Zgubienie pamięci USB z danymi osobowymi

Brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał w październiku br. decyzję nakładającą na operatora lotniska Heathrow karę pieniężną w wysokości równowartości 600 tys. zł.

Sprawa, którą badał brytyjski organ, wiązała się z zagubionym pendrive’em. Jeden z niższych rangą pracowników w drodze do pracy zgubił pendrive’a. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet.

W ocenie organu operator lotniska nie wdrożył, środka organizacyjnego w postaci zapewnienia odpowiedniego przeszkolenia personelu w zakresie ochrony danych. Osoba, która zgubiła nośnik USB, nie otrzymała przeszkolenia w tym zakresie.

Kara została nałożona na administratora nie za to, że doszło do zgubienia pendrive’a, ale przede wszystkim dlatego, że nie wdrożono wystarczających środków, by zapobiec temu incydentowi.

Podobno aż 87 proc. pracowników zdarzyło się przynajmniej raz zgubić pamięć USB, na której zapisane były firmowe dane. Czym jest zagubienie nośnika z danymi osobowymi w świetle przepisów RODO. Czy należy w takiej sytuacji podjąć jakieś działania a jeśli tak to jakie spróbuję dzisiaj odpowiedzieć na te pytania.

Przypadkowe lub niezgodne z prawem utracenie danych osobowych RODO definiuje jako naruszenie bezpieczeństwa danych osobowych.

„Utratę” danych osobowych należy rozumieć jako sytuację, w której dane mogą nadal istnieć, ale administrator utracił kontrolę nad nimi lub dostęp do nich, lub nie jest już w ich posiadaniu. Czyli sytuacja, w której na przykład pracownik firmy gubi nośnik z danymi oznacza utracenie tych danych przez administratora, z czym związne są określone skutki prawne.

Zgubienie nośnika z danymi osobowymi może mieć szereg negatywnych skutków dla osób fizycznych, prowadząc do szkód fizycznych, materialnych i niematerialnych. RODO objaśnia, że może to obejmować utratę kontroli nad swoimi danymi osobowymi, ograniczenie przysługujących praw, dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe, nieupoważnione odwrócenie pseudonimizacji, naruszenie dobrego imienia oraz utratę poufności danych osobowych chronionych tajemnicą zawodową.

Jak widać katalog negatywnych konsekwencji jest bardzo szeroki a rodzaj i dolegliwość szkód dla podmiotu danych będzie też uzależniona od rodzaju ujawnionych danych osobowych a także zakresu tych danych. W każdym przypadku, gdy zagubiony nośnik danych zawierał dane wrażliwe lub szczególnie poufne dotyczące sytuacji osobistej czy majątkowej podmiotu danych, ryzyko poważnych szkód dla podmiotu danych może być bardzo wysokie..

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Ryzyko naruszenia praw i wolności dla każdego stwierdzonego naruszenia musi być oszacowane i udokumentowane przez administratora danych. Zgodnie bowiem z ogólną zasadą rozliczalności to administrator danych musi być w stanie wykazać przestrzeganie przepisów RODO również w zakresie właściwej identyfikacji naruszeń bezpieczeństwa danych osobowych.

W przypadku utraty nośnika danych USB z niezaszyfrowanymi danymi osobowymi często nie da się ustalić, czy osoby nieupoważnione uzyskały dostęp do tych danych. Mimo że administrator danych może nie być wstanie stwierdzić, czy doszło do naruszenia poufności, taki przypadek wymaga zgłoszenia, ponieważ istnieje wystarczający stopień pewności co do tego, że doszło do naruszenia dostępności. Administrator „stwierdza” naruszenie w chwili, gdy zdaje sobie sprawę z utraty nośnika danych USB.

Warunki, w których nie jest wymagane zgłoszenie

Jeżeli odczyt danych osobowych jest co do zasady niemożliwy dla osób nieupoważnionych i jeśli istnieje kopia lub kopia zapasowa tych danych, wówczas nie ma obowiązku zgłaszania organowi nadzorczemu naruszenia poufności odpowiednio zaszyfrowanych danych osobowych. Wynika to z faktu, że prawdopodobieństwo, aby naruszenie takie stwarzało ryzyko dla praw i wolności osób fizycznych jest niskie. Oznacza to, że nie trzeba również zawiadamiać osoby fizycznej, ponieważ najprawdopodobniej nie występuje wysokie ryzyko.

