Kontekst przetwarzania danych

Dokładne rozpoznanie kontekstu przetwarzania danych osobowych jest pierwszą i najważniejszą czynnością niezbędną dla dokonania oceny zgodności przetwarzania danych.

Prawo ochorny danych osobowych jest prawem kontekstowym i bez znajomości kontekstu przetwarzania danych nie ma szans na poprawne uprządkowanie w organizacji tej sfery.

Co do zasady kontekst przetwarzania danych osobowych w tej samej branży będzie podobny, jak na przykład w sektorze zdrowia, w którym przetwarzanie danych osobowych odbywa się w kontekście (celu) udzielania świadczeń zdrowontych. Podmioty udzielające tych świadczeń korzystają często z takich samych lub podobnych sposóbów przetwarzania danych osobowych.

Jednak w wielu sytuacjach szczególnych ocena zgodności przetwarzania wymaga rozłożenia na czynniki pierwsze badanej sytuacji zwłaszcza, gdy przetwarzanie wykonywane jest przy pomocy nowych technologii dostarczanych przez podmioty trzecie, co obecnie jest regułą.

W dużych organizacjach projekty biznesowe prowadzone są przez zespoły  osób a współpraca często polega na podziale zadań pomiędzy tymi osobami. Nie tak dawno spotkałam się z sytuacją w której prawnik poproszony o ocenę sposobu przetwarzania danych osobowych nie miał dostępu do wszystkich umów, które dla tej oceny miały istotne znaczenie z tej prostej przyczyny, że weryfikacja części umów nie wchodziła w zakres jego kompetencji.

Pamiętajmy, że rozpoznanie kontekstu ma kluczowe znaczenie dla poprawnej oceny. Ten kontekst to może być treść zawartych umów, bez znajomości których nie mamy szans na zdefiniowanie procesów przetwarzania jak i uczestników tego przetwarzania.

Zgodnie z rozporządzeniem unijnym administrator danych powinien włączać inspektora ochrony danych osobowych we wszystkie projekty, z którymi związane jest przetwarzanie danych. Takie włączanie inspektora ma mu ułatwić oraz umożliwić poznawanie kontekstu przetwarzania danych osobowych, co kluczowe jest dla należytego wykonywania zadań przez inspektora danych osobowych.

Konteksty przetwarzania danych są różnej wagi i o różnym stopniu skomplikowania od prostych stanów faktycznych po bardzo złożone czasami wymagające dużej wiedzy, doświadczenia a także umiejętności interpretowania przypisów różnych aktów prawnych.

Postulat ogólnego rozporządzenia unijnego w sprawie ochrony danych osobowych, aby inspektor ochrony danych osobowych dobrze znał swoją branże jest bardzo trafiony, gdyż  inspektor znający dobrze specyfikę swojej branży ma duże szanse na podołanie bowiązkom nałożonym na niego przez rozporządzenie.

“Prawnicy w chmurze”

Dzisiaj o chmurze dla prawników, jakkolwiek dziwnie to brzmi. Mam oczywiście na myśli korzystanie przez profesjonalne kancelarie prawnicze z aplikacji udostępnianych w tzw. chmurze obliczeniowej. Usługi SaaS polegają na udostępnianiu oprogramowania przez przeglądarkę internetową. Rozwój tego rodzaju usług  aktualnie jest bardzo dynamiczny. Takie oprogramowanie jest wygodne, gdyż umożliwia dostęp przez internet do wszelkich przechowywanych w nich danych bez ograniczeń, jest tańsze w porównaniu z tradycyjnym oprogramowaniem instalowanym na dysku komputera. Z tego powodu aplikacje biznesowe udostępniane w tzw. chmurze powstają jak grzyby po deszczu.

W świetle prawa ochrony danych osobowych korzystanie z usług claud computing będzie oznaczało powierzenie danych do zewnętrznego usługodawcy, z czym związana jest zmniejszona kontrola nad danymi a czasami wręcz jej utrata. Dane wprowadzane są do zewnętrznego systemu informatycznego i przechowywane są na zewnętrznych serwerach, które najczęściej, ale też nie zawsze należą do dostarczyciela oprogramowania.

