu­ry – arty­kuł zawie­szam poni­żej w for­mie PDF, a jeśli z jakichś przy­czyn nie chcesz czy­tać PDFa – możesz klik­nąć poni­żej i prze­czy­tać go osa­dzo­ne­go na tej stro­nie z inte­rak­tyw­ny­mi przy­pi­sa­mi lub sko­rzy­stać z lin­ku do stro­ny Mło­dej Pale­stry, gdzie dostęp­ny jest cały numer 13.

Problem doboru środków technicznych i organizacyjnych w systemach informatycznych w perspektywie ogólnego rozporządzenia o ochronie danych (GDPR)

Usta­wa o ochro­nie danych oso­bo­wych jed­no­znacz­nie okre­śla wymo­gi, któ­re powin­ny speł­niać sys­te­my infor­ma­tycz­ne wyko­rzy­sty­wa­ne przez admi­ni­stra­to­rów danych oso­bo­wych. 27 kwiet­nia 2016 r. przy­ję­to ogól­ne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych, któ­re wkrót­ce uchy­li prze­pi­sy naszej usta­wy. Roz­po­rzą­dze­nie usta­no­wi­ło wła­sne wymo­gi wzglę­dem sys­te­mów infor­ma­tycz­nych, któ­re nie są już tak jed­no­znacz­ne jak prze­pi­sy usta­wy. Nale­ży zatem poszu­kać odpo­wie­dzi na prak­tycz­ne pyta­nia: czym róż­nią się od sie­bie oba akty praw­ne, któ­rą pod­sta­wę praw­ną nale­ży sto­so­wać w aktu­al­nym okre­sie przej­ścio­wym oraz jakie prak­tycz­ne impli­ka­cje dla kan­ce­la­rii praw­nych nie­sie za sobą nowe rozporządzenie.

Aktualny stan prawny

Obo­wią­zu­ją­ca usta­wa o ochro­nie danych oso­bo­wych1 na pod­sta­wie art. 36 ust. 2 zobo­wią­zu­je wszyst­kich admi­ni­stra­to­rów danych oso­bo­wych do pro­wa­dze­nia doku­men­ta­cji opi­su­ją­cej spo­sób prze­twa­rza­nia danych oraz środ­ki tech­nicz­ne i orga­ni­za­cyj­ne zapew­nia­ją­ce ochro­nę prze­twa­rza­nych danych oso­bo­wych odpo­wied­nią do zagro­żeń oraz kate­go­rii danych obję­tych ochro­ną. Środ­ki te powin­ny w szcze­gól­no­ści zabez­pie­czyć dane przed ich udo­stęp­nie­niem oso­bom nie­upo­waż­nio­nym, zabra­niem przez oso­bę nie­upraw­nio­ną, prze­twa­rza­niem z naru­sze­niem usta­wy oraz zmia­ną, utra­tą, uszko­dze­niem lub znisz­cze­niem. W 2004 roku usta­wo­daw­ca zno­we­li­zo­wał usta­wę doda­jąc art. 39a2. Usta­no­wio­no w ten spo­sób dele­ga­cję na pod­sta­wie któ­rej Mini­ster wła­ści­wy do spraw infor­ma­ty­za­cji okre­ślił (w dro­dze roz­po­rzą­dze­nia) spo­sób pro­wa­dze­nia i zakres doku­men­ta­cji opi­su­ją­cej spo­sób prze­twa­rza­nia danych oraz pod­sta­wo­we warun­ki tech­nicz­ne i orga­ni­za­cyj­ne, jakim powin­ny odpo­wia­dać urzą­dze­nia i sys­te­my infor­ma­tycz­ne słu­żą­ce do prze­twa­rza­nia danych oso­bo­wych. Wła­ści­wy Mini­ster 29 kwiet­nia 2004 r. wydał sto­sow­ne roz­po­rzą­dze­nie3 sta­tu­ują­ce 3 zróż­ni­co­wa­ne pozio­my ochro­ny. Ich wybór został uza­leż­nio­ny od zło­żo­no­ści i cha­rak­te­ru pro­ce­sów prze­twa­rza­nia danych oso­bo­wych przy uży­ciu sys­te­mów informatycznych.

Usta­wo­daw­ca wykre­ował zatem sytu­ację, w któ­rej ist­nie­ją­ce prze­pi­sy pra­wa pozwa­la­ją zre­kon­stru­ować nor­my praw­ne kom­plek­so­wo regu­lu­ją­ce jakie­go typu środ­ki tech­nicz­ne i orga­ni­za­cyj­ne powin­ny zostać wdro­żo­ne przez admi­ni­stra­to­rów danych oso­bo­wych aby speł­nić wyma­ga­nia sta­wia­ne przez art. 36 ust. 2 obo­wią­zu­ją­cej usta­wy w sto­sun­ku do wyko­rzy­sty­wa­nych sys­te­mów infor­ma­tycz­nych. Ponad­to, roz­po­rzą­dze­nie wyko­naw­cze w spo­sób szcze­gó­ło­wy okre­śli­ło rów­nież róż­ne stop­nie ryzy­ka – kla­sy­fi­ku­jąc je w posta­ci pozio­mów bez­pie­czeń­stwa okre­ślo­nych jako pod­sta­wo­wy, pod­wyż­szo­ny i wyso­ki. Zabieg ten pozwo­lił na dobór odpo­wied­nich w rozu­mie­niu usta­wy, środ­ków tech­nicz­nych i orga­ni­za­cyj­nych. Sytu­acja ta, jak traf­nie skon­sta­to­wał M. Cwe­ner, jest bez­po­śred­nim następ­stwem chę­ci stwo­rze­nia przez usta­wo­daw­cę sztyw­nych ram praw­nych ochro­ny danych oso­bo­wych4.

