Kto ma porządek w “ochronie danych” ręka w górę:-)

Dzisiaj trochę inaczej o ochronie danych osobowych. Myślę, że kwestia ochrony danych osobowych to jedna z najbardziej zakurzonych i zapomnianych w większości firm.

Ba gorzej jest to temat, którego potencjalne porządkowanie denerwuje właścicieli firm jak nic innego. W ich ocenie temat ochrony danych osobowych jest wydumaną fanaberią.

W życiu najczęściej takie podejście związane jest ze zwykłym niezrozumieniem tematu, nieświadomością co do prawa oraz faktów. Dyrektywa unijna w sprawie ochrony danych osobowych ma już 20 lat a nie ma chyba innych przepisów, które byłby tak bardzo zapomniane jak te o ochronie danych osobowych.

Nawet moi koledzy radcy czy adwokaci, którzy na co dzień nie zajmują się tą tematyką ochrony danych kręcą głowami wyrażając niezrozumienie tematu. GIODO im to wytyka i wyraża opinię, że prawnicy nie zawsze w tym obszarze są wzorami do naśladowania

Bardzo często otrzymuję telefony od właścicieli małych firm. Kupię pani poradnik – mówi mój rozmówca, ale czy wystarczy mi on, aby samemu napisać wszystkie wymagane dokumenty. No i jak tu być mądrym oraz uprzejmym, nie urazić potencjalnego klienta, ale też wyrazić swoją opinię. Trudne zadanie.

Odpowiadam więc, że wszystko zależy od tego, co chcemy osiągnąć. Jeśli zależy nam żeby mieć jakiś papier w tym temacie i to już nas uspokoi to można skopiować jakie wzory lub kupić za parę złotych. Nie będzie miało to zbyt wiele wspólnego z zapewnieniem zgodności ochrony danych osobowych, ale zyskamy pozorny spokój, że coś zrobiliśmy, coś mamy.

Mojemu rozmówcy odpowiedziałam, że nawet, gdy kupi poradnik to w mojej ocenie nie jest w stanie samodzielnie uporządkować obszaru ochrony danych osobowych. Poradniki piszę bowiem dla ABI (administratorów bezpieczeństwa informacji), którzy na co dzień zajmują się stosowaniem przepisów o ochronie danych osobowych.

Klient poradnika nie kupił. Skutecznie go zniechęciłam. Jednak zapewnianie go, że mój poradnik rozwiązałby mu problem uważałam za nieetyczne.

Z drugiej strony normą jest  w firmie wyznaczanie do  porządkowania kwestii ochrony danych przez osoby zupełnie do tego nieprzygotowane. Dostaję pełne rozpaczy listy, że nagle jak grom z jasnego nieba  prezes zrzuca na swoją kadrową czy księgową obowiązek uporządkowania danych osobowych. Jest płacz i zgrzytanie zębów.

Pamiętam błagalny list o pomoc młodej dziewczyny, stażystki w spółdzielni mieszkaniowej, której łaskawa Pani Prezes dała za zadanie uporządkowanie kwestii ochrony danych osobowych. Dziewczynie zależało na pracy, chciała się wykazać i mimo, że bladego pojęcia o temacie nie miała ambitnie wzięła się do rzeczy. Jednak, gdy zaczęła zgłębiać temat grunt spod nóg powoli jej się usuwał. Stąd błagalny list do mnie.

Dane osobowe to nie są jakieś tam dane osobowe, jednostkowe imiona i nazwiska przetwarzane w formie papierowej i trzymane na dnie szafy czy szuflady zamykanej na klucz. Te czasy minęły bezpowrotnie. Nasze dane osobowe to wszystkie informacje, które nas dotyczą, informacje dotyczące naszej sytuacji finansowej, mieszkaniowej, zawodowej, historie chorób, historie kredytowe, informacje dotyczące także skazań czy innych orzeczeń nas dotyczących.

Dane osobowe to wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Wszelkie, co oznacza, że katalog informacji, które mogą zostać uznane za dane osobowe jest otwarty. Dane osobowe to adresy email, numery IP, co jeszcze kilka lat temu było sporne.

W dobie wszechobecności internetu, powszechności usług świadczonych elektronicznie także w sektorze publicznym, tworzenia kolejnych rejestrów zbierających dane o obywatelach (rejestry karne, rejestry PESEL, rejestry  ZUS, rejestry w systemie informacji medycznej i inne). Ilość danych, które są o nas przetwarzane jest zatrważająca.