Co widzę, gdy pobieżnie przeglądam serwisy oferujące oprogramowanie do obsługi kancelarii prawniczej dostępne przez internet. Widzę ciemność. Regulamin co prawda jakiś z reguły jest, ale w zakresie ochrony i przetwarzania danych osobowych w wielu przypadkach niesatysfakcjonujący. Dodatkowo ani z regulaminu ani  z informacji podanych na stronie nie dowiadujemy się, gdzie są przechowywane dane, brak jakiekolwiek informacji o lokalizacji serwerów, brak informacji dotyczących stosowanych w centrum danych zabezpieczeń technicznych.

W świetle prawa korzystanie z zewnętrznej aplikacji, do której wprowadzane są dane osobowe związane jest z powierzeniem danych do przetwarzania. Niezbędną podstawą prawną powierzenia jest umowa pomiędzy kancelarią a dostarczycielem oprogramowania, w której kwestia powierzenia jest wyraźnie uregulowana w tym cel powierzenia danych, zakres powierzonych danych oraz obowiązki w zakresie zabezpieczenia danych.

Dostarczyciel oprogramowania w modelu claud computing jest procesorem, który odpowiada za zgodne z prawem przetwarzanie danych osobowych, za stosowanie odpowiednich środków technicznych oraz organizacyjnych w celu zabezpieczenia danych, za prowadzenie odpowiedniej dokumentacji opisującej przetwarzanie danych.

Brak umowy powierzenia oraz nieuregulowanie powyższych kwestii w sposób wymagany prawem naraża zarówno kancelarię, która powierza dane do przetwarzania, ale też procesora na odpowiedzialność administracyjną przed GIODO, karną oraz cywilną.

Jeśli chodzi o prawników dochodzi nam tu jeszcze jedna istotna kwestia a mianowicie tajemnica zawodowa. Pracownicy są zobowiązani  zachować w tajemnicy wszystkie informacje dotyczące klienta i jego spraw. Dochowanie tajemnicy zawodowej obejmuje zakaz ujawniania informacji i dokumentów poufnych.

Prawnicy mają obowiązek zabezpieczyć poufne informacje przed niepowołanym ujawnieniem. Dokuemnty i nośniki  przechowywane w formie elektronicznej powinny być objęte odpowiednią kontrolą dostępu i zabezpieczeniem systemu.

Umowa powierzenia danych do przetwarzania zawarta między kancelarią prawniczą a dostarczycielem aplikacji jest niezbędna dla należytego dochowania również tajemnicy zawodowej zasad w niej określonych.

Pamiętajmy, że w tym roku zostało ostatecznie przyjęte ogólne rozporządzenie unijne o ochronie danych osobowych, które wejdzie w życie 25 maja 2018 r. i od tego dnia w naszym porządku prawnym pojawią się drakońskie kary finansowe za naruszenia zasad przetwarzania danych zawartych w tym rozporządzeniu.

W nowym prawie unijnym kwestia powierzenia również została szczegółowo unormowana. Powierzenie danych innemu podmiotowi wymaga zawarcia umowy i uregulowania w niej wielu istotnych kwestii takich jak przedmiot przetwarzania, zakres przetwarzania i zakres powierzonych danych, cel przetwarzania a także upoważnienie do zatrudnienia podwykonawców.

Ciekawostką i novum jest solidarna odpowiedzialność administratora danych tutaj kancelarii oraz procesora dostarczyciela aplikacji za szkodę spowodowaną niezgodnym z prawem przetwarzaniem. Osoba, której dane dotyczą, w przypadku stwierdzenia naruszenia będzie mogła żądać zapłaty odszkodowania również tytułem zadośćuczynienia od administratora lub procesora zależnie od swojego wyboru.

Wbrew pozorom czasu nie zostało aż tak wiele bowiem 25.05.2018 to będzie ta data, w której stan zgodności z prawem powinien być bez zarzutu tak, aby na wypadek ewentualnej kontroli nie obawiać się drastycznych sankcji finansowych.

Przetwarzanie danych w celach marketingowych

Mimo, iż temat jest stary i w zasadzie nie budzący wątpliwości wciąż znajdujemy w sieci nieprawidłowe klauzule związane z przetwarzaniem danych osobowych, z którymi są kłopoty.