Ustanowienie „równoległego” aktu prawnego

27 kwiet­nia 2016 r., po wie­lo­let­niej pro­ce­du­rze legi­sla­cyj­nej, przez Par­la­ment Euro­pej­ski osta­tecz­nie przy­ję­te zosta­ło ogól­ne roz­po­rzą­dze­nie o ochro­nie danych (GDPR)5. Roz­po­rzą­dze­nie w moty­wie 15 wska­zu­je, iż z zało­że­nia ma być neu­tral­ne pod wzglę­dem tech­nicz­nym. Poję­cie neu­tral­no­ści tech­nicz­nej było już dys­ku­to­wa­ne na eta­pie legi­sla­cyj­nym GDPR. Euro­pej­ski Inspek­tor Ochro­ny Danych w swo­jej opi­nii z 2015 r. komen­tu­ją­cej osta­tecz­ny tekst GDPR pod­kre­ślił rolę neu­tral­no­ści tech­no­lo­gicz­nej pra­wa jako sprzy­ja­ją­cą roz­wo­jo­wi inno­wa­cji oraz korzyst­ną ze spo­łecz­ne­go punk­tu widze­nia6. Twier­dze­nia te nale­ży oce­nić jako logicz­ną kon­se­kwen­cję uwag pod­no­szo­nych wcze­śniej przez komi­sa­rza Unii Euro­pej­skiej ds. ochro­ny kon­su­men­ta, któ­ra wska­zy­wa­ła jed­no­znacz­nie, że „dane oso­bo­we są nową ropą inter­ne­tu i nową walu­tą cyfro­we­go świa­ta”7. Do toż­sa­mych war­to­ści wyda­ją się odwo­ły­wać przed­sta­wi­cie­le pol­skiej dok­try­ny pra­wa ochro­ny danych oso­bo­wych. A. Grze­lak wska­zu­je, iż GDPR poprzez obra­nie neu­tral­nych tech­no­lo­gicz­nie ram praw­nych pozwo­li lepiej reago­wać na wyzwa­nia sta­wia­ne przez szyb­ki roz­wój nowych tech­no­lo­gii, któ­re zmie­nia­ją gospo­dar­kę i życie spo­łecz­ne8. Autor­ka traf­nie zesta­wia to twier­dze­nie z moty­wem 6 GDPR, wska­zu­jąc jed­no­cze­śnie że wpro­wa­dze­nie neu­tral­ne­go tech­nicz­nie pra­wa jest wręcz jed­nym z celów GDPR. M. Cwe­ner wska­zu­je z kolei, iż szyb­ki roz­wój tech­no­lo­gii prze­twa­rza­nia danych stoi w sprzecz­no­ści z sztyw­ny­mi wymo­ga­mi sta­wia­ny­mi sys­te­mom infor­ma­tycz­nym9. Prze­pi­sy GDPR jego zda­niem zosta­ły zbu­do­wa­ne w opar­ciu o kon­cep­cję rela­ty­wi­za­cji ochro­ny danych oso­bo­wych10.

Roz­dział IV sek­cji 1 GDPR okre­śla obo­wiąz­ki admi­ni­stra­to­ra (odpo­wied­ni­ka admi­ni­stra­to­ra danych oso­bo­wych z pol­skiej usta­wy). Zgod­nie z tre­ścią art. 24 GDPR admi­ni­stra­tor wdra­ża odpo­wied­nie środ­ki tech­nicz­ne i orga­ni­za­cyj­ne, któ­re zapew­nią prze­twa­rza­nie danych oso­bo­wych zgod­ne z zało­że­nia­mi GDPR. Wdro­że­nie tych środ­ków powin­no uwzględ­niać cha­rak­ter, zakres, kon­tekst i cele prze­twa­rza­nia danych oraz ryzy­ko naru­sze­nia praw lub wol­no­ści osób fizycz­nych o róż­nym praw­do­po­do­bień­stwie i wadze zagro­że­nia. Admi­ni­stra­tor powi­nien móc wyka­zać, że wdro­żył środ­ki tech­nicz­ne i orga­ni­za­cyj­ne uwzględ­nia­jąc powyż­sze wymo­gi. Obo­wią­zek dobo­ru odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych powi­nien nastą­pić już w momen­cie okre­śla­nia przez admi­ni­stra­to­ra spo­so­bów prze­twa­rza­nia danych oraz póź­niej w cza­sie ich prze­twa­rza­nia, co wyni­ka z art. 25 GDPR. Nato­miast zawar­ty w sek­cji 2 tego same­go roz­dzia­łu art. 32 GDPR wska­zu­je, iż admi­ni­stra­tor lub pod­miot prze­twa­rza­ją­cy wdra­ża­ją odpo­wied­nie środ­ki tech­nicz­ne i orga­ni­za­cyj­ne, aby zapew­nić sto­pień bez­pie­czeń­stwa odpo­wia­da­ją­cy ryzyku.

Mamy zatem do czy­nie­nia z ponow­nym ure­gu­lo­wa­niem w GDPR kwe­stii wcze­śniej pre­cy­zyj­nie ure­gu­lo­wa­nych przez pol­skie­go usta­wo­daw­cę. W pierw­szej kolej­no­ści wyja­śnie­nia zatem wyma­ga, któ­ry z aktów praw­nych powi­nien być sto­so­wa­ny przez admi­ni­stra­to­rów danych w chwi­li obec­nej. W dru­giej kolej­no­ści wyja­śnie­nia wyma­ga zagad­nie­nie prak­tycz­ne­go wymia­ru dobo­ru środ­ków tech­nicz­nych i orga­ni­za­cyj­nych speł­nia­ją­cych wymo­gi GDPR w odnie­sie­niu do wyko­rzy­sty­wa­nych sys­te­mów informatycznych.