Argument o udostępnianiu danych w portalach społecznościowych typu Facebook przez samych internautów do mnie nie trafia, bo każdy ma prawo decydowania o sobie i jeśli taka jego wola może ujawniać na swój temat, co chce. Jednak zauważmy, że na FB ludzie ujawniają z reguły te pozytywne informacje tak, aby ich wizerunek nie ucierpiał. Ba czasami z rozmysłem w ten sposób kreują  swój image.

Problem pojawia się, gdy to inni chcą decydować lub decydują, co zrobią z naszymi danymi, komu je udostępnią, bez naszej wiedzy i woli a czasami jej wbrew.

Nieustanny rozwój nowych technologii w internecie, ale także nasza w nim obecność w różnych aspektach zawodowym, prywatnym, handlowym wymaga posługiwania się danymi osobowymi  z wykorzystaniem tychże technologii.

Brak regulacji prawnych dotyczących ochrony danych osobowych w tej sferze czyniłoby z internetu i jego możliwości prawdziwe pole do nadużyć jak handel danymi na wielką skalę, kradzież tożsamości, notoryczne naruszanie prywatności i wiele wiele innych.

Nie dlatego, że zawodowo zajmuję się prawem ochrony danych osobowych, ale dlatego, że wiem, jak szerokie jest pole nadużyć w tej sferze i jak bardzo dotkliwe mogą być to nadużycia dla konkretnego człowieka jestem za ochroną danych osobowych.

Rozporządzenie unijne w sprawie ochrony danych osobowych, które w kwietniu tego roku zostało przyjęte w organach UE jest odpowiedzią na zagrożenia, które powyżej w wielkim skrócie starałam się zasygnalizować w tym poście.

Opineo Opineo …

Dzisiaj po raz kolejny do mojej skrzynki pocztowej zajrzało Opineo z przypomnieniem, że robiąc zakupy w sklepie internetowym X trzy tygodnie temu nie wyraziłam jeszcze swojej opinii na temat poziomu zadowolenia z tegoż zakupu.

Rzeczywiście nie wyraziłam, gdyż być może nie miałam czasu lub ochoty, co nie oznacza, że nie byłam zadowolona z zakupu. Jednak nie musze dzielić się swoją radością z zakupionego towaru, jeśli nie chcę a przede wszystkim ani sklep ani Opineo nie ma prawa wysyłać mi wiadomości w tym temacie, jeśli nie wyraziłam na to zgody.

A więc Opineo wysyła te swoje przypominające e-maile już któryś raz z kolei chcąc mnie zdyscyplinować. Uważa, że ma prawo, bo podpisało umowę powierzenia ze sklepem. Umowa ta jednak nie stanowi w tym przypadku odpowiedniej podstawy prawnej, bowiem Opineo zbiera opinie na własny rachunek, aby wypełnić ankietę trzeba zaakceptować Regulamin Opineo. W świetle tego regulaminu Opineo staje się administratorem danych osobowych dotyczących wypełnianych ankiet.

W przypadku powierzenia danych do przetwarzania przetwarzający (tutaj Opineo) powinien działać w imieniu i na rzecz administratora danych (sklepu). Nieuprawnione jest wykorzystanie umowy powierzenia jako podstawy do zbierania danych dla własnych celów, co  ma miejsce w omawianej sytuacji.

Reasumując, jeśli sklep zamierza badać poziom zadowolenia z dokonywanych w nim zakupów sam czy w  kooperacji z Opineo, Ceneo zawsze będzie potrzebował na to zgody klienta. Bowiem badanie satysfakcji z zakupu nie jest niezbędne do zawarcia czy wykonania zawartej umowy sprzedaży i jako takie wymaga odrębnej podstawy prawnej czyli zgody podmiotu danych.

Podobno dobra opinia o sklepie w w/w portalach jest bardzo cenna, bowiem przekłada się to na wzrost poziomu zaufania do sklepu no i finalnie na sprzedaż. Należy jednak pamiętać, że w każdym przypadku, gdy mamy do czynienia z przekazywaniem danych naszych klientów podmiotom trzecim posiadać odpowiednią ku temu podstawę prawną. W innym przypadku dane udostępniane są nielegalnie, co może skutkować odpowiedzialnością sklepu karną, administracyjną a także  cywilną.

Reasumując pamiętajmy, że dobra opinia to skarb, jednak należy sięgać po te opinie z rozwagą i poszanowaniem prawa klienta również do niewyrażania  opinii.