Dzisiaj chcę napisać kilka słów o klauzuli zgody na przetwarzanie danych w celach marketingowych. Kilka lat temu na tle tej klauzuli dochodziło do sporów w doktrynie oraz orzecznictwie. GIODO bowiem stanął na stanowisku, iż zgoda na przetwarzanie danych osobowych w celach marketingowych nie mieści w sobie zgody na przesyłanie informacji handlowej drogą elektroniczną oraz, że muszą to być dwie odrębne zgody. Oznacza to, że pozyskiwanie zgód wyłącznie na przetwarzanie danych osobowych w celach marketingowych nie uprawnia do przetwarzania zebranych danych osobowych w celu wysyłania informacji handlowej drogą elektroniczną. Biorąc pod uwagę fakt, że istotna część marketingu bezpośredniego to komunikacja elektroniczna brak możliwości wysyłania mailingu czyni często taką bazę danych bezużyteczną.

Na każdy cel przetwarzania danych należy pozyskać odrębną zgodę. Takim odrębnym celem może być udostępnianie danych osobowych innym podmiotom lub przesyłanie informacji handlowych drogą elektroniczną.

Dodatkowo ustawa o świadczeniu usług drogą elektroniczną, która stanowi, iż zakazane jest wysyłanie niezamówionej informacji handlowej środkami komunikacji elektronicznej. Informację uważa się za zamówioną, jeśli odbiorca wyraził zgodę na otrzymywanie takiej informacji. No i zgoda nie może być dorozumiana lub domniemana z oświadczenia woli innej treści.

Pisząc klauzule zgody pamiętajmy o tych zasadach, gdyż pozyskanie prawidłowych zgód od zebranych kontaktów “po fakcie” jest mało skuteczne. Z tych powodów czasami wielotysięczne bazy danych są bezużyteczne.

Legalność przetwarzania danych w świetle rozporządzenia unijniego

Znajdujemy się w przeddzień wejścia w życie rozporządzenia w sprawie ochrony danych osobowych, które będzie obowiązywało w całej UE bezpośrednio. Jest to rewolucyjny akt prawny w sferze ochrony danych osobowych. Na łamach niniejszego bloga rozpoczynamy omawianie tego aktu.

Większość instytucji regulowanych w rozporządzeniu jest już doskonale znana w porządkach prawnych poszczególnych państw członkowskich. Jednak są też zupełnie nowe dotychczas nieznane i nieregulowane zagadnienia. Obszerność tego aktu jest bardzo znacząca a omawianie poszczególnych zagadnień to zadanie na długie miesiące.

Dzisiaj o legalności przetwarzania danych, która jest pierwszą z podstawowych zasad w procesie przetwarzania.

Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla podmiotu danych. Musi zaistnieć co najmniej jedna przesłanka przetwarzania. Przetwarzanie danych, aby było zgodne z prawem, powinno się odbywać na podstawie zgody osoby zainteresowanej lub na innej uzasadnionej podstawy przewidzianej prawem.

Przetwarzanie danych osobowych jest zgodne z prawem wyłącznie wtedy, gdy – i w takim zakresie, w jakim – zachodzi co najmniej jeden z poniższych warunków:
a) podmiot danych udzielił zgody na przetwarzanie swoich danych osobowych w jednym lub większej liczbie konkretnych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest podmiot danych, lub do podjęcia działań na wniosek podmiotu danych przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów podmiotu danych lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności podmiotu danych wymagające ochrony danych osobowych, w szczególności gdy podmiotem danych jest dziecko. Nie ma to zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Powyżej zostały więc wymienione wszystkie regulowane rozporządzeniem przesłanki legalnego przetwarzania danych osobowych.

Jak widać katalog przesłanek nieznacznie tylko różni się od znanych aktualnie podstaw przetwarzania danych.

Kurator sądowy przetwarza dane osobowe

Kurator sądowy czuwa, opiekuje się, kontroluje oraz nadzoruje. Ten, kto został oddany mu pod opiekę raczej musiał popaść w konflikt z prawem. Najogólniej rzecz ujmując zadania kuratorów polegają na wykonywaniu orzeczeń sądowych. Do zadań kuratorów sądowych w szczególności należy sprawowanie dozorów, nadzorów w sprawach nieletnich czy wywiadów środowiskowych oraz wiele innych związanych z tymi głównymi.

Z wykonywaniem tych danych wiąże się szeroko pojęte przetwarzanie danych osobowych osób, które zostały oddane kuratorowi pod nadzór czy dozór czy zbierane w toku wywiadów środowiskowych. Oczywistym jest, że dane te często są danymi wrażliwymi. Ustawa o ochronie danych osobowych definiuje dane wrażliwe i ustanawia dla ich przetwarzania dużo ostrzejsze rygory niż dla danych zwykłych.