Przejściowy dualizm obowiązujących aktów prawnych

Zgod­nie z tre­ścią art. 99 GDPR weszło ono w życie 25 maja 2016 r., nato­miast jego sto­so­wa­nie roz­pocz­nie się dopie­ro 25 maja 2018 r. Tego same­go dnia nastą­pi też uchy­le­nie dotych­czas obo­wią­zu­ją­cej dyrek­ty­wy 95/46/WE11, któ­rej imple­men­ta­cją jest obo­wią­zu­ją­ca w Rze­czy­po­spo­li­tej Pol­skiej usta­wa o ochro­nie danych oso­bo­wych (w sku­tek przy­ję­cia sze­re­gu nowe­li­za­cji). Mamy zatem do czy­nie­nia z sytu­acją, w któ­rej sta­tus „będą­cych w życiu” dzier­żą obec­nie rów­no­cze­śnie dwa akty nor­ma­tyw­ne o zróż­ni­co­wa­nej pozy­cji w hie­rar­chii źró­deł pra­wa (z per­spek­ty­wy pol­skie­go porząd­ku kon­sty­tu­cyj­ne­go). Są nimi pol­ska usta­wa oraz GDPR. Oba akty nor­ma­tyw­ne, jak wska­za­łem wcze­śniej, sta­tu­ują tak­że koniecz­ność wdro­że­nia środ­ków tech­nicz­nych i orga­ni­za­cyj­nych mają­cych zapew­nić prze­twa­rza­nie danych oso­bo­wych w spo­sób zgod­ny z ich regulacjami.

Jak wska­zu­ją prze­pi­sy same­go GDPR uchy­li ono dotych­cza­so­wą pod­sta­wę har­mo­ni­za­cji pra­wa ochro­ny danych oso­bo­wych w posta­ci dyrek­ty­wy. Z racji bez­po­śred­nie­go powią­za­nia pol­skiej usta­wy o ochro­nie danych oso­bo­wych z dyrek­ty­wą oraz przy­ję­ciem GDPR będą­ce­go roz­po­rzą­dze­niem – prze­pi­sy pol­skiej usta­wy w myśl regu­ły koli­zyj­nej lex supe­rior dero­gat legi infe­rio­ri zastą­pią wła­śnie prze­pi­sy GDPR12. Uchy­le­nie pol­skich prze­pi­sów nastą­pi oczy­wi­ście we wska­zy­wa­nym wcze­śniej momen­cie roz­po­czę­cia sto­so­wa­nia GDPR. M. Kawec­ki traf­nie wska­zu­je, iż sytu­acja taka jest tak­że rezul­ta­tem zasto­so­wa­nia utrwa­lo­nej w dok­try­nie i orzecz­nic­twie TSUE zasa­dy pierw­szeń­stwa pra­wa unij­ne­go nad pra­wem kra­jo­wym oraz zasa­da lojal­nej współ­pra­cy13. Jego zda­niem mimo powyż­sze­go, dero­ga­cji nie będą pod­le­ga­ły prze­pi­sy sta­tu­ują­ce dzia­ła­nie Gene­ral­ne­go Inspek­to­ra Ochro­ny Danych Oso­bo­wych. Wszyst­ko wska­zu­je jed­nak na to, iż pol­ski usta­wo­daw­ca uchy­li całą usta­wę przyj­mu­jąc w jej miej­sce nową14. War­to tak­że wska­zać, jak pod­kre­ślał jesz­cze przed przy­ję­ciem GDPR W. Wie­wió­row­ski, iż koniecz­ność odro­cze­nia roz­po­czę­cia sto­so­wa­nia prze­pi­sów GPDR podyk­to­wa­na jest wymo­giem zapew­nia­nia admi­ni­stra­to­rom danych moż­li­wo­ści dosto­so­wa­nia się do nowych, dalej idą­cych wymo­gów praw­nych15.

Nowe podejście w GDPR

Wska­zy­wa­ne już art. 24 i 32 GDPR w prze­ci­wień­stwie do art. 36 usta­wy o ochro­nie danych oso­bo­wych nie znaj­du­ją ana­lo­gicz­ne­go uzu­peł­nie­nia w posta­ci aktu nor­ma­tyw­ne­go okre­śla­ją­ce­go kon­kret­ne środ­ki tech­nicz­ne i orga­ni­za­cyj­ne czy pozio­my ryzy­ka w odnie­sie­niu do sys­te­mów infor­ma­tycz­nych. GDPR w sto­sun­ku do obu prze­pi­sów co praw­da dodat­ko­wo wska­zu­je, iż w przy­pad­kach pro­por­cjo­nal­nych dzia­ła­nia te powin­ny obej­mo­wać wdro­że­nie przez admi­ni­stra­to­ra odpo­wied­nich poli­tyk ochro­ny danych. Ponad­to, admi­ni­stra­tor może wspie­rać się zatwier­dzo­ny­mi kodek­sa­mi postę­po­wa­nia lub zatwier­dzo­ny­mi mecha­ni­zma­mi cer­ty­fi­ka­cji (któ­re obec­nie jesz­cze nie ist­nie­ją). Zabieg ten nie jest przy­pad­ko­wy i sta­no­wi kon­se­kwen­cję przy­ję­cia opi­sa­nej już zasa­dy neu­tral­no­ści tech­nicz­nej GDPR16.