Jednak każdy przypadek naruszenia bezpieczeństwa danych osobowych należy badać ad casum i oceniać jego charakter, a także ryzyko naruszenia praw i wolności podmiotów danych. Dopiero w następstwie takiej oceny i przeprowadzonej analizy w zakresie ryzyka, otrzymamy odpowiedź czy dane naruszenie należy zgłosić organemu nadzorczemu jak również osobie, której dane zostały naruszone.

Pamiętaj, że błędy zdarzają się każdemu, a błąd ludzki to najczęstsza przyczyna naruszeń bezpieczeństwa danych osobowych. Co może lub powinien uczynić administrator w świetle danych, że ponad 80% pracowników zgubiło chociaż raz nośnik z danymi firmowymi. Najbezpieczniej oczywiście byłoby zakazać kopiowania danych osobowych na niezbezpieczone nośniki danych i wynoszenia ich przez pracowników poza firmę, jednak nie zawsze jest to możliwe.

Przede wszystkim należy wdrożyć wewnętrzne procedury. Powinny one nakazywać pracownikom m.in. maksymalne ograniczenie używania przenośnych nośników danych, szczególną ostrożność w używaniu nośników przenośnych w celu minimalizacji ryzyka ich zgubienia, kradzieży etc., a także szyfrowanie danych zapisywanych na nośnikach przenośnych.

Kolejną bardzo istotną kwestią jest szkolenie pracowników, zapoznawanie ich z zasadami bezpiecznego przetwarzania danych, uświadamianie konsekwencji niestosowania procedur to jedno z podstawowych zadań administratora w celu zapewnienia zgodności przetwarzania z wymaganiami prawa.

Operator brytyjskiego lotniska otrzymał karę właśnie nie tyle za brak procedur co za niezapoznanie z nimi swojego personelu w tym niezapewnienie szkolenia w zakresie ochrony danych osobowych. 

Jeśli jeszcze nie przeszkoliłeś swojego personelu zrób to jak najszybciej. Przysłowie, że człowiek jest najsłabszym ogniwem systemu bezpieczeństwa, zbyt często sprawdza się w życiu, aby ryzykować. Pamiętaj, że w świetle prawa takie błędy jak zgubienie pendriv’a z danymi osobowymi musisz zgłaszać do urzędu.

Potrzebujesz pomocy w przeszkoleniu pracowników. Możesz skontaktować się z naszą kancelarią. Profesjonalnie i przystępnie zorganizujemy odpowiednie szkolenie dla twojej firmy i zapoznamy twój personel  z zasadami bezpiecznego przetwarzania danych osobowych.

 

 

Udostępnianie danych osobowych w celach marketingowych

Dzisiaj chciałabym się podzielić, kolejny już raz, refleksją  na temat udostępniania danych osobowych w celach marketingowych i poruszyć dla praktyków ochrony danych rzeczy oczywiste, a dla innych pewnie abstrakcyjne.

Udostępnianie  danych  w celach marketingowych przez jednego administarotra innym administratorom skutkuje tym, że określone dane osobowe od jednego administratora są przekazywane do innego, który wykorzystuje dane do własnych celów marketingowych. W literaturze podkreśla się, że udostępnianie obejmuje swoim zakresem nie tylko fizyczne przekazanie danych innemu podmiotowi, lecz również zapewnienie mu dostępu do treści danych, bez elementu fizycznego ich przekazywania.

W praktyce obrotu gospodarczego udostępnianie danych osobowych najczęściej odbywa się właśnie w celach marketingowych i nierozerwalnie z tą działalnością jest związane. Ilość działań marketingowych i specyfika tych działań zwłaszcza w internecie jak wiemy jest bardzo różnorodna i o różnym też stopniu skomplikowania. Ma to oczywiście wpływ na ocenę dopuszczalności udostępniania danych. Czytaj więcej

“Prawnicy w chmurze”