 

Wywiad środowiskowy a ochrona danych osobowych

Jako osoba zawodowo zajmująca się prawem ochrony danych osobowych mam wewnętrzną niechęć do ingerencji w prawa jednostek do prywatności. Nie mam oczywiście nic przeciwko temu, że same jednostki np. na FB odsłaniają swoją prywatność. Są wolnymi ludźmi i wolno im.

Dzisiaj chciałabym Wam przybliżyć taką instytucję jak wywiad środowiskowy. Dla prawnika specjalizującego się w prawie ochrony danych osobowych jest to nie lada orzech do zgryzienia.

Wywiad środowiskowy spotykamy w prawie karnym, cywilnym, ale także prawie administracyjnym. Instytucja ta w największym uproszeniu służyć ma inwigilacji osób wobec których została zarządzona.

Wywiad środowiskowy jest w procedurach swoistym środkiem dowodowym mającym dostarczyć określonych informacji dla organów prowadzących te postępowania i pomóc w wydaniu rozstrzygnięcia w sprawie.

Wywiad środowiskowy prowadzony w postępowaniach karnych ma na celu zebranie informacji o oskarżonym w jego środowisku. Przepisy nie precyzją definicji legalnej wywiadu środowiskowego. Mówią natomiast, że wywiad przeprowadza się w miejscu zamieszkania, pobytu, pracy oskarżonego. Informacje zbierane są od rodziny, sąsiadów, znajomych, współpracowników, osób lub instytucji.

W postępowaniu karnym tylko w określonych sytuacjach wywiad jest obligatoryjny, w postępowaniu wykonawczym jest fakultatywny i w każdym przypadku służy zbieraniu informacji o oskarżonym czy osadzonym. Wywiad może być również przeprowadzany w sprawach rodzinnych czy w celach związanych z realizacją pomocy społecznej również w celu zebrania informacji.

Wywiady najczęściej przeprowadzają kuratorzy sądowi, ale nie tylko. Czasami jest to też policja lub inne wyznaczone organy. Wywiad polega na tym, że najczęściej kurator chodzi po sąsiadach i wypytuje o osobę. Musi przy tym powiedzieć jaki organ zarządził wywiad i kogo on dotyczy, przedstawić swoją służbową legitymację. Jego pytania są uzależnione w zależności od tego, co ma ustalić i mogą obejmować ogólne informacje o osobie ale też o jej sytuacji majątkowej, źródłach dochodów, stanie zdrowia w tym nadużywania alkoholu.

Oczywistym jest, że kurator zbierając informacje do wywiadu zdradzić musi, że wobec określonej osoby sąd w związku z toczącym się przeciwko niej postępowaniem zarządził wywiad. Ujawnia więc informacje zaliczone przez ustawę o ochronie danych osobowych do informacji wrażliwych czyli tych, których przetwarzanie co do zasady jest zakazane. Ponadto zakres zbieranych danych najczęściej też zalicza się do danych wrażliwych, gdyż zbierane  są dane o stanie zdrowia, nadużywaniu alkoholu czy innych środków odurzających.

Podstawą do przetwarzania danych wrażliwych może być wyłącznie przepis prawa. Jednak zgodnie z ustawą i  orzecznictwem przepis musi wyraźnie uchlać zakaz przetwarzania danych wrażliwych, precyzować o jaki zakres danych chodzi, jakie są dozwolone sposoby tego przetwarzania. Przepisy regulujące wywiad nie zostały sprecyzowane zgodnie z tym zasadami, na co zwracał uwagę w swoich wystąpieniach do ministra sprawiedliwości GIODO.

Ktoś może powiedzieć, że istnieje nadrzędy interes publiczny w zarządzaniu wywiadów, w końcu chodzi o osoby mające sprawy karne, będące oskarżone o popełnienie przestępstwa. I wszystko się zgadza, jednak z poczynionych przeze mnie ustaleń ta instytucja jest przez sądy nadużywana. Sami kuratorzy dziwią się, gdy dostają nakaz przeprowadzania wywiadów w przypadku np. popełnienia przestępstwa w zakresie prawa budowlanego (samowolka budowlana) lub innych przestępstw  o niewielkiej szkodliwości społecznej.

Znane były praktyki sądów dotyczące zarządzania wywiadów środowiskowych w przypadku nieuiszczania zasądzanych wyrokami grzywien. Wywiady były masowo przeprowadzane na okoliczność ustalenia stanu majątkowego i informacji o dochodach zobowiązanego do uiszczenia grzywny. Minister Sprawiedliwości po przyjrzeniu się praktyce wyraźnie zakazał nadużywania tego środka.