Ponad powyż­sze, art. 24 GDPR doda­je, iż nakła­da­ny na admi­ni­stra­to­ra obo­wią­zek powi­nien zostać zre­ali­zo­wa­ny w spo­sób moż­li­wy do wyka­za­nia. Zobo­wią­za­nie takie moż­na poczy­ty­wać jako obo­wią­zek udo­ku­men­to­wa­nia albo przy­naj­mniej zebra­nia sze­re­gu infor­ma­cji mają­cych postać dowo­dów, któ­re pozwo­lą admi­ni­stra­to­ro­wi wyka­zać jakie kon­kret­nie środ­ki tech­nicz­ne i orga­ni­za­cyj­ne zosta­ły przez nie­go przy­ję­te. M. Cwe­ner wska­zu­je wprost, iż obo­wią­zek ten de fac­to wymu­si na nie­któ­rych admi­ni­stra­to­rach przy­ję­cie sto­sow­nej doku­men­ta­cji, któ­ra potwier­dzi nie­ja­ko zasto­so­wa­nie tych środ­ków17. Uwa­żam jed­nak, że w odnie­sie­niu do sys­te­mów infor­ma­tycz­nych, któ­re przy­bie­ra­ją trwa­łą postać choć­by w posta­ci kodu wyni­ko­we­go, wymu­sze­nie to nie będzie tak oczy­wi­ste. Jestem bowiem zda­nia, iż sam kod i okre­ślo­na w nim funk­cjo­nal­ność speł­ni sta­wia­ne rygo­ry dowo­do­we. Obo­wią­zek oce­ny ryzy­ka jest nato­miast roz­wi­ja­ny przez art. 35 GDPR, któ­ry naka­zu­je by oce­na taka mia­ła cha­rak­ter uprzed­ni – to zna­czy nastą­pi­ła przed roz­po­czę­ciem prze­twa­rza­nia danych. Za uza­sad­nio­ne uznać nale­ży zatem, iż admi­ni­stra­tor powi­nien być w sta­nie udo­wod­nić, iż doko­nał takiej uprzed­niej oce­ny. Za wąt­pli­wą nale­ży uznać pró­bę reali­za­cji tego wymo­gu poprzez oka­za­nie kodu opro­gra­mo­wa­nia. Uwa­żam nato­miast, że odpo­wied­nio sko­men­to­wa­na doku­men­ta­cja pro­jek­to­wa lub roz­wo­jo­wa opro­gra­mo­wa­nia mogła­by być wystar­cza­ją­cym dowo­dem czy­nią­cym zadość temu wymogowi.

Rozwiązanie w okresie przejściowym

Oce­nia­jąc powyż­szy stan praw­ny nale­ży skon­sta­to­wać, iż GDPR daje admi­ni­stra­to­rom dużo mniej­szy poziom pew­no­ści praw­nej. Narzu­ca na nich obo­wią­zek samo­dziel­ne­go dobo­ru środ­ków tech­nicz­nych i orga­ni­za­cyj­nych oraz samo­dziel­nej oce­ny ryzy­ka. Bez wąt­pie­nia, z punk­tu widze­nia war­to­ści jaką jest pew­ność obo­wią­zu­ją­ce­go sta­nu pra­wa, regu­la­cje funk­cjo­nu­ją­ce na grun­cie dotych­cza­so­wej usta­wy o ochro­nie danych oso­bo­wych w odnie­sie­niu do sys­te­mów infor­ma­tycz­nych dawa­ły o wie­le więk­szy kom­fort admi­ni­stra­to­rom danych osobowych.

Fakt ist­nie­nia wią­żą­ce­go do 24 maja 2018 r. kata­lo­gu środ­ków tech­nicz­nych i orga­ni­za­cyj­nych war­to wyko­rzy­stać jako ostat­nią szan­sę pozwa­la­ją­cą uzy­skać peł­ną zgod­ność z pra­wem w zakre­sie wyko­rzy­sty­wa­nych do prze­twa­rza­nia danych sys­te­mów infor­ma­tycz­nych. Oczy­wi­ście zasto­so­wa­nie się do wska­za­nych wymo­gów nie spo­wo­du­je, iż admi­ni­stra­tor danych auto­ma­tycz­nie speł­ni nakła­da­ne przez GDPR nowe obo­wiąz­ki. Znaj­dzie się jed­nak w kom­for­to­wej sytu­acji dys­po­nu­jąc kata­lo­giem już wdro­żo­nych środ­ków tech­nicz­nych i orga­ni­za­cyj­nych, dobra­nych w spo­sób ade­kwat­ny do jed­ne­go z okre­ślo­nych pozio­mów ryzy­ka przez same­go ustawodawcę.

Wyja­śnie­nia wyma­ga tak­że kwe­stia zwią­za­na z tym w jaki spo­sób zacząć dobie­rać środ­ki tech­nicz­ne i orga­ni­za­cyj­ne oraz sza­co­wać ryzy­ko po 25 maja 2018 r. Poza opar­ciem się o dotych­cza­so­we roz­wią­za­nia admi­ni­stra­to­rzy mogą już sko­rzy­stać z przy­ję­tych w dniu 4 kwiet­nia 2017 r. wytycz­nych opra­co­wa­nych przez Gru­pę Robo­czą art. 2918. Zawie­ra­ją one kon­kret­ne wska­zów­ki doty­czą­ce tego kie­dy i czy w ogó­le w rozu­mie­niu GDPR admi­ni­stra­tor powi­nien podej­mo­wać okre­ślo­ne dzia­ła­nia zwią­za­ne z oce­nia­niem ryzy­ka dla ochro­ny danych. Dodat­ko­wo zawie­ra­ją one zestaw pro­po­zy­cji kry­te­riów uży­tecz­nych pod­czas pró­by oce­ny ryzy­ka i dobo­ru środ­ków tech­nicz­nych i orga­ni­za­cyj­nych w celu jego minimalizacji.