Dzisiaj o chmurze dla prawników, jakkolwiek dziwnie to brzmi. Mam oczywiście na myśli korzystanie przez profesjonalne kancelarie prawnicze z aplikacji udostępnianych w tzw. chmurze obliczeniowej. Usługi SaaS polegają na udostępnianiu oprogramowania przez przeglądarkę internetową. Rozwój tego rodzaju usług  aktualnie jest bardzo dynamiczny. Takie oprogramowanie jest wygodne, gdyż umożliwia dostęp przez internet do wszelkich przechowywanych w nich danych bez ograniczeń, jest tańsze w porównaniu z tradycyjnym oprogramowaniem instalowanym na dysku komputera. Z tego powodu aplikacje biznesowe udostępniane w tzw. chmurze powstają jak grzyby po deszczu.

W świetle prawa ochrony danych osobowych korzystanie z usług claud computing będzie oznaczało powierzenie danych do zewnętrznego usługodawcy, z czym związana jest zmniejszona kontrola nad danymi a czasami wręcz jej utrata. Dane wprowadzane są do zewnętrznego systemu informatycznego i przechowywane są na zewnętrznych serwerach, które najczęściej, ale też nie zawsze należą do dostarczyciela oprogramowania.

Co widzę, gdy pobieżnie przeglądam serwisy oferujące oprogramowanie do obsługi kancelarii prawniczej dostępne przez internet. Widzę ciemność. Regulamin co prawda jakiś z reguły jest, ale w zakresie ochrony i przetwarzania danych osobowych w wielu przypadkach niesatysfakcjonujący. Dodatkowo ani z regulaminu ani  z informacji podanych na stronie nie dowiadujemy się, gdzie są przechowywane dane, brak jakiekolwiek informacji o lokalizacji serwerów, brak informacji dotyczących stosowanych w centrum danych zabezpieczeń technicznych.

W świetle prawa korzystanie z zewnętrznej aplikacji, do której wprowadzane są dane osobowe związane jest z powierzeniem danych do przetwarzania. Niezbędną podstawą prawną powierzenia jest umowa pomiędzy kancelarią a dostarczycielem oprogramowania, w której kwestia powierzenia jest wyraźnie uregulowana w tym cel powierzenia danych, zakres powierzonych danych oraz obowiązki w zakresie zabezpieczenia danych.

Dostarczyciel oprogramowania w modelu claud computing jest procesorem, który odpowiada za zgodne z prawem przetwarzanie danych osobowych, za stosowanie odpowiednich środków technicznych oraz organizacyjnych w celu zabezpieczenia danych, za prowadzenie odpowiedniej dokumentacji opisującej przetwarzanie danych.

Brak umowy powierzenia oraz nieuregulowanie powyższych kwestii w sposób wymagany prawem naraża zarówno kancelarię, która powierza dane do przetwarzania, ale też procesora na odpowiedzialność administracyjną przed GIODO, karną oraz cywilną.

Jeśli chodzi o prawników dochodzi nam tu jeszcze jedna istotna kwestia a mianowicie tajemnica zawodowa. Pracownicy są zobowiązani  zachować w tajemnicy wszystkie informacje dotyczące klienta i jego spraw. Dochowanie tajemnicy zawodowej obejmuje zakaz ujawniania informacji i dokumentów poufnych.

Prawnicy mają obowiązek zabezpieczyć poufne informacje przed niepowołanym ujawnieniem. Dokuemnty i nośniki  przechowywane w formie elektronicznej powinny być objęte odpowiednią kontrolą dostępu i zabezpieczeniem systemu.

Umowa powierzenia danych do przetwarzania zawarta między kancelarią prawniczą a dostarczycielem aplikacji jest niezbędna dla należytego dochowania również tajemnicy zawodowej zasad w niej określonych.

Pamiętajmy, że w tym roku zostało ostatecznie przyjęte ogólne rozporządzenie unijne o ochronie danych osobowych, które wejdzie w życie 25 maja 2018 r. i od tego dnia w naszym porządku prawnym pojawią się drakońskie kary finansowe za naruszenia zasad przetwarzania danych zawartych w tym rozporządzeniu.

W nowym prawie unijnym kwestia powierzenia również została szczegółowo unormowana. Powierzenie danych innemu podmiotowi wymaga zawarcia umowy i uregulowania w niej wielu istotnych kwestii takich jak przedmiot przetwarzania, zakres przetwarzania i zakres powierzonych danych, cel przetwarzania a także upoważnienie do zatrudnienia podwykonawców.