Reasumując w mojej ocenie stosowanie przez sądy czy prokuratorów wywiadów środowiskowych w sytuacjach, w których nie mają takiego obowiązku, w szczególności w przypadku czynów o niskiej szkodliwości społecznej stanowi niepotrzebną ingerencję w prywatność osoby.

Należy pamiętać, że informacja wypuszczona w środowisko danej osoby o toczącym się przeciwko niej  postępowaniu w szczególności karnym  z reguły rodzi negatywne dla tej skutki w postaci na przykład ostracyzmu społecznego. Kuratorzy sami mają wyczucie takich sytuacji i starają się postępować tak, aby zaszkodzić jak najmniej. Przyznają, że ostatecznie tylko w poszukiwaniu informacji zjawiają się u pracodawcy, gdyż zdarza się, ze ludzie po takiej wizycie kuratora tracą prace a nie o to chyba chodzi.

Wywiady środowiskowe tak, ale tylko pod warunkami. Te warunki szczegółowo powinna regulować ustawa a na ten moment tego nie robi. Być może stąd taki wysp wywiadów.

Mam nadzieję, że reforma prawa unijnego w zakresie ochrony danych osobowych osób fizycznych również tych w stosunku do których prowadzone są postępowania doprowadzi do niezbędnych regulacji również w zakresie prowadzenia wywiadów środowiskowych.

Kończąc tylko dygresja  do spraw bieżących. Wobec osób, które będą podejrzewane o wydatkowanie pomocy uzyskanej w ramach 500+ niezgodnie z celem ustawy będzie możliwość zarządzenia przeprowadzenia wywiadów środowiskowych w celu ustalenia wydatkowania pomocy zgodnie z prawem.

Reforma prawa – ochrona danych osobowych już przesądzona

Na stronach GIODO możemy przeczytać informację, iż zakończył się trilog czyli ostatni etap uzgadniania przez instytucje UE tekstu rozporządzenia unijnego w sprawie ochrony danych osobowych. Głosowanie nad przyjęciem rozporządzenia odbędzie się na wiosnę.

GIODO wyraziła się, iż osiągnięcie porozumienia przez instytucje UE oznacza historyczny moment dla ochrony danych osobowych. Trudno się z nią nie zgodzić. To rozporządzenie to wielka reforma, która będzie wymagała też solidnych przygotowań do niej w porządkach prawnych poszczególnych państw. Prace w tym zakresie z pewnością już są planowane i lada moment ruszą. Wbrew pozorom nawet przy tak długim, jak określone, vacatio legis, czasu jest mało patrząc na rozmiar zmian.

Dla przedsiębiorców skończy się era bagatelizowania spraw ochrony danych osobowych, traktowania ich z reguły po macoszemu. Ochrona danych osobowych poprzez sankcje za naruszenie przepisów, w postaci bardzo dolegliwych kar finansowych, stanie się tematem zasługującym na poważne traktowanie.

I nie cieszy mnie, że przedsiębiorcom przybędzie obowiązków do wypełnienia, bo przecież i tak mają ich nadmiar. Sama jestem przedsiębiorcą i rozumiem to. Jednak obserwując beztroskę i lekceważenie, czasami zupełnie jawne ochrony danych myślę, że podniesienie rangi zagadnienia jest stanem pożądanym.

Jak zawsze na początku i tutaj będzie opór, jednak z czasem przyzwyczaimy się do nowego stanu, który wymagał będzie zachowania  odpowiednich standardów w celu zapewnienia zgodności przetwarzania danych osobowych.

W dobie globalnej gospodarki cyfrowej, galopującego rozwoju nowych technologii przynoszących coraz to nowe i bardziej wyrafinowane sposoby przetwarzania naszych danych osobowych, określenie ram prawnych dla tego przetwarzania stało się  niezbędne.

Sądzę, że i ABI będą mieli więcej pracy, ale też może i więcej zrozumienia dla wykonywanych przez nich obowiązków, czego oczywiście tak z okazji Nowego Roku wszystkim ABI życzę.

Ochrona danych osobowych w salonie urody

Po raz kolejny przekonałam się, że ochrona danych osobowych nie jedno ma imię. W sytuacjach dla mnie zaskakujących przypominam sobie słowa byłego GIODO Wojciecha R. Wiewiórowskiego, który powtarza, iż prawo ochrony danych osobowych jest prawem kontekstowym, co oznacza, że w kwalifikacji prawnej faktów istotnych z punktu widzenia tego prawa, często kluczowy jest kontekst.