Część z prak­ty­ków wska­zu­je rów­nież na moż­li­wość sko­rzy­sta­nia z mię­dzy­na­ro­do­wej nor­my stan­da­ry­za­cyj­nej ISO/IEC 2700119. Nor­ma ta odno­si się do sys­te­mów zarzą­dza­nia bez­pie­czeń­stwem infor­ma­cji i pro­po­nu­je sze­reg uży­tecz­nych roz­wią­zań zwięk­sza­ją­cych bez­pie­czeń­stwo danych (nie tyl­ko oso­bo­wych) w sys­te­mach (nie tyl­ko infor­ma­tycz­nych). Do tego typu zało­żeń nale­ży jed­nak pod­cho­dzić dość scep­tycz­nie, bowiem nor­ma ta nie prze­wi­du­je oce­ny ryzy­ka z punk­tu widze­nia naru­sze­nia pra­wa do ochro­ny danych oso­bo­wych jed­nost­ki. W związ­ku z tym nale­ży uznać, iż powin­na ona peł­nić rolę jedy­nie pomoc­ni­czą przy sza­co­wa­niu ryzy­ka dla sys­te­mów informatycznych.

Praktyczne znaczenie dla adwokatury

Oma­wia­ne zagad­nie­nie dobo­ru odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych oraz oce­ny ryzy­ka w sto­sun­ku do wyko­rzy­sty­wa­nych sys­te­mów infor­ma­tycz­nych znaj­du­je prak­tycz­ne prze­ło­że­nie na realia pra­cy setek kan­ce­la­rii adwo­kac­kich w Pol­sce. Nie spo­sób obec­nie wyobra­zić sobie funk­cjo­no­wa­nie tego typu pod­mio­tu bez uży­cia jakie­go­kol­wiek sys­te­mu infor­ma­tycz­ne­go – choć­by sys­te­mu ope­ra­cyj­ne­go kom­pu­te­ra słu­żą­ce­go do spo­rzą­dza­nia pism pro­ce­so­wych czy sys­te­mu infor­ma­tycz­ne­go obsłu­gu­ją­ce­go pocz­tę elek­tro­nicz­ną. Zarów­no aktu­al­nie obo­wią­zu­ją­ce prze­pi­sy jak i GDPR trak­tu­ją kan­ce­la­rie adwo­kac­kie w spo­sób podob­ny do zde­cy­do­wa­nej więk­szo­ści innych pod­mio­tów ryn­ko­wych. W związ­ku z powyż­szy wyko­rzy­sty­wa­nie sys­te­mów infor­ma­tycz­nych powin­no wią­zać się z wdra­ża­niem środ­ków tech­nicz­nych i orga­ni­za­cyj­nych odpo­wied­nich do wystę­pu­ją­ce­go ryzy­ka. Powa­gę sytu­acji pod­kre­śla fakt, iż prze­twa­rza­ne przez kan­ce­la­rie adwo­kac­kie dane oso­bo­we bar­dzo czę­sto zali­cza­ją się do kate­go­rii wraż­li­wych danych oso­bo­wych, dla któ­rych nawet poten­cjal­na moż­li­wość naru­sze­nie bez­pie­czeń­stwa będzie rodzić szcze­gól­nie wyso­kie ryzy­ko. War­to tak­że wska­zać, iż od adwo­ka­tów wyma­ga się szcze­gól­nej sta­ran­no­ści, któ­rą to sta­tu­uje mię­dzy inny­mi obo­wią­zek zacho­wa­nia tajem­ni­cy zawo­do­wej wią­żą­cy się z koniecz­no­ścią zabez­pie­cze­nia dobra wła­snych klien­tów. Powyż­sze argu­men­ty wyda­ją się dodat­ko­wo zwięk­szać koniecz­ność dobo­ru ponad­prze­cięt­nie sku­tecz­nych środ­ków tech­nicz­nych i orga­ni­za­cyj­nych, odpo­wied­nio zabez­pie­cza­ją­cych dane oso­bo­we prze­twa­rza­ne przez kan­ce­la­rie adwokackie.

Szan­są dla całej adwo­ka­tu­ry było­by z pew­no­ścią opra­co­wa­nie w przy­szło­ści bran­żo­we­go kodek­su postę­po­wa­nia, któ­ry wspo­ma­gał­by kan­ce­la­rie w dobo­rze ade­kwat­nych środ­ków tech­nicz­nych i orga­ni­za­cyj­nych oraz sza­co­wa­niu pozio­mów ryzy­ka. Roz­wią­za­nie takie jest moż­li­we do przy­ję­cia na mocy wska­zy­wa­nych już prze­pi­sów GDPR.

Prag­ma­tycz­nie oce­nia­jąc sytu­ację, sto­so­wa­na obec­nie doku­men­ta­cja w posta­ci Poli­ty­ki Bez­pie­czeń­stwa i Instruk­cji Zarzą­dza­nia Sys­te­mem Infor­ma­tycz­nym mogą być bar­dzo dobrym punk­tem wyj­ścia pozwa­la­ją­cym roz­po­cząć reali­za­cję wymo­gów GDPR. Posia­da­ją one okre­ślo­ną struk­tu­rę, któ­ra sama w sobie sta­no­wią śro­dek orga­ni­za­cyj­ny mają­cy na celu zabez­pie­cza­nie danych.