Ciekawostką i novum jest solidarna odpowiedzialność administratora danych tutaj kancelarii oraz procesora dostarczyciela aplikacji za szkodę spowodowaną niezgodnym z prawem przetwarzaniem. Osoba, której dane dotyczą, w przypadku stwierdzenia naruszenia będzie mogła żądać zapłaty odszkodowania również tytułem zadośćuczynienia od administratora lub procesora zależnie od swojego wyboru.

Wbrew pozorom czasu nie zostało aż tak wiele bowiem 25.05.2018 to będzie ta data, w której stan zgodności z prawem powinien być bez zarzutu tak, aby na wypadek ewentualnej kontroli nie obawiać się drastycznych sankcji finansowych.

Aplikacje mobilne jak grzyby po deszczu…

Grzybiarze narzekają na brak grzybów w tym sezonie. I nic to, że deszcz pada w październiku bez przerwy, bo wcześniejsza susza przesądziła o nieurodzaju.

W przeciwieństwie do grzybów urodzaj na aplikacje mobilne występuje nieustanny a wykorzystywanie aplikacji do pracy, rozrywki, nauki staje się powszechne.

Z aplikacji udostępnianych przez internet korzystają już prawie wszyscy i większość z nich oczywiście przetwarza dane osobowe, co wkracza w obszar mojego zainteresowania. Z uwagi na fakt, że temat jest niezmiernie szeroki powiem dzisiaj o wykorzystywaniu  aplikacji internetowych do celów związanych z prowadzeniem działalności gospodarczej.

Faktem jest, że większość przedsiębiorców w chwili obecnej korzysta z różnego rodzaju aplikacji udostępnianych przez internet. Oprogramowanie udostępniane przez internet wykorzystywane jest w działalności  firm, szczególnie tych małych i średnich. Aplikacje  służą w szczególności do prowadzenia księgowości w małej firmie, spraw kadrowych, zarządzania biznesem, prowadzenia działań marketingowych.

Pojawiają się aplikacje dedykowane określonym działalnościom takim jak salony kosmetyczne, szkoły tańca, placówki medyczne, firmy handlowe czy wreszcie kancelarie prawnicze a to tylko niektóre branże.

Aplikacje udostępniane przez internet są łatwe w obsłudze, dostępne z każdego miejsca przy pomocy urządzenia telekomunikacyjnego podłączonego do sieci internet, dostosowane do specyficznych potrzeb odbiorcy, umożliwiają szybki i łatwy dostęp do danych w nich przechowywanych. No i są tanie.

Aplikacja udostępniana przez internet czyli  SaaS (Software as a Service)  jest jednym z modeli tzw. chmury obliczeniowej.

A co to ma wszystko wspólnego z danymi osobowymi?

Wykorzystywanie aplikacji w chmurze najczęściej związane jest z wprowadzaniem do niej danych osobowych np. klientów, kontrahentów, pacjentów, pracowników, petentów,  i innych.  Z tego właśnie powodu  jest przedmiotem zainteresowania prawa ochrony danych osobowych.

Należy pamiętać, że z wykorzystywaniem aplikacji związane jest “wyprowadzanie” danych często poufnych, stanowiących tajemnicę przedsiębiorstwa, poza obszar, nad którym firma ma kontrolę. Wprowadzając  dane do aplikacji internetowej  bezpieczeństwo danych od tego momentu zależeć będzie od  podmiotu, który tę aplikację udostępnia.

Z punktu widzenia prawa ochrony danych osobowych administrator danych ma prawo korzystać z zewnętrznych usług, nawet jeśli związane jest z tym powierzanie danych. Prawo mu tego nie zabrania. W takim przypadku przedsiębiorca, który powierza dane osobowe innemu podmiotowi powinien to zrobić w formie umowy zawartej na piśmie. Taką umowę nazywa się krótko umową powierzenia.