Tym razem kontekst jest bardzo przyjemny, bo związany z branżą beauty. Okazuje się, że kontekst ten obfituje w bogactwo stanów faktycznych, których kwalifikacja w świetle prawa ochrony danych osobowych nie zawsze jest oczywista. Okazuje się bowiem, że współczesne, profesjonalne salony piękna z szerokim wachlarzem oferowanych usług przetwarzają szereg danych wrażliwych. Przetwarzanie takich danych co do zasady jest zakazane.

Podmioty lecznicze, które udzielają świadczeń zdrowotnych posiadają bogate ustawodawstwo, dające podstawy do przetwarzania wrażliwych danych osobowych. Przepisy te regulują kwestie tajemnicy zawodowej związanej z udzielaniem świadczeń zdrowotnych, określają zasady udzielania zgód na zabiegi medyczne a także szczegółowo określają obowiązki w zakresie dokumentacji medycznej.

Branża beauty nie posiada takich regulacji a w przypadku niedopełnienia warunków legalnego przetwarzania danych osobowych narażona jest na wiele negatywnych konsekewencji prawnych. Z tego właśnie powodu świadomość prawna w zakresie obowiązującego prawa w celu zapewnienia bezpieczeństwu danych i własnej działalności jest tak istotna.

O rygorach przetwarzania danych wrażliwych, środkach prawnych zapewniających bezpieczeństwo w tym zakresie będę mówić na szkoleniu w Warszawie. Wszystkich zainteresowanych tą branżą a także tematem legalnego przetwarzania danych wrażliwych zapraszam do wzięcia w nim udziału.

Podstawy przetwarzania danych osobowych – refleksja

Do napisania tego artykułu skłoniły mnie poaudytowe refleksje dotyczące stanu wiedzy osób upoważnionych do przetwarzania danych osobowych, teoretycznie więc zapoznanych z zasadami dotyczącymi przetwarzania danych osobowych.

Okazuje się, że zwykle osoby upoważnione do przetwarzania danych z reguły dysponują jakimś minimum wiedzy w zakresie obowiązku zabezpieczenia danych czy nieudostępniania ich osobom nieupoważnionym. Jednak rzadko potrafią poprawnie odpowiedzieć np. na pytanie na jakiej podstawie przetwarzane są dane osobowe w ich organizacji. Pojawiają się stwierdzenia, że na podstawie ustawy o ochronie danych osobowych lub na podstawie zgody podmiotu danych w sytuacji, gdy takiej zgody brak.

Zdaję sobie sprawę, że są to rozważania teoretyczne i wymagają podstaw wiedzy w zakresie przepisów o ochronie danych osobowych, bo przesłanki przetwarzania danych wskazane są właśnie w ustawie o ochronie danych osobowych, nie oznacza to jednak, że sama ustawa jest taką podstawą.

Piszę o tym, bo z mojej perspektywy prawnika, który specjalizuje się w prawie ochrony danych osobowych pytanie o podstawy przetwarzania danych osobowych jest kwestią zasadniczą. Wie o tym każdy ABI, który zaczyna proces sprawdzenia. Na  początku poza stwierdzeniem, że organizacja przetwarza dane osobowe należy ustalić w oparciu o jakie podstawy prawne to przetwarzanie się opiera. Następnie sprawdzamy kolejne zagadnienia.

W praktyce osoby upoważnione do przetwarzania danych osobowych mają wiedzę np. o zasadzie “czystego biurka” czy obowiązku wylogowania się z systemu, jednak nie mają pojęcia na jakiej to podstawie mają prawo do przetwarzania danych osobowych w swoich codziennych czynnościach.

W imieniu swojego pracodawcy zawierają np. setki umów, które implikują wiele czynności związanych z przetwarzaniem danych osobowych w związku z wykonaniem tejże umowy, jednak rzadko wpadają na trop, że to ta umowa jest podstawą przetwarzania danych osobowych. Obnaża to brak podstawowej wiedzy z zakresu ochrony danych osobowych. Nie dziwi mnie to  aż tak bardzo biorąc pod uwagę ogólną niską świadomość w tym obszarze.

Pragnę tylko wskazać administratorom bezpieczeństwa informacji, którzy są odpowiedzialni za zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami o pewnych fundamentalnych zasadach, które należy wpajać od początku, z tego powodu, że jest to wiedza elementarna, którą osoby przetwarzające dane osobowe powinny posiadać.