Podsumowanie

Bez wąt­pie­nia obec­nie trwa­ją­cy okres przej­ścio­wy może­my potrak­to­wać jako szan­sę dla pod­mio­tów nie posia­da­ją­cych zło­żo­nych tech­no­lo­gicz­nie sys­te­mów infor­ma­tycz­nych, do któ­rych czę­sto może­my zali­czyć kan­ce­la­rie adwo­kac­kie. Z jed­nej stro­ny war­to wska­zać, iż zastęp­ca Euro­pej­skie­go Inspek­to­ra Ochro­ny Danych odno­si się kry­tycz­nie do obec­nie obo­wią­zu­ją­cej w Pol­sce regu­la­cji. Pod­no­si on, m.in. iż przy­ję­te roz­wią­za­nia prze­sta­ły odpo­wia­dać realiom współ­cze­śnie funk­cjo­nu­ją­cych sys­te­mów infor­ma­tycz­nych20. Z twier­dze­niem takim bez wąt­pie­nia nale­ży się zgo­dzić. Od 2004 roku sys­te­my infor­ma­tycz­ne roz­wi­nę­ły swo­je moż­li­wo­ści i ule­gły prze­kształ­ce­niom. Opra­co­wa­ne zosta­ły nowe roz­wią­za­nia pozwa­la­ją­ce zapew­niać o wie­le wyż­szy poziom bez­pie­czeń­stwa danych. Sta­no­wią one środ­ki kon­ku­ren­cyj­ne do tych wska­zy­wa­nych przez roz­po­rzą­dze­nie wyko­naw­cze np. obo­wiąz­ku wymu­sza­nia zmia­ny hasła co 30 dni, sto­so­wa­nia opro­gra­mo­wa­nia anty­wi­ru­so­we­go lub roz­wią­zań typu fire­wall. Zde­cy­do­wa­na więk­szość współ­cze­snych sys­te­mów ope­ra­cyj­nych sto­su­je roz­wią­za­nia typu 2FA21, User Acco­unt Con­trol22 czy posia­da wbu­do­wa­ne mecha­ni­zmy zastę­pu­ją­ce opro­gra­mo­wa­nie anty­wi­ru­so­we23 lub roz­wią­za­nia typu fire­wall24. Poja­wia­ją się rów­nież publi­ka­cje oraz gło­sy eks­per­tów, iż odpo­wied­nia archi­tek­tu­ra orga­ni­za­cyj­na pozba­wia przy­mus sto­so­wa­nia tego typu roz­wią­zań racji bytu25.

Pod­kre­ślić jed­nak tak­że nale­ży, iż szcze­gól­nie w sek­to­rze małych i śred­nich firm (do któ­re­go może­my zali­czyć prze­cież część kan­ce­la­rii adwo­kac­kich) roz­wią­za­nia wska­zy­wa­ne przez pol­skie­go usta­wo­daw­cę, spo­sób ich dobo­ru oraz podzia­łu są nadal bar­dzo dobrym punk­tem wyj­ścia. Obo­wią­zu­ją­ce roz­wią­za­nia – zwłasz­cza te o cha­rak­te­rze orga­ni­za­cyj­nym – pozwa­la­ją w pod­sta­wo­wym stop­niu przy­go­to­wać się do wymo­gów sta­wia­nych przez GDPR. War­to zatem zain­te­re­so­wać się ich wdro­że­niem jesz­cze przed roz­po­czę­ciem sto­so­wa­nia GDPR, gdyż mogą być one swo­istym pomo­stem uła­twia­ją­cym samo­dziel­ny dobór środ­ków orga­ni­za­cyj­nych i tech­nicz­nych oraz sza­co­wa­nia ryzy­ka dla sys­te­mów infor­ma­tycz­nych po uchy­le­niu obo­wią­zu­ją­cych obec­nie prze­pi­sów prawa.

STRESZCZENIE

Aktu­al­nie obo­wią­zu­ją­ce prze­pi­sy usta­wy o ochro­nie danych oso­bo­wych okre­śla­ją jasno i zwięź­le środ­ki tech­nicz­ne i orga­ni­za­cyj­ne wyma­ga­ne od admi­ni­stra­to­rów danych oso­bo­wych wyko­rzy­stu­ją­cych sys­te­my infor­ma­tycz­ne. Przy­ję­te 26 kwiet­nia 2016 r. roz­po­rzą­dze­niem ogól­ne w spra­wie ochro­ny danych wpro­wa­dza zasa­dę neu­tral­no­ści tech­nicz­nej i naka­zu­je admi­ni­stra­to­rom samo­dziel­nie dobie­rać środ­ki tech­nicz­ne i orga­ni­za­cyj­ne wyko­rzy­sty­wa­ne w sys­te­mach infor­ma­tycz­nych. Znaj­du­je­my się obec­nie w okre­sie przej­ścio­wym, w któ­rym obo­wią­zu­ją cały czas dotych­cza­so­we regu­la­cje, ale admi­ni­stra­to­rzy powin­ni dosto­so­wać wyko­rzy­sty­wa­ne przez sie­bie sys­te­my infor­ma­tycz­ne do wymo­gów nowe­go roz­po­rzą­dze­nia. War­to sko­rzy­stać z dotych­czas wypra­co­wa­nych wzor­ców, któ­re uła­twią samo­dziel­ne ich opra­co­wy­wa­nie w przy­szło­ści, po uchy­le­niu pol­skiej usta­wy. Okres przej­ścio­wy może mieć szcze­gól­ne zna­cze­nie i być szan­są dla więk­szo­ści kan­ce­la­rii adwokackich.