Podmiot (firma udostępniająca aplikację), któremu na podstawie umowy powierzenia zostały powierzone dane może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić inne wymagania określone w przepisach prawa.  W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

Wiele firm korzysta z aplikacji internetowych przetwarzających dane osobowe, jednakże nieliczni pamiętają o zgodnym z prawem powierzeniu danych. Dzieje się tak dlatego, że firmy nie mają świadomości swoich obowiązków w tym zakresie jak również zagrożeń związanych z powierzeniem danych niesprawdzonym dostawcom.

Zlecając na zewnątrz jakąkolwiek usługę zwykle zachowujemy rozsądek i racjonalnie dokonujemy wyboru kontrahenta, który spełnia określone kryteria na przykład posiada wymagane uprawnienia, certyfikaty, zezwolenia czy koncesje, posiada bogato udokumentowane doświadczenie a także referencje zadowolonych klientów.

Większość firm ma świadomość, że kontrahenta należy w miarę możliwości sprawdzić czy zapewni wykonanie usługi zgodnie z umową. Jednakże, jeśli chodzi o korzystanie z aplikacji internetowych praktyka sprawdzenia dostawcy pod katem zapewniania bezpieczeństwa danych osobowych jest bardzo rzadka.

Pamiętać należy, że przekazując dane do aplikacji internetowej, która nie jest należycie zabezpieczona może narazić  klientów na przykład na wyciek danych lub inną szkodę. Osoba pokrzywdzona będzie mogła wówczas dochodzić odszkodowania na drodze postępowania cywilnego na przykład z tytułu naruszenie dóbr osobistych. Takie procesy już się zdarzają.

Powierzenie danych osobowych niesprawdzonemu usługodawcy, bez umowy powierzenia może przesądzić o odpowiedzialności administratora danych nawet, jeśli faktycznie wyciek nastąpił z winy usługodawcy. Dodatkowo administrator danych osobowych, który powierza dane osobowe niezgodnie  z prawem naraża się na odpowiedzialność administracyjną oraz karną.

Decydując się wiec na wykupienie abonamentu  dostępu do kolejnej aplikacji  lub rozpoczęcie współpracy, z którą związane jest powierzenie danych do przetwarzania innemu podmiotowi należy pamiętać, aby zawrzeć umowę powierzenia i uregulować w niej wymagane prawem obszary. W szczególności, jeśli powierzenie związane jest z przekazaniem danych do  aplikacji udostępnianych w tzw. chmurze.

Gdy towar kupiony przez internet nie spełnia oczekiwań

Sklep internetowy to specyficzna formuła sprzedaży różniąca się od tradycyjnych sposobów dystrybucji. Kupowanie przez internet to kupowanie pośrednie, kupujący nie ma możliwości obejrzenia towaru, zbadania go, wypróbowania tak, jak to się dzieje w sprzedaży stacjonarnej.

W efekcie klient, który otrzymuje zamówiony, wymarzony towar nie rzadko  inaczej sobie wyobrażał towar, bo  opisy nie zawierały jakichś kluczowych informacji a załączone zdjęcia nie odzwierciedlały towaru lub po prostu to klient inaczej go sobie wyobrażał.

Na szczęście dla kupujących a niekoniecznie dla sprzedających mamy prawo odstąpienia od umowy sprzedaży zawieranej na odległość.  Konsument, który zawarł umowę na odległość lub poza lokalem przedsiębiorstwa, może w terminie 14 dni odstąpić od niej bez podawania przyczyny i bez ponoszenia kosztów.

W przypadku odstąpienia od umowy zawartej na odległość lub umowy zawartej poza lokalem przedsiębiorstwa umowę uważa się za niezawartą.

Przedsiębiorca ma obowiązek niezwłocznie, nie później niż w terminie 14 dni od dnia otrzymania oświadczenia konsumenta o odstąpieniu od umowy, zwrócić konsumentowi wszystkie dokonane przez niego płatności, w tym koszty dostarczenia rzeczy.

Sklepy internetowe czasami kwestionują, że trzeba klientom należy zwracać koszty dostarczenia rzeczy (w stronę ze sklepu do klienta) a no trzeba, chociaż w praktyce zdarzają się sytuacje, że sklepy nie zawsze respektują ten obowiązek.