Sytuacja kuratorów nie jest jednak, jeśli chodzi o tematykę ochrony danych osobowych ani łatwa ani klarowna. Z jednej strony mnogość obowiązków i zadań kuratorskich i potrzeba przetwarzania w związku z nimi danych wrażliwych a z drugiej brak wyraźnych upoważnień do przetwarzania tych danych zgodnie z ustawą o ochronie danych osobowych.

GIODO od lat sygnalizował problem w zakresie potrzeby doprecyzowania przepisów prawa tak, aby zapewnić odpowiednie podstawy prawne w zakresie przetwarzania przez kuratorów danych szczególnie tych wrażliwych w związku z wykonywaniem prawem przewidzianych zadań.

Niestety nowelizacji przepisów w dalszym ciągu nie ma, kuratorzy  muszą więc sobie radzić w dotychczasowym  stanie prawnym, co nie zawsze jest łatwe, bo mnożą się kolejne przepisy nakładające na nich nowe obowiązki np. w zakresie wymiany informacji w samorządach. Przepisy oczywiście również nie precyzują w jakim zakresie oraz trybie i jak taka wymiana miałby przebiegać.

Osobiście widzę nadzieję w pakiecie przepisów unijnych finalizowanych aktualnie w UE, których obowiązkowe wdrożenie zmusi do uporządkowania zasygnalizowanych powyżej problemów.

 

Podstawy przetwarzania danych osobowych – refleksja

Do napisania tego artykułu skłoniły mnie poaudytowe refleksje dotyczące stanu wiedzy osób upoważnionych do przetwarzania danych osobowych, teoretycznie więc zapoznanych z zasadami dotyczącymi przetwarzania danych osobowych.

Okazuje się, że zwykle osoby upoważnione do przetwarzania danych z reguły dysponują jakimś minimum wiedzy w zakresie obowiązku zabezpieczenia danych czy nieudostępniania ich osobom nieupoważnionym. Jednak rzadko potrafią poprawnie odpowiedzieć np. na pytanie na jakiej podstawie przetwarzane są dane osobowe w ich organizacji. Pojawiają się stwierdzenia, że na podstawie ustawy o ochronie danych osobowych lub na podstawie zgody podmiotu danych w sytuacji, gdy takiej zgody brak.

Zdaję sobie sprawę, że są to rozważania teoretyczne i wymagają podstaw wiedzy w zakresie przepisów o ochronie danych osobowych, bo przesłanki przetwarzania danych wskazane są właśnie w ustawie o ochronie danych osobowych, nie oznacza to jednak, że sama ustawa jest taką podstawą.

Piszę o tym, bo z mojej perspektywy prawnika, który specjalizuje się w prawie ochrony danych osobowych pytanie o podstawy przetwarzania danych osobowych jest kwestią zasadniczą. Wie o tym każdy ABI, który zaczyna proces sprawdzenia. Na  początku poza stwierdzeniem, że organizacja przetwarza dane osobowe należy ustalić w oparciu o jakie podstawy prawne to przetwarzanie się opiera. Następnie sprawdzamy kolejne zagadnienia.

W praktyce osoby upoważnione do przetwarzania danych osobowych mają wiedzę np. o zasadzie “czystego biurka” czy obowiązku wylogowania się z systemu, jednak nie mają pojęcia na jakiej to podstawie mają prawo do przetwarzania danych osobowych w swoich codziennych czynnościach.

W imieniu swojego pracodawcy zawierają np. setki umów, które implikują wiele czynności związanych z przetwarzaniem danych osobowych w związku z wykonaniem tejże umowy, jednak rzadko wpadają na trop, że to ta umowa jest podstawą przetwarzania danych osobowych. Obnaża to brak podstawowej wiedzy z zakresu ochrony danych osobowych. Nie dziwi mnie to  aż tak bardzo biorąc pod uwagę ogólną niską świadomość w tym obszarze.

Pragnę tylko wskazać administratorom bezpieczeństwa informacji, którzy są odpowiedzialni za zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami o pewnych fundamentalnych zasadach, które należy wpajać od początku, z tego powodu, że jest to wiedza elementarna, którą osoby przetwarzające dane osobowe powinny posiadać.