SUMMARY

The cur­rent pro­vi­sions of Polish Per­so­nal Data Pro­tec­tion Act cle­ar­ly and stric­tly spe­ci­fy the tech­ni­cal and orga­ni­za­tio­nal measu­res requ­ired from con­trol­lers of per­so­nal data which are using com­pu­ter sys­tems. Gene­ral Data Pro­tec­tion Regu­la­tion enac­ted on 27th April, 2016, intro­du­ces the prin­ci­ple of tech­no­lo­gi­cal­ly neu­tra­li­ty, and requ­ires con­trol­lers to select the tech­ni­cal and orga­ni­za­tio­nal measu­res used in the com­pu­ter sys­tems. We are cur­ren­tly in a trans­i­tio­nal period, but con­trol­lers sho­uld to adapt the­ir IT sys­tems to the requ­ire­ments of the new regu­la­tion. It is worth to use the pre­vio­usly pat­terns, which will faci­li­ta­te futu­re ela­bo­ra­tion of measu­res after repe­aling the Polish law. The trans­i­tion period can be very impor­tan­ce and give an oppor­tu­ni­ty for most law firms.

KLIKNIJ TUTAJ ABY WYŚWIETLIĆ DALSZĄ CZĘŚĆ ARTYKUŁU PONIŻEJ
Zwiń arty­kuł

↓ PDF Z ARTYKUŁEM ↓

PRZYPISY:

  1. Usta­wa z dnia 29 sierp­nia 1997 r. o ochro­nie danych oso­bo­wych (tj. Dz. U. 2016, poz. 922).
  2. Usta­wa z dnia 22 stycz­nia 2004 r. o zmia­nie usta­wy o ochro­nie danych oso­bo­wych oraz usta­wy o wyna­gro­dze­niu osób zaj­mu­ją­cych kie­row­ni­cze sta­no­wi­ska pań­stwo­we (Dz. U. 2004, nr 33, poz. 285).
  3. Roz­po­rzą­dze­nie Mini­stra Spraw Wewnętrz­nych i Admi­ni­stra­cji z dnia 29 kwiet­nia 2004 r. w spra­wie doku­men­ta­cji prze­twa­rza­nia danych oso­bo­wych oraz warun­ków tech­nicz­nych i orga­ni­za­cyj­nych, jakim powin­ny odpo­wia­dać urzą­dze­nia i sys­te­my infor­ma­tycz­ne słu­żą­ce do prze­twa­rza­nia danych oso­bo­wych (Dz. U. 2004, Nr 100, poz. 2014).
  4. M. Cwe­ner, Nowe obo­wiąz­ki doku­men­ta­cyj­ne zwią­za­ne z prze­twa­rza­niem danych oso­bo­wych [w:] M. Kawec­ki (red.), Ogól­ne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych. Wybra­ne zagad­nie­nia, War­sza­wa 2017 r., s. 97.
  5. Roz­po­rzą­dze­nie Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny danych osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE (ogól­ne roz­po­rzą­dze­nie o ochro­nie danych) (Dz. U. UE L 119/1 tom 59 z 4 maja 2016 r.).
  6. Zale­ce­nia Euro­pej­skie­go Inspek­to­ra Ochro­ny Danych doty­czą­ce moż­li­wo­ści refor­my ochro­ny danych w EU z dnia 27 lip­ca 2015 r. (Dz. U. UE C nr 301, s. 1–8).
  7. M. Kune­va, Euro­pej­ski komi­sarz ds. ochro­ny kon­su­men­ta, Key­no­te spe­ech: Round­ta­ble on Onli­ne Data Col­lec­tion, Tar­ge­ting and Pro­fi­ling z 31 mar­ca 2009 r., dostęp­ne w sie­ci web pod adre­sem: http://europa.eu/rapid/press-release_SPEECH-09–156_en.htm [ostat­ni dostęp: 20 maja 2017 r.].
  8. A. Grze­lak, Głów­ne cele ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych [w:] M. Kawec­ki, Ogól­ne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych. Wybra­ne zagad­nie­nia, War­sza­wa 2017 r., s. 21–23.
  9. M. Cwe­ner, Nowe…, s. 98.
  10. M. Cwe­ner, Nowe…, s. 99.
  11. Dyrek­ty­wa 95/46/WE Par­la­men­tu Euro­pej­skie­go i Rady z dnia 24 paź­dzier­ni­ka 1995 r. w spra­wie ochro­ny osób fizycz­nych w zakre­sie prze­twa­rza­nia danych oso­bo­wych i swo­bod­ne­go prze­pły­wu tych danych (Dz. Urz. UE L nr 281 z 1995 r., s. 31 ze zm.).
  12. Wię­cej o tej regu­le koli­zyj­nej i jej impli­ka­cjach K. Ziem­ski, Rola i miej­sce reguł koli­zyj­nych w pro­ce­sie deko­do­wa­nia tek­stu praw­ne­go, Ruch Praw­ni­czy, Eko­no­micz­ny i Socjo­lo­gicz­ny, Poznań 1978, z. 2, s. 7.
  13. M. Kawec­ki, Wybór roz­po­rzą­dze­nia jako instru­men­tu praw­ne­go unij­nej refor­my pra­wa ochro­ny danych oso­bo­wych oraz kon­se­kwen­cje takie­go roz­wią­za­nia [w:] M. Kawec­ki (red.), Ogól­ne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych. Wybra­ne zagad­nie­nia, War­sza­wa 2017 r., s. 8.
  14. Świad­czy o tym cho­ciaż­by pierw­szy pro­jekt nowej usta­wy o ochro­nie danych oso­bo­wych przy­go­to­wa­ny przez Mini­ster­stwo Cyfry­za­cji i opu­bli­ko­wa­ny 28 mar­ca 2018 r. Wię­cej w sie­ci web pod adre­sem http://m.mc.gov.pl/aktualnosci/projekt-ustawy-o-ochronie-danych-osobowych [ostat­ni dostęp: 22.05.2017 r.].
  15. W. Wie­wió­row­ski, Nowe ramy ochro­ny danych oso­bo­wych w Unii Euro­pej­skiej, Doda­tek spe­cjal­ny do Moni­to­ra Praw­ni­cze­go 2012, nr 7, s. 3.
  16. A. Grze­lak, Głów­ne …, s. 22.
  17. M. Cwe­ner, Nowe…, s. 109.
  18. Zob. Guide­li­nes on Data Pro­tec­tion Impact Asses­sment (DPIA) and deter­mi­ning whe­ther pro­ces­sing is “like­ly to result in a high risk” for the pur­po­ses of Regu­la­tion 2016/679 przy­ję­te w dniu 4 kwiet­nia 2017 r. przez Gru­pę Robo­czą art. 29 ds. Ochro­ny Danych, WP 248, dostęp­ne w sie­ci web pod adre­sem: https://​ec​.euro​pa​.eu/​n​e​w​s​r​o​o​m​/​d​o​c​u​m​e​n​t​.​c​f​m​?​d​o​c​_​i​d​=​4​4​137 [ostat­ni dostęp: 23.05.2017 r.].
  19. Tak choć­by TQM­Con­sul­ting, zob. http://​www​.tqmc​.pl/​o​f​e​r​t​a​/​w​d​r​a​z​a​n​i​e​-​s​y​s​t​e​m​o​w​/​i​n​f​o​r​m​a​c​j​a​-​i​s​o​-​2​7​001 [ostat­ni dostęp: 23.05.2017 r.].
  20. W. Wie­wió­row­ski, Unij­na refor­ma ochro­ny danych oso­bo­wych, wystą­pie­nie pod­czas kon­fe­ren­cji Czło­wiek w cyber­prze­strze­ni zor­ga­ni­zo­wa­nej na UKSW w War­sza­wie 11 paź­dzier­ni­ka 2016 r., mate­ria­ły własne.
  21. Zob. opra­co­wa­nie Escal Insti­tu­te of Advan­ced Tech­no­lo­gies z 15 wrze­śnia 2015 r., Two-Factor Authen­ti­ca­tion (2FA) using Ope­nOTP, dostęp­ne w sie­ci web pod adre­sem: https://​www​.sans​.org/​r​e​a​d​i​n​g​-​r​o​o​m​/​w​h​i​t​e​p​a​p​e​r​s​/​a​u​t​h​e​n​t​i​c​a​t​i​o​n​/​t​w​o​-​f​a​c​t​o​r​-​a​u​t​h​e​n​t​i​c​a​t​i​o​n​-​2​f​a​-​o​p​e​n​o​t​p​-​3​6​087 [ostat­ni dostęp: 23.05.2017 r.].
  22. Zob. opra­co­wa­nie Micro­so­ftu z 24 kwiet­nia 2017 r., How User Acco­unt Con­trol works, dostęp­ne w sie­ci web pod adre­sem: https://​docs​.micro​soft​.com/​e​n​-​u​s​/​w​i​n​d​o​w​s​/​a​c​c​e​s​s​-​p​r​o​t​e​c​t​i​o​n​/​u​s​e​r​-​a​c​c​o​u​n​t​-​c​o​n​t​r​o​l​/​h​o​w​-​u​s​e​r​-​a​c​c​o​u​n​t​-​c​o​n​t​r​o​l​-​w​o​rks [ostat­ni dostęp: 23.05.2017 r.].
  23. Zob. opra­co­wa­nie Micro­so­ftu z 24 kwiet­nia 2017 r., Win­dows Defen­der Anti­vi­rus in Win­dows 10, dostęp­ne w sie­ci web pod adre­sem: https://​docs​.micro​soft​.com/​e​n​-​u​s​/​w​i​n​d​o​w​s​/​t​h​r​e​a​t​-​p​r​o​t​e​c​t​i​o​n​/​w​i​n​d​o​w​s​-​d​e​f​e​n​d​e​r​-​a​n​t​i​v​i​r​u​s​/​w​i​n​d​o​w​s​-​d​e​f​e​n​d​e​r​-​a​n​t​i​v​i​r​u​s​-​i​n​-​w​i​n​d​o​w​s​-10 [ostat­ni dostęp: 23.05.2017 r.].
  24. Zob. opra­co­wa­nie Micro­so­ftu z 24 kwiet­nia 2017 r., Win­dows Fire­wall with Advan­ced Secu­ri­ty, dostęp­ne w sie­ci web pod adre­sem: https://​docs​.micro​soft​.com/​e​n​-​u​s​/​w​i​n​d​o​w​s​/​a​c​c​e​s​s​-​p​r​o​t​e​c​t​i​o​n​/​w​i​n​d​o​w​s​-​f​i​r​e​w​a​l​l​/​w​i​n​d​o​w​s​-​f​i​r​e​w​a​l​l​-​w​i​t​h​-​a​d​v​a​n​c​e​d​-​s​e​c​u​r​ity [ostat­ni dostęp: 23.05.2017 r.].
  25. Zob. raport Insti­tu­te for Cri­ti­cal Infra­struc­tu­re Tech­no­lo­gy z 9 lute­go 2017 r., Signa­tu­re Based Mal­wa­re Detec­tion is Dead, s. 6–8, dostęp­ny w sie­ci web pod adre­sem: http://​ici​tech​.org/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​d​s​/​2​0​1​7​/​0​2​/​I​C​I​T​-​A​n​a​l​y​s​i​s​-​S​i​g​n​a​t​u​r​e​-​B​a​s​e​d​-​M​a​l​w​a​r​e​-​D​e​t​e​c​t​i​o​n​-​i​s​-​D​e​a​d​.​pdf [ostat­ni dostęp: 23.05.2017 r.].

Leave a Reply