Koszt dostarczenia rzeczy dla konsumenta stanowi całkowity koszt nabycia towaru. Czasami towar w sklepie internetowym ma bardzo atrakcyjną cenę, ale niestety koszt dostarczenia znacznie tę atrakcyjność zmniejsza. Obciążanie klienta tym kosztem w przypadku odstąpienia od umowy byłoby nieuzasadnione. W odstąpieniu od umowy bowiem chodzi o skutek taki, jakby umowa nigdy nie została zawarta a strony są obowiązane do zawrotu wszystkiego, co sobie wzajemnie świadczyły.

Poza tym nie zapominajmy, że klient  ponosi  bezpośrednie koszty zwrotu rzeczy czyli musi zapłacić za przesyłkę zwracanego towaru do sprzedającego i to jest jego koszt. Tego kosztu sklep nie musi zwracać konsumentowi, chyba że  zgodził się je ponieść lub nie poinformował konsumenta o konieczności poniesienia tych kosztów.

Jak widać sklep nie jest obciążony całością kosztów związanych z dostarczaniem towarów, w stosunku do którego klienci korzystają z prawa odstąpienia.

W praktyce zdarzają się jednak sklepy, w których przesyłka towaru do klienta i zwrot jest gratis, ale są to duże, renomowane sklepy, które swoją atrakcyjną ofertą bardzo konkurują na rynku.

Słyszę oczywiście często też i argumenty o tych niedobrych klientach, którzy kupują różne rzeczy na różne okazje a potem jakby nigdy nic odstępują od umowy, bo mają takie prawo. Z pewnością są to praktyki godne potępienia, jednak sprzedający nie pozostaje w takich sytuacjach bezradny, bowiem każdą sytuację należy indywidualnie ocenić i podjąć odpowiednią decyzję dotyczącą zwrotu nie zawsze pozytywną dla konsumenta.

W momencie, gdy rzecz zwracana nosi ślady użytkowania konsument ponosi odpowiedzialność za zmniejszenie wartości rzeczy będące wynikiem korzystania z niej w sposób wykraczający poza konieczny do stwierdzenia charakteru, cech i funkcjonowania rzeczy. Wydaje się, że koszt zużycia powinien wyznaczyć sprzedawca. Niestety przepisy nie precyzują kryteriów, którymi winien się kierować w tym zakresie sprzedawca, co budzi zasadnicze wątpliwości i rodzi podłoże dla spornych sytuacji.

Nie powinno stwarzać kontrowersji stwierdzenie, że można zdjąć opakowanie. Opakowanie jak wiadomo nie jest produktem, co wielokrotnie w orzecznictwie zostało podkreślone. Co jednak w przypadku wyrzucenia opakowania? Czy można uruchomić zakupiony sprzęt elektroniczny lub użytkować go przez jakiś czas? Wydaje się oczywiste, że sposób jego funkcjonowania zasadniczo wpływa na ewentualny zwrot towaru. Jak potraktować zmniejszenie wartości takich produktów, których użyteczność co do zasady, w przeciwieństwie np. do sprzętu elektronicznego, jest „jednorazowa”.

Niestety  jednoznacznych odpowiedzi na te pytania nie ma, a praktyka zapewne różnić się będzie w poszczególnych sklepach. Przepisy nowej ustawy o prawach konsumenta dają bowiem taką możliwość.

Jednak należy zdecydowanie podkreślić, że mimo braku jednoznacznych rekomendacji w uzasadnionym przypadku można podjąć decyzję o obciążeniu klienta kosztem zużycia towaru, co będzie z reguły oznaczało wejście w spór z konsumentem. Jednakże jak wszyscy doskonale wiemy tak w życiu jak i w pracy czy działalności gospodarczej sporów uniknąć się nie da. Należy pamiętać jednak, ale działać uczciwie oraz z poszanowaniem prawa a wówczas i spór łatwiej prowadzić i rozstrzygnąć.

Ochrona danych osobowych w czym rzecz

Temat ochrony danych osobowych to specyficzny temat, albo traktowany z należytą powagą, na równi z innymi tematami, które podmiot musi w swojej organizacji uporządkować, albo temat zapomniany, zakurzony, wyparty.

