CyberbezpieczeństwoPolecane tematy
RODO: dane osobowe, wrażliwe, genetyczne, biometryczne, medyczne…
Które informacje uznać za dane osobowe? Jakie nowe ich kategorie wprowadza unijne rozporządzenie o ochronie danych osobowych? Jak je chronić? Czy któreś z informacji o użytkownikach naszych serwisów powinny być zabezpieczone w szczególny sposób? Co w praktyce oznacza prawo do bycia zapomnianym?
Konrad Kobylecki, CIO w Netii (KK): Eksperci specjalizujący się we wdrażaniu RODO najchętniej każdą daną, która w jakikolwiek sposób wiąże się z klientem, uznaliby za osobową i włączyli w zakres projektu dostosowania się do tego rozporządzenia. Nawet intuicyjnie wiemy jednak, że jedne dane są bliższe klientowi – pozwalają go jednoznacznie zidentyfikować – a inne nie. Czy pan może wskazać jednoznaczną wykładnię, że np. imię i nazwisko jest daną osobową, a inne informacje na temat klienta już nie? To istotnie wpłynęłoby na oszczędności w całej gospodarce.
Maciej Kawecki, kierujący Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych (MK): Rozporządzenie unijne nie zmienia w żadnym zakresie definicji ochrony danych osobowych jako takich. Wprowadza natomiast trzy definicje, których dzisiaj nie ma: danych genetycznych, danych biometrycznych i danych dotyczących stanu zdrowia. Wyróżnia je spośród pozostałych i oddzielnie je definiuje. Potem zaś posługuje się nimi przy wskazaniu danych szczególnie chronionych, dzisiejszych danych wrażliwych. Nawet przy tych definicjach nie jest jednak możliwe wyczerpujące wskazanie zakresu takich danych. Stały rozwój nowych technologii wymusił więc na ustawodawcy odstąpienie od budowania jakichkolwiek zamkniętych definicji.
Weźmy dane biometryczne. Mówi się, że to jest w szczególności odcisk palca i wizerunek. Jednak dzisiaj takimi danymi są jeszcze układ naczyń krwionośnych w dłoni – podobno obecnie najbardziej wiarygodna metoda identyfikacji, głos, kształt małżowiny usznej, dane genetyczne, podpis uwzględniający nacisk i poziomem nachylenia pisma. Co więcej pojawiają się nowe dane biometryczne, takie jak zapach człowieka, charakterystyczne sposób drgania kończyn czy jego pole elektromagnetyczne. Gdybyśmy wskazali definicję zamkniętą, to nie obejmowałaby tych niezliczonych tworzonych obecnie sposobów identyfikacji. Nie ma takiej zamkniętej definicji danych i jej nigdy nie będzie.
Rozporządzenie unijne nie zmienia w żadnym zakresie definicji ochrony danych osobowych jako takich. Wprowadza natomiast trzy definicje, których dzisiaj nie ma: danych genetycznych, danych biometrycznych i danych dotyczących stanu zdrowia. Wyróżnia je spośród pozostałych i oddzielnie je definiuje. Potem zaś posługuje się nimi przy wskazaniu danych szczególnie chronionych, dzisiejszych danych wrażliwych. Nawet przy tych definicjach nie jest jednak możliwe wyczerpujące wskazanie zakresu takich danych. Stały rozwój nowych technologii wymusił więc na ustawodawcy odstąpienie od budowania jakichkolwiek zamkniętych definicji – mówi Maciej Kawecki, kierujący Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych.
KK: Czyli mogę wdrożyć wszystko, co wydaje mi się potrzebne, a 24 maja, na dzień przed wejściem w życie RODO, dowiem się, że nie wdrożyłem jeszcze masy innych rzeczy, bo nie zostały uwzględnione wcześniej?
MK: Zakładam, że w większości organizacji te same środki zabezpieczenia używa do wszystkich danych osobowych. Nie wydaje mi się, aby inne środki wdrażano na potrzeby ochrony imienia i nazwiska, a inne dla numeru PESEL. W Ministerstwie Cyfryzacji rozważane jest wdrożenie pilotażu systemu weryfikacji biometrycznej pracowników. Projektujemy przepisy prawne w tym zakresie, chcemy więc zaprojektować system swobody w wyrażaniu zgody na przetwarzanie tego typu danych. Biometria to obszar, w którym zabezpieczenia będą różniły się względem innych danych kadrowych.
KK: Rozumiem, że powinienem każde dane traktować jako wrażliwe i osobowe. To bardzo zwiększa budżet projektu. To właśnie utrudnienie dla całej gospodarki, o którym wspominałem. Czy projekt RODO powinien objąć też dane dotyczące np. historii płatności? Wszystkim klientom wystawiamy takie same faktury. Nie jest to więc czynnik różnicujący klientów. Czy są to więc dane wrażliwe?
MK: Nie każde. Dane szczególnie chronione to dane szczególnie chronione. Ale bardzo często nie jest możliwe stosowanie innych środków zabezpieczających dla każdej z kategorii danych.