Dlaczego tak się dzieje. W dużej mierze jak to w życiu bywa przyczyną tego drugiego podejścia jest brak świadomości i zrozumienia tematu czym ta ochrona danych osobowych jest, czy faktycznie nas dotyczy a jeśli już to dlaczego chronić ją w taki dziwny sposób tworzyć polityki i dokumentacje.

Prawdę mówiąc jako prawnik praktykujący w tej dziedzinie prawa nie dziwię się tym różnym podejściom, bo już wszystko przerabiałam więc wiem jak to wygląda, jednak jest to na tyle ciekawy temat, że chciałbym nieco bardziej szczegółowo go omówić.

Pierwsze podejście oparte na nieznajomości tematu. Podejście to dotyczy większości podmiotów. Wyjątkiem będą duże organizacje, przetwarzające tysiące danych osobowych, mające dostęp do wyspecjalizowanych prawników, którzy zgodnie z prawem zabezpieczają ten obszar. Reszta znajduje się w uśpieniu lub w letargu. Nikt za bardzo nie wie o co tak naprawdę z tymi danymi chodzi poza tym, że trzeba je chronić. Jednak poświęcanie na to czasu, pieniędzy, tworzenie dokumentacji, wprowadzanie polityk czy wyznaczanie odpowiednich osób uważane jest za grubą przesadę i wypierane jest z katalogu obowiązków do wykonania.

Dlaczego się temu nie dziwię. Obserwuję też nastawienie moich znajomych prawników, którzy również niechętnie podchodzą do tematu i źródło niechęci jest to samo. Ba z informacji płynących z GIODO wynika, że grupa zawodowa jaką są prawnicy bardzo słabo wypada, jeśli chodzi o zabezpieczenie obszaru danych osobowych. Często słyszę od swoich kolegów, że to taki dziwny temat, jakaś abstrakcja, w którą nikomu za bardzo nie chce się wnikać. Ba to samo nastawienie widoczne jest bardzo często u większości klientów. Niekiedy nawet na blogu słyszę komentarze, że to są  takie ogólniki.

Były GIODO w odpowiedzi na podobne argumenty powiedział kiedyś, że prawo ochrony danych osobowych jest prawem kontekstowym i w każdym przypadku ważny jest kontekst stosowania przepisów o ochronie danych osobowych. Sama ustawa o ochronie danych osobowych jest ustawą ogólną to znaczy regulującą zasady przetwarzania, prawa i obowiązki dotyczące tego przetwarzania dotyczące wszystkich możliwych sposobów przetwarzania. Oznacza to, że ta ustawa o ochronie danych osobowych obowiązuje w firmie handlowej, usługowej, branży internetowej, bankowości, spółdzielniach, ochronie zdrowia, oświacie itd.

Jednak należy pamiętać, że pomimo stosowania tych samych przepisów wyniki w każdej branży będą inne, gdyż każda branża na swój właściwy dla siebie sposób przetwarza dane, w oparciu o różne podstawy, w różnych celach. Inaczej przetwarzanie wygląda w szpitalu a inaczej w banku, inny jest cel przetwarzania danych przez urzędy a inny przez portale internetowe. Oznacza to, że w każdym indywidualnym przypadku należy dokonać subsumpcji – przyporządkowania danego stanu faktycznego pod ogólną normę prawa ochrony danych osobowych, co nie zawsze jest takie łatwe.

W świetle powyższych rozważań, gdy widzę wzory dokumentacji przetwarzania danych osobowych dla firm, szkół, instytucji razem to wiem, że zakup takiego wzoru nic pomoże. Będzie to ogólny wzór, bez zakwalifikowania go do konkretnych stanów faktycznych a dokonanie takiej kwalifikacji jest rzeczą najtrudniejszą. Aby wzór spełnił swoją rolę a pieniądze wydane nie były stracone może to być wyłącznie wzór dedykowany danej branży.

Opisałam powyżej tylko jeden aspekt niezrozumienia tematu ochrony danych osobowych, co oczywiście ma wpływ na niechętne podejście do zagadnień. Jest to temat dotyczący braku świadomości prawnego aspektu ochrony danych osobowych. O niechęci do porządkowania spraw ochrony danych osobowych, która ma swoje głębsze korzenie, bo tkwiące w niezrozumieniu samego sensu takiej ochrony oraz w sposób przewidziany prawem napiszę następnym razem.