Prawo do bycia zapomnianym jest najbardziej znane ze wszystkich uprawnień wynikających z RODO, tymczasem nie jest to nic nowego. Dodatkowo więcej obiecuje niż daje. W wielu przypadkach przedsiębiorca będzie mógł bowiem odmówić jego realizacji. Już dzisiaj można wystąpić o usunięcie danych, jeśli nie ma podstawy prawnej do dalszego ich przetwarzania. Teraz po prosto zapis ten ładnie nazwano kopiując określenie z orzecznictwa Trybunału Sprawiedliwości UE.
KK: RODO mówi też o prawie do zapomnienia. Co jeśli wymażę nazwisko, a historia faktur zostanie i nie będzie można jej przypisać do konkretnej osoby?
PRAWO DO BYCIA ZAPOMNIANYM W PRAKTYCEMK: Często spotykam się z błędnym rozumieniem tego, jak rozumieć prawo do bycia zapomnianym. Tymczasem prawo do bycia zapomnianym więcej obiecuje niż daje. W wielu przypadkach przedsiębiorca będzie mógł bowiem odmówić jego realizacji. Jeśli gromadzimy faktury i nie przedawnił się okres roszczeń, to może Pan odmówić realizacji prawa do bycia zapomnianym. Jednak będzie pan mógł używać tych danych tylko w celu ochrony przed roszczeniami, a nie np. do celów marketingowych.
Prawo do bycia zapomnianym jest najbardziej znane ze wszystkich uprawnień wynikających z RODO, tymczasem nie jest to nic nowego. Już dzisiaj można wystąpić o usunięcie danych, jeśli nie ma podstawy prawnej do dalszego ich przetwarzania. Teraz po prosto zapis ten ładnie nazwano kopiując określenie z orzecznictwa Trybunału Sprawiedliwości UE.
Mariola Więckowska, Administrator Bezpieczeństwa Informacji, Allegro (MW): Może opowiem, jak my do tego podchodzimy. Zasadę tę stosujemy w Allegro od dawna. Usuwamy więc dane osobowe i pozostaje nam tylko pusty rekord z ID klienta w bazie, którego nie możemy już połączyć z konkretną osobą. To upewnia nas w tym, że działamy zgodnie z prawem. Natomiast, gdy mamy inną podstawę prawną na dalsze przetwarzanie danych, np. ze względu na ustawę o rachunkowości, w takim przypadku informujemy klienta, że nie możemy usunąć danych i podajemy podstawę dalszego przetwarzania.
KK: A co z adresem IP?
MK: Jeśli jest to zmienny adres IP i nie możemy dotrzeć do użytkownika, to nie są to dane osobowe. Przykładem mogą być dwie kafejki internetowe. W pierwszej nie ma ewidencji wejść i wyjść. Można zalogować się, obrazić kogoś na jakimś forum i wyjść. Obrażony może zidentyfikować kafejkę, ale już nie obrażającego. W drugiej właściciel prowadzi ewidencję klientów i wiadomo kto oraz kiedy korzystał z danego komputera. W tej sytuacji adres IP jest już daną osobową, bo można po nim dotrzeć do użytkownika.
Prawo do bycia zapomnianym stosujemy w Allegro od dawna. Usuwamy więc dane osobowe i pozostaje nam tylko pusty rekord z ID klienta w bazie, którego nie możemy już połączyć z konkretną osobą. To upewnia nas w tym, że działamy zgodnie z prawem. Natomiast, gdy mamy inną podstawę prawną na dalsze przetwarzanie danych, np. ze względu na ustawę o rachunkowości, w takim przypadku informujemy klienta, że nie możemy usunąć danych i podajemy podstawę dalszego przetwarzania – mówi Mariola Więckowska, Administrator Bezpieczeństwa Informacji, Allegro.
KK: Ale jeśli wymażę go z tej książki?
MK: Moim zdaniem błędną drogą wdrażania RODO jest szukanie kruczków i naciąganie definicji danych osobowych. Błędna jest próba udowodnienia, że coś nimi jest, a inną daną już nie. Wszystko zależy od kontekstu. Ogólny trend wskazuje na to, że coraz więcej danych jest danymi osobowymi. Rozwój technologii prowadzi do tego, że coraz mniej informacji potrzeba, aby nas jednoznacznie zidentyfikować. Podam przykład z własnego życia. Planując wakacje skorzystałem ze strony porównującej oferty biur podróży. Podałem tylko swój adres mailowy, a mimo to następnego dnia mój służbowy telefon – którego numeru nie podałem – urywał się od ofert. Na tym nie koniec. Po adresie IP połączono moją aktywność z numerem telefonu jednego z domowników i jemu też wysłano oferty.
KK: Jeżeli ukradziono bazę danych, to operator prawdopodobnie nie jest świadom, że przez IP zidentyfikowano pana numer telefonu. Być może źródłem jest serwis społecznościowy albo jakaś inna baza danych.
Notował Bartosz Ciszewski
